아마존 웹 서비스(AWS)가 AI 에이전트와 기업 도구 간의 통신 보안을 강화하는 방법론을 공식 블로그를 통해 공개했다. 핵심은 아마존 베드록(Amazon Bedrock) AgentCore 게이트웨이를 OAuth(Open Authorization) 인증 코드 플로우의 리소스 서버로 활용해, AI 코딩 어시스턴트가 MCP(Model Context Protocol) 서버에 접근할 때마다 신원이 검증된 토큰을 요구하는 구조를 만드는 것이다. 코딩 어시스턴트인 키로(Kiro) IDE와 같은 에이전트 도구가 조직 내 서비스에 접근하는 상황이 늘면서, 강력한 신원 기반 인증 체계의 필요성이 현장에서 커지고 있다.
구현 방식의 핵심은 AgentCore 게이트웨이가 OAuth 리소스 서버 역할을 맡아 유효한 신원 토큰 없이는 어떤 요청도 통과시키지 않는다는 점이다. MCP 클라이언트가 연결을 시도하면 게이트웨이는 HTTP 401 응답과 함께 보호 리소스 메타데이터(PRM) 엔드포인트 정보를 돌려보낸다. 클라이언트는 이를 통해 조직의 아이덴티티 공급자(IdP, Identity Provider)—오크타(Okta), 마이크로소프트 엔트라 ID, 아마존 코그니토(Amazon Cognito) 등—를 자동으로 탐지하고, PKCE(Proof Key for Code Exchange) 기반의 인증 코드 교환 절차를 거쳐 최종적으로 유효한 액세스 토큰을 확보한다. 게이트웨이는 이 토큰의 서명, 만료 여부, 발급자, 대상(audience) 등을 검증한 뒤에야 요청을 MCP 서버로 전달한다.
설정 과정은 세 구성 요소를 순서대로 구성하는 방식으로 이루어진다. 먼저 IdP에서 OIDC 웹 애플리케이션을 등록하고 인증 코드 및 리프레시 토큰 허용 방식을 활성화한다. 다음으로 AgentCore 게이트웨이에 JWT 기반 인바운드 인증을 설정하고 IdP 디스커버리 URL을 연결한다. 마지막으로 키로 IDE에 게이트웨이 주소를 등록하면, 이후 게이트웨이의 401 응답을 감지할 때 OAuth 플로우가 자동으로 시작된다. 게이트웨이는 인증 코드 플로우, 클라이언트 자격증명 플로우 등 토큰 취득 방식을 구분하지 않고 동일한 검증 로직을 적용한다.
이 아키텍처는 AI 에이전트가 조직 내 도구와 서비스에 점점 더 깊숙이 통합되는 상황에서, 인간 사용자 수준의 신원 검증 기준을 에이전트에도 일관되게 적용할 수 있는 실용적인 방안을 제시한다. 특히 인증이 한 번 완료되면 토큰이 자동으로 갱신되기 때문에 사용자 경험의 연속성도 해치지 않는다. 기업 환경에서 복수의 AI 클라이언트와 아이덴티티 공급자를 동시에 운영해야 하는 상황에서 이 방식의 확장성이 주목된다.
