Anthropic이 Claude Managed Agents(클로드 매니지드 에이전트)를 위해 자가 호스팅 샌드박스와 MCP 터널 기능을 공개했다. 기업들이 AI 에이전트를 내부 API나 데이터베이스에 연결하는 것을 주저했던 핵심 이유는 모델의 성능이 아니라 자격 증명(Credentials) 관리 문제였다. 기존 배포 방식에서는 에이전트가 도구 호출을 실행할 때 인증 토큰을 직접 소지했기에, 에이전트가 탈취되거나 오작동할 경우 내부 시스템의 열쇠까지 함께 유출되는 치명적인 리스크가 있었다.

이번 업데이트는 자격 증명 제어권을 에이전트 내부가 아닌 네트워크 경계로 옮기는 데 집중한다. 현재 자가 호스팅 샌드박스는 퍼블릭 베타로 제공되며, MCP 터널은 리서치 프리뷰 단계다. 개발자 커뮤니티에서는 "이제야 기업용 에이전트가 실무에 투입될 보안 수준을 갖췄다"는 반응과 함께, 컨텍스트에 토큰을 넣지 않고도 내부 시스템에 접근할 수 있는 구조에 주목하고 있다. 특히 MCP(Model Context Protocol, 모델 컨텍스트 프로토콜)의 기업용 도입 속도가 보안 아키텍처의 성숙도보다 빨랐던 상황에서, 이번 조치는 실질적인 엔터프라이즈 배포의 병목을 해결하려는 시도로 읽힌다.

자가 호스팅 샌드박스와 MCP 터널의 기능적 명세

개발자가 가장 우려하는 지점은 에이전트가 내부 API나 데이터베이스에 접근할 때 사용하는 자격 증명의 위치다. 기존의 프로덕션 환경에서는 에이전트가 도구 호출을 실행할 때 인증 토큰을 직접 가지고 다니는 구조였다. 이 방식은 에이전트가 해킹당하거나 오작동하는 순간 시스템의 모든 열쇠를 그대로 넘겨주는 치명적인 보안 취약점을 안고 있었다. 개발자 커뮤니티에서는 모델의 추론 성능보다 이 권한 관리 체계가 기업 도입의 진짜 병목이라는 목소리가 계속해서 터져 나왔다. 이번 업데이트의 핵심은 이 자격 증명 제어권을 에이전트 내부가 아니라 네트워크 경계(Network boundary)로 완전히 밀어내어 보안 모델 자체를 재설계한 점이다.

가장 먼저 도입된 해결책은 자가 호스팅 샌드박스(Self-hosted sandboxes)다. 현재 퍼블릭 베타로 제공되는 이 기능은 기업이 자체 인프라 경계 내에서 도구 실행을 처리하게 만든다. 에이전트의 오케스트레이션, 컨텍스트 관리, 오류 복구 같은 에이전틱 루프는 앤스로픽(Anthropic)의 인프라에서 돌아가지만, 실제 도구가 실행되는 컴퓨팅 자원은 기업이 직접 제어하는 분리 구조를 취한다. 개발자들 사이에서는 이를 두고 실행 환경과 제어 평면을 완전히 쪼갠 설계라는 평가가 나온다. 결과적으로 에이전트는 시스템을 열 수 있는 실제 열쇠를 보유하지 않은 상태에서도, 네트워크 경계를 통해 전달되는 명령만으로 도구 호출을 완수할 수 있게 되었다.

여기에 리서치 프리뷰 단계인 MCP 터널(MCP tunnels)이 더해져 보안망을 더욱 촘촘하게 만든다. MCP(Model Context Protocol, 모델 컨텍스트 프로토콜) 터널은 에이전트의 컨텍스트에 자격 증명을 노출하지 않고도 프라이빗 MCP 서버에 연결하는 안전한 경로를 제공한다. 조직 네트워크 내부에 가벼운 아웃바운드 전용 게이트웨이(Outbound-only gateway) 방식을 적용해 외부에서 내부로 들어오는 인바운드 경로를 차단하고 나가는 신호만 관리하는 구조를 채택했다. 자격 증명이 에이전트를 거치지 않고 네트워크 경계에서 처리되기에, 설령 에이전트가 오염되어 제어권을 잃더라도 내부 시스템의 핵심 권한이 외부로 유출될 가능성을 원천적으로 차단하는 효과를 낸다.

이러한 구조적 변화는 단순한 보안 패치를 넘어 에이전트의 워크플로우 설계 방식을 근본적으로 바꾼다. 샌드박스가 도구 실행 위치와 접근 자원을 결정하고, MCP 터널이 내부 시스템으로 가는 연결 경로를 정의하는 식으로 역할이 완전히 나뉘었기 때문이다. 기업은 이제 에이전트 개별 객체에 어떤 권한을 부여할 것인가를 고민하는 대신, 네트워크 경계에서 어떤 트래픽과 호출을 허용할 것인가라는 기존의 인프라 보안 관점으로 접근할 수 있게 되었다. 현재 개발팀들은 먼저 샌드박스를 통해 도구 실행 환경을 자체 인프라로 옮겨 경계 테스트를 진행한 뒤, 리서치 프리뷰 단계인 MCP 터널로 연결 범위를 점진적으로 확장하는 전략을 취하고 있다.

OpenAI Agents SDK와 차별화되는 '루프-실행' 분리 아키텍처

개발자가 가장 먼저 주목하는 지점은 지난 4월 OpenAI가 Agents SDK에 로컬 실행 기능을 추가하며 보여준 방향성과 Anthropic의 접근법이 결정적으로 갈리는 지점이다. OpenAI의 방식이 에이전트의 실행 환경을 로컬로 가져오는 샌드박스 접근법에 집중했다면, Anthropic은 아예 오케스트레이션 루프와 도구 실행 환경을 물리적으로 쪼개버리는 전략을 택했다. 커뮤니티에서는 단순히 실행 위치를 옮기는 수준을 넘어 위협 모델 자체를 다시 그려야 한다는 논의가 뜨겁다. 기존 방식에서는 에이전트가 도구를 호출할 때 인증 토큰을 함께 들고 움직였기에, 에이전트가 오작동하거나 공격당하면 곧바로 권한 키가 유출되는 구조였다.

이번에 공개된 아키텍처의 핵심은 에이전트 루프와 실행 환경의 철저한 분리다. 오케스트레이션, 컨텍스트 관리, 오류 복구 같은 뇌의 역할인 에이전트 루프는 Anthropic 인프라에서 돌아간다. 반면 실제 API를 호출하거나 데이터베이스에 접근하는 도구 실행(Tool execution)은 기업의 자체 시스템 내부에서 수행된다. 개발자들 사이에서는 이를 두고 뇌와 근육을 서로 다른 네트워크 망에 배치한 격이라는 평가가 나온다. 이러한 물리적 분리는 기존의 샌드박스 방식이 해결하지 못한 근본적인 보안 허점을 메우려는 시도로 읽힌다.

이 구조가 가져오는 가장 큰 변화는 인증 정보의 제어권이 에이전트 내부가 아니라 네트워크 경계로 이동한다는 사실이다. 에이전트가 내부 시스템의 키를 직접 쥐고 있을 필요가 없으므로, 설령 에이전트 루프가 오염되더라도 공격자가 기업 내부망의 마스터키를 그대로 손에 넣는 시나리오를 차단할 수 있다. 엔지니어들은 이를 단순한 배포 모델의 변경이 아니라 위협 모델의 재정의라고 부른다. 특히 민감한 데이터를 다루는 금융이나 의료 분야의 개발팀에서는 에이전트에게 권한을 위임하는 것에 대해 가졌던 심리적 저항선을 낮춰줄 수 있는 실질적인 장치라는 반응이다.

핵심은 제어권의 소재다. 샌드박스 내에서 로컬 실행을 지원하는 것과 루프 자체를 분리해 실행 환경을 기업이 완전히 통제하게 하는 것은 보안 수준에서 차원이 다른 이야기다. Anthropic은 docs.anthropic.com을 통해 이러한 분리 구조가 에이전트의 워크플로우를 더 효과적으로 매핑하게 해준다고 설명한다. 개발 현장에서는 이제 에이전트의 성능보다 이 분리 아키텍처가 실제 인프라의 보안 정책과 어떻게 충돌하거나 조화를 이룰지를 두고 치열한 검토가 이뤄지고 있다.

기업 AI 실무자의 배포 전략과 위협 모델의 변화

기업들이 AI 에이전트를 내부 API나 데이터베이스에 연결하는 것을 주저했던 진짜 이유는 모델의 지능이 아니라 인증 키 관리였다. 기존의 프로덕션 배포 환경에서 에이전트는 도구 호출을 실행할 때 인증 토큰을 직접 보유하고 움직였다. 이는 에이전트가 해킹당하거나 오작동할 경우 내부 시스템의 열쇠를 그대로 넘겨주는 치명적인 보안 허점이 된다. 앤스로픽은 이를 해결하기 위해 셀프 호스팅 샌드박스(self-hosted sandboxes, 기업 인프라 내에서 도구 실행 환경을 구축하는 방식)와 MCP 터널(MCP tunnels, Model Context Protocol 터널을 통해 인증 키 노출 없이 내부 서버에 연결하는 경로)을 도입했다. 이제 인증 제어권은 에이전트 내부가 아니라 네트워크 경계선으로 이동한다.

지금 개발자 커뮤니티에서 이 업데이트를 주목하는 이유는 단순한 배포 모델의 변경이 아니라 위협 모델(Threat model, 시스템의 잠재적 보안 위협을 분석하고 대응하는 모델) 자체를 바꾸는 설계이기 때문이다. 핵심은 워크플로우 매핑의 분리 운영에 있다. 샌드박스는 도구가 실행되는 위치와 에이전트가 접근할 리소스를 결정하고, MCP 터널은 내부 시스템에 도달하는 경로를 결정한다. 이 두 가지 요소를 분리함으로써 기업은 에이전트의 작업 흐름을 훨씬 더 세밀하고 안전하게 설계할 수 있다. 결과적으로 에이전트는 내부 시스템을 여는 인증 키를 직접 가지지 않고도 도구 호출을 완결할 수 있는 구조를 갖게 된다.

실무 관점에서의 배포 우선순위는 명확하다. 이미 클로드 매니지드 에이전트를 사용하는 팀이라면 도구 실행 환경을 먼저 자체 인프라의 샌드박스로 이전하고 그 경계선을 테스트하는 것이 먼저다. MCP 터널은 현재 리서치 프리뷰 단계이므로 샌드박스 안정화 이후에 도입하는 경로가 권장된다. 특히 이번 아키텍처의 차별점은 에이전트 루프(오케스트레이션, 컨텍스트 관리, 에러 복구)는 앤스로픽의 인프라에서 실행하되, 실제 도구 실행은 기업의 자체 시스템에서 수행하도록 완전히 쪼갰다는 점이다. 이는 기존의 샌드박스 접근 방식과는 궤를 달리하는 분리 전략으로, 보안 팀의 승인을 얻어야 하는 AI 실무자들에게 가장 강력한 설득 논리가 되고 있다.