기업용 AI 에이전트 보안의 핵심, Bedrock AgentCore Gateway의 MCP 인증 구현

기업 내부 리소스 연결을 위한 AgentCore Gateway의 중앙 통제 구조

기업이 내부 API나 데이터베이스를 AI 에이전트에 연결할 때 가장 먼저 직면하는 문제는 보안 및 권한 관리의 복잡성이다. 아마존 베드록 에이전트코어(Amazon Bedrock AgentCore)는 AI 에이전트의 배포, 관리 및 확장을 지원하는 완전 관리형 서비스로, 에이전트코어 게이트웨이(AgentCore Gateway)를 통해 에이전트와 도구 간 통신을 위한 중앙 진입점을 제공한다. 에이전트코어 게이트웨이는 AI 어시스턴트가 MCP(Model Context Protocol) 서버에 요청을 보낼 때 이를 라우팅하고 보안을 강화하는 역할을 수행한다.

이 구조에서 에이전트코어 게이트웨이는 모든 인바운드 요청을 처리하기 전 신원을 검증하는 인바운드 인증(Inbound Authentication) 절차를 강제한다. 조직은 옥타(Okta), 마이크로소프트 엔트라 ID(Microsoft Entra ID), 아마존 코그니토(Amazon Cognito)와 같은 아이덴티티 제공자(IdP)를 통해 사용자 신원을 관리하며, IdP는 인증된 사용자에게 보안 토큰을 발행한다. 게이트웨이는 이 토큰을 통해 요청자가 정당한 권한을 가졌는지 확인하며, 인증되지 않은 요청이 내부 MCP 서버의 도구와 서비스에 접근하는 것을 원천적으로 차단한다.

MCP 리소스 서버로서의 동작과 ID 토큰 기반 접근 제어

에이전트코어 게이트웨이는 인바운드 권한 부여 코드 흐름(Authorization Code Flow) 설정에서 MCP 리소스 서버로 동작한다. 게이트웨이는 AI 클라이언트가 MCP 서버의 도구에 접근하기 전, 반드시 IdP에서 발행한 유효한 ID 토큰을 제시하도록 요구한다. 이러한 메커니즘은 AI 에이전트의 모든 도구 호출이 실제 권한을 가진 사용자의 신원과 연결되어 있음을 보장하는 핵심 장치가 된다.

인증 프로세스는 AI 클라이언트, 아이덴티티 제공자(IdP), 그리고 에이전트코어 게이트웨이의 상호작용으로 완성된다. AI 클라이언트가 요청을 보내면 게이트웨이는 해당 요청에 포함된 토큰의 유효성을 검사하고, 검증이 완료된 요청에 한해서만 MCP 서버로의 접근을 허용한다. [IMG_1]은 이러한 권한 부여 코드 흐름의 전체 아키텍처를 보여주며, [IMG_2]는 각 구성 요소 간의 상세한 요청 시퀀스를 나타낸다. 이를 통해 기업은 개별 MCP 서버마다 보안 설정을 반복할 필요 없이 게이트웨이 수준에서 일관된 접근 제어 정책을 적용할 수 있다.

OAuth 2.0 PKCE 적용 및 JWT 표준·커스텀 클레임 검증

보안 수준을 높이기 위해 에이전트코어 게이트웨이는 OAuth 2.0 권한 부여 코드 흐름과 PKCE(Proof Key for Code Exchange)를 적용한다. PKCE는 클라이언트가 생성한 코드 챌린저와 검증기를 사용하여 요청자의 정당성을 확인하며, 이를 통해 권한 부여 코드 가로채기 공격을 방지한다. 게이트웨이는 IdP의 디스커버리 엔드포인트(Discovery Endpoint)를 통해 공개 키와 인증 설정을 자동으로 가져와 토큰의 유효성을 실시간으로 판단한다.

토큰 검증은 JWT(JSON Web Token)의 표준 클레임을 기준으로 정밀하게 수행된다. 게이트웨이는 토큰 내의 발행자(iss), 대상(aud), 주체(sub), 만료 시간(exp) 값을 대조하여 신원을 확정한다. 또한, IdP마다 다른 클레임 명칭을 사용하는 경우를 대비해 cid, azp, scp와 같은 커스텀 클레임 검증 설정을 지원한다. 조직은 이러한 표준 및 커스텀 클레임을 조합하여 특정 클라이언트 ID나 세부 스코프에 따라 접근 권한을 층위별로 세분화할 수 있으며, 구체적인 구현 방법은 Okta 연동 예제(https://github.com/aws-samples/amazon-bedrock-agentcore-gateway-okta-example)를 통해 확인할 수 있다.

토큰 획득 방식에 구애받지 않는 Agnostic 검증 체계

에이전트코어 게이트웨이는 토큰이 어떤 경로로 획득되었는지 구분하지 않는 토큰 불가지론(Agnostic) 검증 방식을 채택했다. 게이트웨이는 사용자 개입이 필요한 권한 부여 코드 흐름(Authorization Code Flow)이나 시스템 간 인증인 클라이언트 자격 증명 흐름(Client Credentials Flow) 등 어떤 Grant Type을 통해 생성된 토큰이라도 동일한 검증 프로세스를 적용한다. 즉, 토큰의 획득 경로보다는 제출된 JWT 토큰이 게이트웨이 설정 파라미터와 일치하는지 여부만을 판단한다.

검증 기준에 미달하거나 유효하지 않은 토큰이 포함된 요청에 대해 게이트웨이는 즉각 HTTP 401 응답을 반환한다. 이러한 401 챌린지는 인증되지 않은 MCP 요청이 내부 리소스 서버로 진입하는 것을 입구에서 차단하는 필터 역할을 한다. 결과적으로 기업은 인증 흐름의 유연성을 확보하면서도, 게이트웨이라는 단일 진입점에서 모든 요청의 신원을 필터링함으로써 보안 정책의 일관성을 유지하고 관리 포인트를 단일화할 수 있다.

Kiro IDE와 mcp-remote를 활용한 실무 구현 및 사후 관리

실무 환경에서 Kiro IDE(AI 기반 통합 개발 환경)는 게이트웨이로부터 401 챌린지를 받으면 자동으로 OAuth 흐름을 시작하여 개발자의 인증 번거로움을 최소화한다. 이때 mcp-remote 도구는 Kiro IDE의 MCP 클라이언트와 게이트웨이의 OAuth 보호 엔드포인트를 연결하는 브리지 역할을 수행한다. mcp-remote는 실험적인 PoC 도구로, 다음과 같은 명령어로 설치하여 사용할 수 있다.

bash

pip install mcp-remote

개발자는 `~/.kiro/settings/mcp.json` 설정 파일에 게이트웨이 엔드포인트 정보를 추가함으로써 AI 클라이언트의 도구 요청부터 토큰 검증, MCP 서버 응답까지의 전 과정을 자동화한다. 보안의 완성은 리소스 회수 절차에 있으며, 운영 종료 후에는 IdP의 취소(Revoke) 엔드포인트를 통해 활성 토큰을 무효화해야 한다. 특히 macOS나 Linux 환경에서는 아래 명령어를 통해 mcp-remote의 인증 캐시를 삭제하여 잔재 보안 취약점을 제거한다.