Introduction to Model Context Protocol (MCP): Why It Matters for Scalable AI Applications

_(Click the image above to view video of this lesson)_

Generative AI applications are a great step forward as they often let the user interact with the app using natural language prompts.

However, as more time and resources are invested in such apps, you want to make sure you can easily integrate functionalities and resources in such a way that it's easy to extend, that your app can cater to more than one model being used, and handle various model intricacies.

In short, building Gen AI apps is easy to begin with, but as they grow and become more complex, you need to start defining an architecture and will likely need to rely on a standard to ensure your apps are built in a consistent way.

This is where MCP comes in to organize things and provide a standard.

---

🔍 What Is the Model Context Protocol (MCP)?

The Model Context Protocol (MCP) is an open, standardized interface that allows Large Language Models (LLMs) to interact seamlessly with external tools, APIs, and data sources.

It provides a consistent architecture to enhance AI model functionality beyond their training data, enabling smarter, scalable, and more responsive AI systems.

---

🎯 Why Standardization in AI Matters

As generative AI applications become more complex, it's essential to adopt standards that ensure scalability, extensibility, maintainability, and avoiding vendor lock-in. MCP addresses these needs by:

Unifying model-tool integrations

Reducing brittle, one-off custom solutions

Allowing multiple models from different vendors to coexist within one ecosystem

Note: While MCP bills itself as an open standard, there are no plans to standardize MCP through any existing standards bodies such as IEEE, IETF, W3C, ISO, or any other standards body.

---

📚 Learning Objectives

By the end of this article, you'll be able to:

Define Model Context Protocol (MCP) and its use cases

Understand how MCP standardizes model-to-tool communication

Identify the core components of MCP architecture

Explore real-world applications of MCP in enterprise and development contexts

---

💡 Why the Model Context Protocol (MCP) Is a Game-Changer

🔗 MCP Solves Fragmentation in AI Interactions

Before MCP, integrating models with tools required:

Custom code per tool-model pair

Non-standard APIs for each vendor

Frequent breaks due to updates

Poor scalability with more tools

✅ Benefits of MCP Standardization

Benefit Description -------------------------- -------------------------------------------------------------------------------- Interoperability LLMs work seamlessly with tools across different vendors Consistency Uniform behavior across platforms and tools Reusability Tools built once can be used across projects and systems Accelerated Development Reduce dev time by using standardized, plug-and-play interfaces

---

🧱 High-Level MCP Architecture Overview

MCP follows a client-server model, where:

MCP Hosts run the AI models

MCP Clients initiate requests

MCP Servers serve context, tools, and capabilities

Key Components:

Resources – Static or dynamic data for models

Prompts – Predefined workflows for guided generation

Tools – Executable functions like search, calculations

Sampling – Agentic behavior via recursive interactions

Elicitation – Server-initiated requests for user input

Roots – Filesystem boundaries for server access control

Protocol Architecture:

MCP uses a two-layer architecture:

Data Layer: JSON-RPC 2.0 based communication with lifecycle management and primitives

Transport Layer: STDIO (local) and Streamable HTTP with SSE (remote) communication channels

---

How MCP Servers Work

MCP servers operate in the following way:

Request Flow:

1. A request is initiated by an end user or software acting on their behalf.

2. The MCP Client sends the request to an MCP Host, which manages the AI Model runtime.

3. The AI Model receives the user prompt and may request access to external tools or data via one or more tool calls.

4. The MCP Host, not the model directly, communicates with the appropriate MCP Server(s) using the standardized protocol.

MCP Host Functionality:

- Tool Registry: Maintains a catalog of available tools and their capabilities.

- Authentication: Verifies permissions for tool access.

- Request Handler: Processes incoming tool requests from the model.

- Response Formatter: Structures tool outputs in a format the model can understand.

MCP Server Execution:

- The MCP Host routes tool calls to one or more MCP Servers, each exposing specialized functions (e.g., search, calculations, database queries).

- The MCP Servers perform their respective operations and return results to the MCP Host in a consistent format.

- The MCP Host formats and relays these results to the AI Model.

Response Completion:

- The AI Model incorporates the tool outputs into a final response.

- The MCP Host sends this response back to the MCP Client, which delivers it to the end user or calling software.

---

title: MCP Architecture and Component Interactions

description: A diagram showing the flows of the components in MCP.

---

graph TD

    Client[MCP Client/Application] -->|Sends Request| H[MCP Host]

    H -->|Invokes| A[AI Model]

    A -->|Tool Call Request| H

    H -->|MCP Protocol| T1[MCP Server Tool 01: Web Search]

    H -->|MCP Protocol| T2[MCP Server Tool 02: Calculator tool]

    H -->|MCP Protocol| T3[MCP Server Tool 03: Database Access tool]

    H -->|MCP Protocol| T4[MCP Server Tool 04: File System tool]

    H -->|Sends Response| Client



    subgraph "MCP Host Components"

        H

        G[Tool Registry]

        I[Authentication]

        J[Request Handler]

        K[Response Formatter]

    end



    H <--> G

    H <--> I

    H <--> J

    H <--> K



    style A fill:#f9d5e5,stroke:#333,stroke-width:2px

    style H fill:#eeeeee,stroke:#333,stroke-width:2px

    style Client fill:#d5e8f9,stroke:#333,stroke-width:2px

    style G fill:#fffbe6,stroke:#333,stroke-width:1px

    style I fill:#fffbe6,stroke:#333,stroke-width:1px

    style J fill:#fffbe6,stroke:#333,stroke-width:1px

    style K fill:#fffbe6,stroke:#333,stroke-width:1px

    style T1 fill:#c2f0c2,stroke:#333,stroke-width:1px

    style T2 fill:#c2f0c2,stroke:#333,stroke-width:1px

    style T3 fill:#c2f0c2,stroke:#333,stroke-width:1px

    style T4 fill:#c2f0c2,stroke:#333,stroke-width:1px

👨‍💻 How to Build an MCP Server (With Examples)

MCP servers allow you to extend LLM capabilities by providing data and functionality.

Ready to try it out? Here are language and/or stack specific SDKs with examples of creating simple MCP servers in different languages/stacks:

Python SDK: https://github.com/modelcontextprotocol/python-sdk

TypeScript SDK: https://github.com/modelcontextprotocol/typescript-sdk

Java SDK: https://github.com/modelcontextprotocol/java-sdk

C#/.NET SDK: https://github.com/modelcontextprotocol/csharp-sdk

🌍 Real-World Use Cases for MCP

MCP enables a wide range of applications by extending AI capabilities:

Application Description ------------------------------ -------------------------------------------------------------------------------- Enterprise Data Integration Connect LLMs to databases, CRMs, or internal tools Agentic AI Systems Enable autonomous agents with tool access and decision-making workflows Multi-modal Applications Combine text, image, and audio tools within a single unified AI app Real-time Data Integration Bring live data into AI interactions for more accurate, current outputs

🧠 MCP = Universal Standard for AI Interactions

The Model Context Protocol (MCP) acts as a universal standard for AI interactions, much like how USB-C standardized physical connections for devices.

In the world of AI, MCP provides a consistent interface, allowing models (clients) to integrate seamlessly with external tools and data providers (servers).

This eliminates the need for diverse, custom protocols for each API or data source.

Under MCP, an MCP-compatible tool (referred to as an MCP server) follows a unified standard.

These servers can list the tools or actions they offer and execute those actions when requested by an AI agent.

AI agent platforms that support MCP are capable of discovering available tools from the servers and invoking them through this standard protocol.

💡 Facilitates access to knowledge

Beyond offering tools, MCP also facilitates access to knowledge.

It enables applications to provide context to large language models (LLMs) by linking them to various data sources.

For instance, an MCP server might represent a company’s document repository, allowing agents to retrieve relevant information on demand.

Another server could handle specific actions like sending emails or updating records.

From the agent’s perspective, these are simply tools it can use—some tools return data (knowledge context), while others perform actions.

MCP efficiently manages both.

An agent connecting to an MCP server automatically learns the server's available capabilities and accessible data through a standard format.

This standardization enables dynamic tool availability.

For example, adding a new MCP server to an agent’s system makes its functions immediately usable without requiring further customization of the agent's instructions.

This streamlined integration aligns with the flow depicted in the following diagram, where servers provide both tools and knowledge, ensuring seamless collaboration across systems.

👉 Example: Scalable Agent Solution

---

title: Scalable Agent Solution with MCP

description: A diagram illustrating how a user interacts with an LLM that connects to multiple MCP servers, with each server providing both knowledge and tools, creating a scalable AI system architecture

---

graph TD

    User -->|Prompt| LLM

    LLM -->|Response| User

    LLM -->|MCP| ServerA

    LLM -->|MCP| ServerB

    ServerA -->|Universal connector| ServerB

    ServerA --> KnowledgeA

    ServerA --> ToolsA

    ServerB --> KnowledgeB

    ServerB --> ToolsB



    subgraph Server A

        KnowledgeA[Knowledge]

        ToolsA[Tools]

    end



    subgraph Server B

        KnowledgeB[Knowledge]

        ToolsB[Tools]

    end

The Universal Connector enables MCP servers to communicate and share capabilities with each other, allowing ServerA to delegate tasks to ServerB or access its tools and knowledge.

This federates tools and data across servers, supporting scalable and modular agent architectures.

Because MCP standardizes tool exposure, agents can dynamically discover and route requests between servers without hardcoded integrations.

Tool and knowledge federation: Tools and data can be accessed across servers, enabling more scalable and modular agentic architectures.

🔄 Advanced MCP Scenarios with Client-Side LLM Integration

Beyond the basic MCP architecture, there are advanced scenarios where both client and server contain LLMs, enabling more sophisticated interactions.

In the following diagram, Client App could be an IDE with a number of MCP tools available for user by the LLM:

---

title: Advanced MCP Scenarios with Client-Server LLM Integration

description: A sequence diagram showing the detailed interaction flow between user, client application, client LLM, multiple MCP servers, and server LLM, illustrating tool discovery, user interaction, direct tool calling, and feature negotiation phases

---

sequenceDiagram

    autonumber

    actor User as 👤 User

    participant ClientApp as 🖥️ Client App

    participant ClientLLM as 🧠 Client LLM

    participant Server1 as 🔧 MCP Server 1

    participant Server2 as 📚 MCP Server 2

    participant ServerLLM as 🤖 Server LLM

    

    %% Discovery Phase

    rect rgb(220, 240, 255)

        Note over ClientApp, Server2: TOOL DISCOVERY PHASE

        ClientApp->>+Server1: Request available tools/resources

        Server1-->>-ClientApp: Return tool list (JSON)

        ClientApp->>+Server2: Request available tools/resources

        Server2-->>-ClientApp: Return tool list (JSON)

        Note right of ClientApp: Store combined tool<br/>catalog locally

    end

    

    %% User Interaction

    rect rgb(255, 240, 220)

        Note over User, ClientLLM: USER INTERACTION PHASE

        User->>+ClientApp: Enter natural language prompt

        ClientApp->>+ClientLLM: Forward prompt + tool catalog

        ClientLLM->>-ClientLLM: Analyze prompt & select tools

    end

    

    %% Scenario A: Direct Tool Calling

    alt Direct Tool Calling

        rect rgb(220, 255, 220)

            Note over ClientApp, Server1: SCENARIO A: DIRECT TOOL CALLING

            ClientLLM->>+ClientApp: Request tool execution

            ClientApp->>+Server1: Execute specific tool

            Server1-->>-ClientApp: Return results

            ClientApp->>+ClientLLM: Process results

            ClientLLM-->>-ClientApp: Generate response

            ClientApp-->>-User: Display final answer

        end

    

    %% Scenario B: Feature Negotiation (VS Code style)

    else Feature Negotiation (VS Code style)

        rect rgb(255, 220, 220)

            Note over ClientApp, ServerLLM: SCENARIO B: FEATURE NEGOTIATION

            ClientLLM->>+ClientApp: Identify needed capabilities

            ClientApp->>+Server2: Negotiate features/capabilities

            Server2->>+ServerLLM: Request additional context

            ServerLLM-->>-Server2: Provide context

            Server2-->>-ClientApp: Return available features

            ClientApp->>+Server2: Call negotiated tools

            Server2-->>-ClientApp: Return results

            ClientApp->>+ClientLLM: Process results

            ClientLLM-->>-ClientApp: Generate response

            ClientApp-->>-User: Display final answer

        end

    end

🔐 Practical Benefits of MCP

Here are the practical benefits of using MCP:

Freshness: Models can access up-to-date information beyond their training data

Capability Extension: Models can leverage specialized tools for tasks they weren't trained for

Reduced Hallucinations: External data sources provide factual grounding

Privacy: Sensitive data can stay within secure environments instead of being embedded in prompts

📌 Key Takeaways

The following are key takeaways for using MCP:

MCP standardizes how AI models interact with tools and data

Promotes extensibility, consistency, and interoperability

MCP helps reduce development time, improve reliability, and extend model capabilities

The client-server architecture enables flexible, extensible AI applications

🧠 Exercise

Think about an AI application you're interested in building.

Which external tools or data could enhance its capabilities?

How might MCP make integration simpler and more reliable?

Additional Resources

MCP GitHub Repository

What's next

Next: Chapter 1: Core Concepts

MCP Core Concepts: Mastering the Model Context Protocol for AI Integration

_(Click the image above to view video of this lesson)_

The Model Context Protocol (MCP) is a powerful, standardized framework that optimizes communication between Large Language Models (LLMs) and external tools, applications, and data sources.

This guide will walk you through the core concepts of MCP. You will learn about its client-server architecture, essential components, communication mechanics, and implementation best practices.

Explicit User Consent: All data access and operations require explicit user approval before execution. Users must clearly understand what data will be accessed and what actions will be performed, with granular control over permissions and authorizations.

Data Privacy Protection: User data is only exposed with explicit consent and must be protected by robust access controls throughout the entire interaction lifecycle. Implementations must prevent unauthorized data transmission and maintain strict privacy boundaries.

Tool Execution Safety: Every tool invocation requires explicit user consent with clear understanding of the tool's functionality, parameters, and potential impact. Robust security boundaries must prevent unintended, unsafe, or malicious tool execution.

Transport Layer Security: All communication channels should use appropriate encryption and authentication mechanisms. Remote connections should implement secure transport protocols and proper credential management.

Implementation Guidelines:

Permission Management: Implement fine-grained permission systems that allow users to control which servers, tools, and resources are accessible

Authentication & Authorization: Use secure authentication methods (OAuth, API keys) with proper token management and expiration

Input Validation: Validate all parameters and data inputs according to defined schemas to prevent injection attacks

Audit Logging: Maintain comprehensive logs of all operations for security monitoring and compliance

Overview

This lesson explores the fundamental architecture and components that make up the Model Context Protocol (MCP) ecosystem. You'll learn about the client-server architecture, key components, and communication mechanisms that power MCP interactions.

Key Learning Objectives

By the end of this lesson, you will:

Understand the MCP client-server architecture.

Identify roles and responsibilities of Hosts, Clients, and Servers.

Analyze the core features that make MCP a flexible integration layer.

Learn how information flows within the MCP ecosystem.

Gain practical insights through code examples in .NET, Java, Python, and JavaScript.

MCP Architecture: A Deeper Look

The MCP ecosystem is built on a client-server model. This modular structure allows AI applications to interact with tools, databases, APIs, and contextual resources efficiently. Let's break down this architecture into its core components.

At its core, MCP follows a client-server architecture where a host application can connect to multiple servers:

flowchart LR

    subgraph "Your Computer"

        Host["Host with MCP (Visual Studio, VS Code, IDEs, Tools)"]

        S1["MCP Server A"]

        S2["MCP Server B"]

        S3["MCP Server C"]

        Host <-->|"MCP Protocol"| S1

        Host <-->|"MCP Protocol"| S2

        Host <-->|"MCP Protocol"| S3

        S1 <--> D1[("Local\Data Source A")]

        S2 <--> D2[("Local\Data Source B")]

    end

    subgraph "Internet"

        S3 <-->|"Web APIs"| D3[("Remote\Services")]

    end

MCP Hosts: Programs like VSCode, Claude Desktop, IDEs, or AI tools that want to access data through MCP

MCP Clients: Protocol clients that maintain 1:1 connections with servers

MCP Servers: Lightweight programs that each expose specific capabilities through the standardized Model Context Protocol

Local Data Sources: Your computer's files, databases, and services that MCP servers can securely access

Remote Services: External systems available over the internet that MCP servers can connect to through APIs.

The MCP Protocol is an evolving standard using date-based versioning (YYYY-MM-DD format).

The current protocol version is 2025-11-25.

You can see the latest updates to the protocol specification

1. Hosts

In the Model Context Protocol (MCP), Hosts are AI applications that serve as the primary interface through which users interact with the protocol.

Hosts coordinate and manage connections to multiple MCP servers by creating dedicated MCP clients for each server connection.

Examples of Hosts include:

AI Applications: Claude Desktop, Visual Studio Code, Claude Code

Development Environments: IDEs and code editors with MCP integration

Custom Applications: Purpose-built AI agents and tools

Hosts are applications that coordinate AI model interactions. They:

Orchestrate AI Models: Execute or interact with LLMs to generate responses and coordinate AI workflows

Manage Client Connections: Create and maintain one MCP client per MCP server connection

Control User Interface: Handle conversation flow, user interactions, and response presentation

Enforce Security: Control permissions, security constraints, and authentication

Handle User Consent: Manage user approval for data sharing and tool execution

2. Clients

Clients are essential components that maintain dedicated one-to-one connections between Hosts and MCP servers.

Each MCP client is instantiated by the Host to connect to a specific MCP server, ensuring organized and secure communication channels.

Multiple clients enable Hosts to connect to multiple servers simultaneously.

Clients are connector components within the host application. They:

Protocol Communication: Send JSON-RPC 2.0 requests to servers with prompts and instructions

Capability Negotiation: Negotiate supported features and protocol versions with servers during initialization

Tool Execution: Manage tool execution requests from models and process responses

Real-time Updates: Handle notifications and real-time updates from servers

Response Processing: Process and format server responses for display to users

3. Servers

Servers are programs that provide context, tools, and capabilities to MCP clients.

They can execute locally (same machine as the Host) or remotely (on external platforms), and are responsible for handling client requests and providing structured responses.

Servers expose specific functionality through the standardized Model Context Protocol.

Servers are services that provide context and capabilities. They:

Feature Registration: Register and expose available primitives (resources, prompts, tools) to clients

Request Processing: Receive and execute tool calls, resource requests, and prompt requests from clients

Context Provision: Provide contextual information and data to enhance model responses

State Management: Maintain session state and handle stateful interactions when needed

Real-time Notifications: Send notifications about capability changes and updates to connected clients

Servers can be developed by anyone to extend model capabilities with specialized functionality, and they support both local and remote deployment scenarios.

4. Server Primitives

Servers in the Model Context Protocol (MCP) provide three core primitives that define the fundamental building blocks for rich interactions between clients, hosts, and language models.

These primitives specify the types of contextual information and actions available through the protocol.

MCP servers can expose any combination of the following three core primitives:

Resources

Resources are data sources that provide contextual information to AI applications. They represent static or dynamic content that can enhance model understanding and decision-making:

Contextual Data: Structured information and context for AI model consumption

Knowledge Bases: Document repositories, articles, manuals, and research papers

Local Data Sources: Files, databases, and local system information

External Data: API responses, web services, and remote system data

Dynamic Content: Real-time data that updates based on external conditions

Resources are identified by URIs and support discovery through resources/list and retrieval through resources/read methods:

file://documents/project-spec.md

database://production/users/schema

api://weather/current

Prompts

Prompts are reusable templates that help structure interactions with language models. They provide standardized interaction patterns and templated workflows:

Template-based Interactions: Pre-structured messages and conversation starters

Workflow Templates: Standardized sequences for common tasks and interactions

Few-shot Examples: Example-based templates for model instruction

System Prompts: Foundational prompts that define model behavior and context

Dynamic Templates: Parameterized prompts that adapt to specific contexts

Prompts support variable substitution and can be discovered via prompts/list and retrieved with prompts/get:

Generate a {{task_type}} for {{product}} targeting {{audience}} with the following requirements: {{requirements}}

Tools

Tools are executable functions that AI models can invoke to perform specific actions. They represent the "verbs" of the MCP ecosystem, enabling models to interact with external systems:

Executable Functions: Discrete operations that models can invoke with specific parameters

External System Integration: API calls, database queries, file operations, calculations

Unique Identity: Each tool has a distinct name, description, and parameter schema

Structured I/O: Tools accept validated parameters and return structured, typed responses

Action Capabilities: Enable models to perform real-world actions and retrieve live data

Tools are defined with JSON Schema for parameter validation and discovered through tools/list and executed via tools/call.

Tools can also include icons as additional metadata for better UI presentation.

Tool Annotations: Tools support behavioral annotations (e.g., readOnlyHint, destructiveHint) that describe whether a tool is read-only or destructive, helping clients make informed decisions about tool execution.

Example tool definition:

server.tool(

  "search_products", 

  {

    query: z.string().describe("Search query for products"),

    category: z.string().optional().describe("Product category filter"),

    max_results: z.number().default(10).describe("Maximum results to return")

  }, 

  async (params) => {

    // Execute search and return structured results

    return await productService.search(params);

  }

);

Client Primitives

In the Model Context Protocol (MCP), clients can expose primitives that enable servers to request additional capabilities from the host application.

These client-side primitives allow for richer, more interactive server implementations that can access AI model capabilities and user interactions.

Sampling

Sampling allows servers to request language model completions from the client's AI application. This primitive enables servers to access LLM capabilities without embedding their own model dependencies:

Model-Independent Access: Servers can request completions without including LLM SDKs or managing model access

Server-Initiated AI: Enables servers to autonomously generate content using the client's AI model

Recursive LLM Interactions: Supports complex scenarios where servers need AI assistance for processing

Dynamic Content Generation: Allows servers to create contextual responses using the host's model

Tool Calling Support: Servers can include tools and toolChoice parameters to enable the client's model to invoke tools during sampling

Sampling is initiated through the sampling/complete method, where servers send completion requests to clients.

Roots

Roots provide a standardized way for clients to expose filesystem boundaries to servers, helping servers understand which directories and files they have access to:

Filesystem Boundaries: Define the boundaries of where servers can operate within the filesystem

Access Control: Help servers understand which directories and files they have permission to access

Dynamic Updates: Clients can notify servers when the list of roots changes

URI-Based Identification: Roots use file:// URIs to identify accessible directories and files

Roots are discovered through the roots/list method, with clients sending notifications/roots/list_changed when roots change.

Elicitation

Elicitation enables servers to request additional information or confirmation from users through the client interface:

User Input Requests: Servers can ask for additional information when needed for tool execution

Confirmation Dialogs: Request user approval for sensitive or impactful operations

Interactive Workflows: Enable servers to create step-by-step user interactions

Dynamic Parameter Collection: Gather missing or optional parameters during tool execution

Elicitation requests are made using the elicitation/request method to collect user input through the client's interface.

URL Mode Elicitation: Servers can also request URL-based user interactions, allowing servers to direct users to external web pages for authentication, confirmation, or data entry.

Logging

Logging allows servers to send structured log messages to clients for debugging, monitoring, and operational visibility:

Debugging Support: Enable servers to provide detailed execution logs for troubleshooting

Operational Monitoring: Send status updates and performance metrics to clients

Error Reporting: Provide detailed error context and diagnostic information

Audit Trails: Create comprehensive logs of server operations and decisions

Logging messages are sent to clients to provide transparency into server operations and facilitate debugging.

Information Flow in MCP

The Model Context Protocol (MCP) defines a structured flow of information between hosts, clients, servers, and models.

Understanding this flow helps clarify how user requests are processed and how external tools and data are integrated into model responses.

Host Initiates Connection

The host application (such as an IDE or chat interface) establishes a connection to an MCP server, typically via STDIO, WebSocket, or another supported transport.

Capability Negotiation

The client (embedded in the host) and the server exchange information about their supported features, tools, resources, and protocol versions. This ensures both sides understand what capabilities are available for the session.

User Request

The user interacts with the host (e.g., enters a prompt or command). The host collects this input and passes it to the client for processing.

Resource or Tool Use

- The client may request additional context or resources from the server (such as files, database entries, or knowledge base articles) to enrich the model's understanding.

- If the model determines that a tool is needed (e.g., to fetch data, perform a calculation, or call an API), the client sends a tool invocation request to the server, specifying the tool name and parameters.

Server Execution

The server receives the resource or tool request, executes the necessary operations (such as running a function, querying a database, or retrieving a file), and returns the results to the client in a structured format.

Response Generation

The client integrates the server's responses (resource data, tool outputs, etc.) into the ongoing model interaction. The model uses this information to generate a comprehensive and contextually relevant response.

Result Presentation

The host receives the final output from the client and presents it to the user, often including both the model's generated text and any results from tool executions or resource lookups.

This flow enables MCP to support advanced, interactive, and context-aware AI applications by seamlessly connecting models with external tools and data sources.

Protocol Architecture & Layers

MCP consists of two distinct architectural layers that work together to provide a complete communication framework:

Data Layer

The Data Layer implements the core MCP protocol using JSON-RPC 2.0 as its foundation. This layer defines the message structure, semantics, and interaction patterns:

Core Components:

JSON-RPC 2.0 Protocol: All communication uses standardized JSON-RPC 2.0 message format for method calls, responses, and notifications

Lifecycle Management: Handles connection initialization, capability negotiation, and session termination between clients and servers

Server Primitives: Enables servers to provide core functionality through tools, resources, and prompts

Client Primitives: Enables servers to request sampling from LLMs, elicit user input, and send log messages

Real-time Notifications: Supports asynchronous notifications for dynamic updates without polling

Key Features:

Protocol Version Negotiation: Uses date-based versioning (YYYY-MM-DD) to ensure compatibility

Capability Discovery: Clients and servers exchange supported feature information during initialization

Stateful Sessions: Maintains connection state across multiple interactions for context continuity

Transport Layer

The Transport Layer manages communication channels, message framing, and authentication between MCP participants:

Supported Transport Mechanisms:

1. STDIO Transport:

- Uses standard input/output streams for direct process communication

- Optimal for local processes on the same machine with no network overhead

- Commonly used for local MCP server implementations

2. Streamable HTTP Transport:

- Uses HTTP POST for client-to-server messages

- Optional Server-Sent Events (SSE) for server-to-client streaming

- Enables remote server communication across networks

- Supports standard HTTP authentication (bearer tokens, API keys, custom headers)

- MCP recommends OAuth for secure token-based authentication

Transport Abstraction:

The transport layer abstracts communication details from the data layer, enabling the same JSON-RPC 2.0 message format across all transport mechanisms. This abstraction allows applications to switch between local and remote servers seamlessly.

Security Considerations

MCP implementations must adhere to several critical security principles to ensure safe, trustworthy, and secure interactions across all protocol operations:

User Consent and Control: Users must provide explicit consent before any data is accessed or operations are performed. They should have clear control over what data is shared and which actions are authorized, supported by intuitive user interfaces for reviewing and approving activities.

Data Privacy: User data should only be exposed with explicit consent and must be protected by appropriate access controls. MCP implementations must safeguard against unauthorized data transmission and ensure that privacy is maintained throughout all interactions.

Tool Safety: Before invoking any tool, explicit user consent is required. Users should have a clear understanding of each tool’s functionality, and robust security boundaries must be enforced to prevent unintended or unsafe tool execution.

By following these security principles, MCP ensures user trust, privacy, and safety are maintained across all protocol interactions while enabling powerful AI integrations.

Code Examples: Key Components

Below are code examples in several popular programming languages that illustrate how to implement key MCP server components and tools.

.NET Example: Creating a Simple MCP Server with Tools

Here is a practical .NET code example demonstrating how to implement a simple MCP server with custom tools. This example showcases how to define and register tools, handle requests, and connect the server using the Model Context Protocol.

using System;

using System.Threading.Tasks;

using ModelContextProtocol.Server;

using ModelContextProtocol.Server.Transport;

using ModelContextProtocol.Server.Tools;



public class WeatherServer

{

    public static async Task Main(string[] args)

    {

        // Create an MCP server

        var server = new McpServer(

            name: "Weather MCP Server",

            version: "1.0.0"

        );

        

        // Register our custom weather tool

        server.AddTool<string, WeatherData>("weatherTool", 

            description: "Gets current weather for a location",

            execute: async (location) => {

                // Call weather API (simplified)

                var weatherData = await GetWeatherDataAsync(location);

                return weatherData;

            });

        

        // Connect the server using stdio transport

        var transport = new StdioServerTransport();

        await server.ConnectAsync(transport);

        

        Console.WriteLine("Weather MCP Server started");

        

        // Keep the server running until process is terminated

        await Task.Delay(-1);

    }

    

    private static async Task<WeatherData> GetWeatherDataAsync(string location)

    {

        // This would normally call a weather API

        // Simplified for demonstration

        await Task.Delay(100); // Simulate API call

        return new WeatherData { 

            Temperature = 72.5,

            Conditions = "Sunny",

            Location = location

        };

    }

}



public class WeatherData

{

    public double Temperature { get; set; }

    public string Conditions { get; set; }

    public string Location { get; set; }

}

Java Example: MCP Server Components

This example demonstrates the same MCP server and tool registration as the .NET example above, but implemented in Java.

import io.modelcontextprotocol.server.McpServer;

import io.modelcontextprotocol.server.McpToolDefinition;

import io.modelcontextprotocol.server.transport.StdioServerTransport;

import io.modelcontextprotocol.server.tool.ToolExecutionContext;

import io.modelcontextprotocol.server.tool.ToolResponse;



public class WeatherMcpServer {

    public static void main(String[] args) throws Exception {

        // Create an MCP server

        McpServer server = McpServer.builder()

            .name("Weather MCP Server")

            .version("1.0.0")

            .build();

            

        // Register a weather tool

        server.registerTool(McpToolDefinition.builder("weatherTool")

            .description("Gets current weather for a location")

            .parameter("location", String.class)

            .execute((ToolExecutionContext ctx) -> {

                String location = ctx.getParameter("location", String.class);

                

                // Get weather data (simplified)

                WeatherData data = getWeatherData(location);

                

                // Return formatted response

                return ToolResponse.content(

                    String.format("Temperature: %.1f°F, Conditions: %s, Location: %s", 

                    data.getTemperature(), 

                    data.getConditions(), 

                    data.getLocation())

                );

            })

            .build());

        

        // Connect the server using stdio transport

        try (StdioServerTransport transport = new StdioServerTransport()) {

            server.connect(transport);

            System.out.println("Weather MCP Server started");

            // Keep server running until process is terminated

            Thread.currentThread().join();

        }

    }

    

    private static WeatherData getWeatherData(String location) {

        // Implementation would call a weather API

        // Simplified for example purposes

        return new WeatherData(72.5, "Sunny", location);

    }

}



class WeatherData {

    private double temperature;

    private String conditions;

    private String location;

    

    public WeatherData(double temperature, String conditions, String location) {

        this.temperature = temperature;

        this.conditions = conditions;

        this.location = location;

    }

    

    public double getTemperature() {

        return temperature;

    }

    

    public String getConditions() {

        return conditions;

    }

    

    public String getLocation() {

        return location;

    }

}

Python Example: Building an MCP Server

This example uses fastmcp, so please ensure you install it first:

pip install fastmcp

Code Sample:

#!/usr/bin/env python3

import asyncio

from fastmcp import FastMCP

from fastmcp.transports.stdio import serve_stdio



# Create a FastMCP server

mcp = FastMCP(

    name="Weather MCP Server",

    version="1.0.0"

)



@mcp.tool()

def get_weather(location: str) -> dict:

    """Gets current weather for a location."""

    return {

        "temperature": 72.5,

        "conditions": "Sunny",

        "location": location

    }



# Alternative approach using a class

class WeatherTools:

    @mcp.tool()

    def forecast(self, location: str, days: int = 1) -> dict:

        """Gets weather forecast for a location for the specified number of days."""

        return {

            "location": location,

            "forecast": [

                {"day": i+1, "temperature": 70 + i, "conditions": "Partly Cloudy"}

                for i in range(days)

            ]

        }



# Register class tools

weather_tools = WeatherTools()



# Start the server

if __name__ == "__main__":

    asyncio.run(serve_stdio(mcp))

JavaScript Example: Creating an MCP Server

This example shows MCP server creation in JavaScript and how to register two weather-related tools.

// Using the official Model Context Protocol SDK

import { McpServer } from "@modelcontextprotocol/sdk/server/mcp.js";

import { StdioServerTransport } from "@modelcontextprotocol/sdk/server/stdio.js";

import { z } from "zod"; // For parameter validation



// Create an MCP server

const server = new McpServer({

  name: "Weather MCP Server",

  version: "1.0.0"

});



// Define a weather tool

server.tool(

  "weatherTool",

  {

    location: z.string().describe("The location to get weather for")

  },

  async ({ location }) => {

    // This would normally call a weather API

    // Simplified for demonstration

    const weatherData = await getWeatherData(location);

    

    return {

      content: [

        { 

          type: "text", 

          text: `Temperature: ${weatherData.temperature}°F, Conditions: ${weatherData.conditions}, Location: ${weatherData.location}` 

        }

      ]

    };

  }

);



// Define a forecast tool

server.tool(

  "forecastTool",

  {

    location: z.string(),

    days: z.number().default(3).describe("Number of days for forecast")

  },

  async ({ location, days }) => {

    // This would normally call a weather API

    // Simplified for demonstration

    const forecast = await getForecastData(location, days);

    

    return {

      content: [

        { 

          type: "text", 

          text: `${days}-day forecast for ${location}: ${JSON.stringify(forecast)}` 

        }

      ]

    };

  }

);



// Helper functions

async function getWeatherData(location) {

  // Simulate API call

  return {

    temperature: 72.5,

    conditions: "Sunny",

    location: location

  };

}



async function getForecastData(location, days) {

  // Simulate API call

  return Array.from({ length: days }, (_, i) => ({

    day: i + 1,

    temperature: 70 + Math.floor(Math.random() * 10),

    conditions: i % 2 === 0 ? "Sunny" : "Partly Cloudy"

  }));

}



// Connect the server using stdio transport

const transport = new StdioServerTransport();

server.connect(transport).catch(console.error);



console.log("Weather MCP Server started");

This JavaScript example demonstrates how to create an MCP server using the Model Context Protocol SDK.

It shows how to register two tools named weatherTool and forecastTool and make them available to MCP clients through the StdioServerTransport.

Security and Authorization

MCP includes several built-in concepts and mechanisms for managing security and authorization throughout the protocol:

1. Tool Permission Control:

Clients can specify which tools a model is allowed to use during a session.

This ensures that only explicitly authorized tools are accessible, reducing the risk of unintended or unsafe operations.

Permissions can be configured dynamically based on user preferences, organizational policies, or the context of the interaction.

2. Authentication:

Servers can require authentication before granting access to tools, resources, or sensitive operations.

This may involve API keys, OAuth tokens, or other authentication schemes.

Proper authentication ensures that only trusted clients and users can invoke server-side capabilities.

3. Validation:

Parameter validation is enforced for all tool invocations.

Each tool defines the expected types, formats, and constraints for its parameters, and the server validates incoming requests accordingly.

This prevents malformed or malicious input from reaching tool implementations and helps maintain the integrity of operations.

4. Rate Limiting:

To prevent abuse and ensure fair usage of server resources, MCP servers can implement rate limiting for tool calls and resource access.

Rate limits can be applied per user, per session, or globally, and help protect against denial-of-service attacks or excessive resource consumption.

By combining these mechanisms, MCP provides a secure foundation for integrating language models with external tools and data sources, while giving users and developers fine-grained control over access and usage.

Protocol Messages & Communication Flow

MCP communication uses structured JSON-RPC 2.0 messages to facilitate clear and reliable interactions between hosts, clients, and servers. The protocol defines specific message patterns for different types of operations:

Core Message Types:

Initialization Messages

initialize Request: Establishes connection and negotiates protocol version and capabilities

initialize Response: Confirms supported features and server information

notifications/initialized: Signals that initialization is complete and the session is ready

Discovery Messages

tools/list Request: Discovers available tools from the server

resources/list Request: Lists available resources (data sources)

prompts/list Request: Retrieves available prompt templates

Execution Messages

tools/call Request: Executes a specific tool with provided parameters

resources/read Request: Retrieves content from a specific resource

prompts/get Request: Fetches a prompt template with optional parameters

Client-side Messages

sampling/complete Request: Server requests LLM completion from the client

elicitation/request: Server requests user input through the client interface

Logging Messages: Server sends structured log messages to the client

Notification Messages

notifications/tools/list_changed: Server notifies client of tool changes

notifications/resources/list_changed: Server notifies client of resource changes

notifications/prompts/list_changed: Server notifies client of prompt changes

Message Structure:

All MCP messages follow JSON-RPC 2.0 format with:

Request Messages: Include id, method, and optional params

Response Messages: Include id and either result or error

Notification Messages: Include method and optional params (no id or response expected)

This structured communication ensures reliable, traceable, and extensible interactions supporting advanced scenarios like real-time updates, tool chaining, and robust error handling.

Tasks (Experimental)

Tasks are an experimental feature that provides durable execution wrappers enabling deferred result retrieval and status tracking for MCP requests:

Long-Running Operations: Track expensive computations, workflow automation, and batch processing

Deferred Results: Poll for task status and retrieve results when operations complete

Status Tracking: Monitor task progress through defined lifecycle states

Multi-Step Operations: Support complex workflows that span multiple interactions

Tasks wrap standard MCP requests to enable asynchronous execution patterns for operations that cannot complete immediately.

Key Takeaways

Architecture: MCP uses a client-server architecture where hosts manage multiple client connections to servers

Participants: The ecosystem includes hosts (AI applications), clients (protocol connectors), and servers (capability providers)

Transport Mechanisms: Communication supports STDIO (local) and Streamable HTTP with optional SSE (remote)

Core Primitives: Servers expose tools (executable functions), resources (data sources), and prompts (templates)

Client Primitives: Servers can request sampling (LLM completions with tool calling support), elicitation (user input including URL mode), roots (filesystem boundaries), and logging from clients

Experimental Features: Tasks provide durable execution wrappers for long-running operations

Protocol Foundation: Built on JSON-RPC 2.0 with date-based versioning (current: 2025-11-25)

Real-time Capabilities: Supports notifications for dynamic updates and real-time synchronization

Security First: Explicit user consent, data privacy protection, and secure transport are core requirements

Exercise

Design a simple MCP tool that would be useful in your domain. Define:

1. What the tool would be named

2. What parameters it would accept

3. What output it would return

4. How a model might use this tool to solve user problems

---

What's next

Next: Chapter 2: Security

MCP Security: Comprehensive Protection for AI Systems

_(Click the image above to view video of this lesson)_

Security is fundamental to AI system design, which is why we prioritize it as our second section.

This aligns with Microsoft's Secure by Design principle from the Secure Future Initiative.

The Model Context Protocol (MCP) brings powerful new capabilities to AI-driven applications while introducing unique security challenges that extend beyond traditional software risks.

MCP systems face both established security concerns (secure coding, least privilege, supply chain security) and new AI-specific threats including prompt injection, tool poisoning, session hijacking, confused deputy attacks, token passthrough vulnerabilities, and dynamic capability modification.

This lesson explores the most critical security risks in MCP implementations—covering authentication, authorization, excessive permissions, indirect prompt injection, session security, confused deputy problems, token management, and supply chain vulnerabilities.

You'll learn actionable controls and best practices to mitigate these risks while leveraging Microsoft solutions like Prompt Shields, Azure Content Safety, and GitHub Advanced Security to strengthen your MCP deployment.

Learning Objectives

By the end of this lesson, you will be able to:

Identify MCP-Specific Threats: Recognize unique security risks in MCP systems including prompt injection, tool poisoning, excessive permissions, session hijacking, confused deputy problems, token passthrough vulnerabilities, and supply chain risks

Apply Security Controls: Implement effective mitigations including robust authentication, least privilege access, secure token management, session security controls, and supply chain verification

Leverage Microsoft Security Solutions: Understand and deploy Microsoft Prompt Shields, Azure Content Safety, and GitHub Advanced Security for MCP workload protection

Validate Tool Security: Recognize the importance of tool metadata validation, monitoring for dynamic changes, and defending against indirect prompt injection attacks

Integrate Best Practices: Combine established security fundamentals (secure coding, server hardening, zero trust) with MCP-specific controls for comprehensive protection

MCP Security Architecture & Controls

Modern MCP implementations require layered security approaches that address both traditional software security and AI-specific threats.

The rapidly evolving MCP specification continues to mature its security controls, enabling better integration with enterprise security architectures and established best practices.

Research from the Microsoft Digital Defense Report demonstrates that 98% of reported breaches would be prevented by robust security hygiene.

The most effective protection strategy combines foundational security practices with MCP-specific controls—proven baseline security measures remain the most impactful in reducing overall security risk.

Current Security Landscape

> Note: This information reflects MCP security standards as of February 5, 2026, aligned with MCP Specification 2025-11-25.

The MCP protocol continues evolving rapidly, and future implementations may introduce new authentication patterns and enhanced controls.

Always refer to the current MCP Specification, MCP GitHub repository, and security best practices documentation for the latest guidance.

🏔️ MCP Security Summit Workshop (Sherpa)

For hands-on security training, we highly recommend the MCP Security Summit Workshop (Sherpa) - a comprehensive guided expedition to securing MCP servers in Microsoft Azure.

Workshop Overview

The MCP Security Summit Workshop provides practical, actionable security training through a proven "vulnerable → exploit → fix → validate" methodology. You'll:

Learn by Breaking Things: Experience vulnerabilities firsthand by exploiting intentionally insecure servers

Use Azure-Native Security: Leverage Azure Entra ID, Key Vault, API Management, and AI Content Safety

Follow Defense-in-Depth: Progress through camps building comprehensive security layers

Apply OWASP Standards: Every technique maps to the OWASP MCP Azure Security Guide

Get Production Code: Walk away with working, tested implementations

The Expedition Route

Camp Focus OWASP Risks Covered ------ ------- --------------------- Base Camp MCP fundamentals & authentication vulnerabilities MCP01, MCP07 Camp 1: Identity OAuth 2.1, Azure Managed Identity, Key Vault MCP01, MCP02, MCP07 Camp 2: Gateway API Management, Private Endpoints, governance MCP02, MCP06, MCP07, MCP09 Camp 3: I/O Security Prompt injection, PII protection, content safety MCP03, MCP05, MCP06, MCP10 Camp 4: Monitoring Log Analytics, dashboards, threat detection MCP04, MCP08 The Summit Red Team / Blue Team integration test All

Get Started: https://azure-samples.github.io/sherpa/

OWASP MCP Top 10 Security Risks

The OWASP MCP Azure Security Guide details the ten most critical security risks for MCP implementations:

Risk Description Azure Mitigation ------ ------------- ------------------ MCP01 Token Mismanagement & Secret Exposure Azure Key Vault, Managed Identity MCP02 Privilege Escalation via Scope Creep RBAC, Conditional Access MCP03 Tool Poisoning Tool validation, integrity verification MCP04 Software Supply Chain Attacks & Dependency Tampering GitHub Advanced Security, dependency scanning MCP05 Command Injection & Execution Input validation, sandboxing MCP06 Intent Flow Subversion Azure AI Content Safety, Prompt Shields MCP07 Insufficient Authentication & Authorization Azure Entra ID, OAuth 2.1 with PKCE MCP08 Lack of Audit and Telemetry Azure Monitor, Application Insights MCP09 Shadow MCP Servers API Center governance, network isolation MCP10 Context Injection & Over-Sharing Data classification, minimal exposure

Evolution of MCP Authentication

The MCP specification has evolved significantly in its approach to authentication and authorization:

Original Approach: Early specifications required developers to implement custom authentication servers, with MCP servers acting as OAuth 2.0 Authorization Servers managing user authentication directly

Current Standard (2025-11-25): Updated specification allows MCP servers to delegate authentication to external identity providers (such as Microsoft Entra ID), improving security posture and reducing implementation complexity

Transport Layer Security: Enhanced support for secure transport mechanisms with proper authentication patterns for both local (STDIO) and remote (Streamable HTTP) connections

Authentication & Authorization Security

Current Security Challenges

Modern MCP implementations face several authentication and authorization challenges:

Risks & Threat Vectors

Misconfigured Authorization Logic: Flawed authorization implementation in MCP servers can expose sensitive data and incorrectly apply access controls

OAuth Token Compromise: Local MCP server token theft enables attackers to impersonate servers and access downstream services

Token Passthrough Vulnerabilities: Improper token handling creates security control bypasses and accountability gaps

Excessive Permissions: Over-privileged MCP servers violate least privilege principles and expand attack surfaces

Token Passthrough: A Critical Anti-Pattern

Token passthrough is explicitly prohibited in the current MCP authorization specification due to severe security implications:

##### Security Control Circumvention

MCP servers and downstream APIs implement critical security controls (rate limiting, request validation, traffic monitoring) that depend on proper token validation

Direct client-to-API token usage bypasses these essential protections, undermining the security architecture

##### Accountability & Audit Challenges

MCP servers cannot distinguish between clients using upstream-issued tokens, breaking audit trails

Downstream resource server logs show misleading request origins rather than actual MCP server intermediaries

Incident investigation and compliance auditing become significantly more difficult

##### Data Exfiltration Risks

Unvalidated token claims enable malicious actors with stolen tokens to use MCP servers as proxies for data exfiltration

Trust boundary violations allow unauthorized access patterns that bypass intended security controls

##### Multi-Service Attack Vectors

Compromised tokens accepted by multiple services enable lateral movement across connected systems

Trust assumptions between services may be violated when token origins cannot be verified

Security Controls & Mitigations

Critical Security Requirements:

> MANDATORY: MCP servers MUST NOT accept any tokens that were not explicitly issued for the MCP server

Authentication & Authorization Controls

Rigorous Authorization Review: Conduct comprehensive audits of MCP server authorization logic to ensure only intended users and clients can access sensitive resources

- Implementation Guide: Azure API Management as Authentication Gateway for MCP Servers

- Identity Integration: Using Microsoft Entra ID for MCP Server Authentication

Secure Token Management: Implement Microsoft's token validation and lifecycle best practices

- Validate token audience claims match MCP server identity

- Implement proper token rotation and expiration policies

- Prevent token replay attacks and unauthorized usage

Protected Token Storage: Secure token storage with encryption both at rest and in transit

- Best Practices: Secure Token Storage and Encryption Guidelines

Access Control Implementation

Principle of Least Privilege: Grant MCP servers only minimum permissions required for intended functionality

- Regular permission reviews and updates to prevent privilege creep

- Microsoft Documentation: Secure Least-Privileged Access

Role-Based Access Control (RBAC): Implement fine-grained role assignments

- Scope roles tightly to specific resources and actions

- Avoid broad or unnecessary permissions that expand attack surfaces

Continuous Permission Monitoring: Implement ongoing access auditing and monitoring

- Monitor permission usage patterns for anomalies

- Promptly remediate excessive or unused privileges

AI-Specific Security Threats

Prompt Injection & Tool Manipulation Attacks

Modern MCP implementations face sophisticated AI-specific attack vectors that traditional security measures cannot fully address:

Indirect Prompt Injection (Cross-Domain Prompt Injection)

Indirect Prompt Injection represents one of the most critical vulnerabilities in MCP-enabled AI systems.

Attackers embed malicious instructions within external content—documents, web pages, emails, or data sources—that AI systems subsequently process as legitimate commands.

Attack Scenarios:

Document-based Injection: Malicious instructions hidden in processed documents that trigger unintended AI actions

Web Content Exploitation: Compromised web pages containing embedded prompts that manipulate AI behavior when scraped

Email-based Attacks: Malicious prompts in emails that cause AI assistants to leak information or perform unauthorized actions

Data Source Contamination: Compromised databases or APIs serving tainted content to AI systems

Real-World Impact: These attacks can result in data exfiltration, privacy breaches, generation of harmful content, and manipulation of user interactions.

For detailed analysis, see Prompt Injection in MCP (Simon Willison).

Tool Poisoning Attacks

Tool Poisoning targets the metadata that defines MCP tools, exploiting how LLMs interpret tool descriptions and parameters to make execution decisions.

Attack Mechanisms:

Metadata Manipulation: Attackers inject malicious instructions into tool descriptions, parameter definitions, or usage examples

Invisible Instructions: Hidden prompts in tool metadata that are processed by AI models but invisible to human users

Dynamic Tool Modification ("Rug Pulls"): Tools approved by users are later modified to perform malicious actions without user awareness

Parameter Injection: Malicious content embedded in tool parameter schemas that influence model behavior

Hosted Server Risks: Remote MCP servers present elevated risks as tool definitions can be updated after initial user approval, creating scenarios where previously safe tools become malicious.

For comprehensive analysis, see Tool Poisoning Attacks (Invariant Labs).

Additional AI Attack Vectors

Cross-Domain Prompt Injection (XPIA): Sophisticated attacks that leverage content from multiple domains to bypass security controls

Dynamic Capability Modification: Real-time changes to tool capabilities that escape initial security assessments

Context Window Poisoning: Attacks that manipulate large context windows to hide malicious instructions

Model Confusion Attacks: Exploiting model limitations to create unpredictable or unsafe behaviors

AI Security Risk Impact

High-Impact Consequences:

Data Exfiltration: Unauthorized access and theft of sensitive enterprise or personal data

Privacy Breaches: Exposure of personally identifiable information (PII) and confidential business data

System Manipulation: Unintended modifications to critical systems and workflows

Credential Theft: Compromise of authentication tokens and service credentials

Lateral Movement: Use of compromised AI systems as pivots for broader network attacks

Microsoft AI Security Solutions

AI Prompt Shields: Advanced Protection Against Injection Attacks

Microsoft AI Prompt Shields provide comprehensive defense against both direct and indirect prompt injection attacks through multiple security layers:

##### Core Protection Mechanisms:

1. Advanced Detection & Filtering

- Machine learning algorithms and NLP techniques detect malicious instructions in external content

- Real-time analysis of documents, web pages, emails, and data sources for embedded threats

- Contextual understanding of legitimate vs. malicious prompt patterns

2. Spotlighting Techniques

- Distinguishes between trusted system instructions and potentially compromised external inputs

- Text transformation methods that enhance model relevance while isolating malicious content

- Helps AI systems maintain proper instruction hierarchy and ignore injected commands

3. Delimiter & Datamarking Systems

- Explicit boundary definition between trusted system messages and external input text

- Special markers highlight boundaries between trusted and untrusted data sources

- Clear separation prevents instruction confusion and unauthorized command execution

4. Continuous Threat Intelligence

- Microsoft continuously monitors emerging attack patterns and updates defenses

- Proactive threat hunting for new injection techniques and attack vectors

- Regular security model updates to maintain effectiveness against evolving threats

5. Azure Content Safety Integration

- Part of comprehensive Azure AI Content Safety suite

- Additional detection for jailbreak attempts, harmful content, and security policy violations

- Unified security controls across AI application components

Implementation Resources: Microsoft Prompt Shields Documentation

Advanced MCP Security Threats

Session Hijacking Vulnerabilities

Session hijacking represents a critical attack vector in stateful MCP implementations where unauthorized parties obtain and abuse legitimate session identifiers to impersonate clients and perform unauthorized actions.

Attack Scenarios & Risks

Session Hijack Prompt Injection: Attackers with stolen session IDs inject malicious events into servers sharing session state, potentially triggering harmful actions or accessing sensitive data

Direct Impersonation: Stolen session IDs enable direct MCP server calls that bypass authentication, treating attackers as legitimate users

Compromised Resumable Streams: Attackers can terminate requests prematurely, causing legitimate clients to resume with potentially malicious content

Security Controls for Session Management

Critical Requirements:

Authorization Verification: MCP servers implementing authorization MUST verify ALL inbound requests and MUST NOT rely on sessions for authentication

Secure Session Generation: Use cryptographically secure, non-deterministic session IDs generated with secure random number generators

User-Specific Binding: Bind session IDs to user-specific information using formats like : to prevent cross-user session abuse

Session Lifecycle Management: Implement proper expiration, rotation, and invalidation to limit vulnerability windows

Transport Security: Mandatory HTTPS for all communication to prevent session ID interception

Confused Deputy Problem

The confused deputy problem occurs when MCP servers act as authentication proxies between clients and third-party services, creating opportunities for authorization bypass through static client ID exploitation.

Attack Mechanics & Risks

Cookie-based Consent Bypass: Previous user authentication creates consent cookies that attackers exploit through malicious authorization requests with crafted redirect URIs

Authorization Code Theft: Existing consent cookies may cause authorization servers to skip consent screens, redirecting codes to attacker-controlled endpoints

Unauthorized API Access: Stolen authorization codes enable token exchange and user impersonation without explicit approval

Mitigation Strategies

Mandatory Controls:

Explicit Consent Requirements: MCP proxy servers using static client IDs MUST obtain user consent for each dynamically registered client

OAuth 2.1 Security Implementation: Follow current OAuth security best practices including PKCE (Proof Key for Code Exchange) for all authorization requests

Strict Client Validation: Implement rigorous validation of redirect URIs and client identifiers to prevent exploitation

Token Passthrough Vulnerabilities

Token passthrough represents an explicit anti-pattern where MCP servers accept client tokens without proper validation and forward them to downstream APIs, violating MCP authorization specifications.

Security Implications

Control Circumvention: Direct client-to-API token usage bypasses critical rate limiting, validation, and monitoring controls

Audit Trail Corruption: Upstream-issued tokens make client identification impossible, breaking incident investigation capabilities

Proxy-based Data Exfiltration: Unvalidated tokens enable malicious actors to use servers as proxies for unauthorized data access

Trust Boundary Violations: Downstream services' trust assumptions may be violated when token origins cannot be verified

Multi-service Attack Expansion: Compromised tokens accepted across multiple services enable lateral movement

Required Security Controls

Non-negotiable Requirements:

Token Validation: MCP servers MUST NOT accept tokens not explicitly issued for the MCP server

Audience Verification: Always validate token audience claims match the MCP server's identity

Proper Token Lifecycle: Implement short-lived access tokens with secure rotation practices

Supply Chain Security for AI Systems

Supply chain security has evolved beyond traditional software dependencies to encompass the entire AI ecosystem.

Modern MCP implementations must rigorously verify and monitor all AI-related components, as each introduces potential vulnerabilities that could compromise system integrity.

Expanded AI Supply Chain Components

Traditional Software Dependencies:

Open-source libraries and frameworks

Container images and base systems

Development tools and build pipelines

Infrastructure components and services

AI-Specific Supply Chain Elements:

Foundation Models: Pre-trained models from various providers requiring provenance verification

Embedding Services: External vectorization and semantic search services

Context Providers: Data sources, knowledge bases, and document repositories

Third-party APIs: External AI services, ML pipelines, and data processing endpoints

Model Artifacts: Weights, configurations, and fine-tuned model variants

Training Data Sources: Datasets used for model training and fine-tuning

Comprehensive Supply Chain Security Strategy

Component Verification & Trust

Provenance Validation: Verify the origin, licensing, and integrity of all AI components before integration

Security Assessment: Conduct vulnerability scans and security reviews for models, data sources, and AI services

Reputation Analysis: Evaluate the security track record and practices of AI service providers

Compliance Verification: Ensure all components meet organizational security and regulatory requirements

Secure Deployment Pipelines

Automated CI/CD Security: Integrate security scanning throughout automated deployment pipelines

Artifact Integrity: Implement cryptographic verification for all deployed artifacts (code, models, configurations)

Staged Deployment: Use progressive deployment strategies with security validation at each stage

Trusted Artifact Repositories: Deploy only from verified, secure artifact registries and repositories

Continuous Monitoring & Response

Dependency Scanning: Ongoing vulnerability monitoring for all software and AI component dependencies

Model Monitoring: Continuous assessment of model behavior, performance drift, and security anomalies

Service Health Tracking: Monitor external AI services for availability, security incidents, and policy changes

Threat Intelligence Integration: Incorporate threat feeds specific to AI and ML security risks

Access Control & Least Privilege

Component-level Permissions: Restrict access to models, data, and services based on business necessity

Service Account Management: Implement dedicated service accounts with minimal required permissions

Network Segmentation: Isolate AI components and limit network access between services

API Gateway Controls: Use centralized API gateways to control and monitor access to external AI services

Incident Response & Recovery

Rapid Response Procedures: Established processes for patching or replacing compromised AI components

Credential Rotation: Automated systems for rotating secrets, API keys, and service credentials

Rollback Capabilities: Ability to quickly revert to previous known-good versions of AI components

Supply Chain Breach Recovery: Specific procedures for responding to upstream AI service compromises

Microsoft Security Tools & Integration

GitHub Advanced Security provides comprehensive supply chain protection including:

Secret Scanning: Automated detection of credentials, API keys, and tokens in repositories

Dependency Scanning: Vulnerability assessment for open-source dependencies and libraries

CodeQL Analysis: Static code analysis for security vulnerabilities and coding issues

Supply Chain Insights: Visibility into dependency health and security status

Azure DevOps & Azure Repos Integration:

Seamless security scanning integration across Microsoft development platforms

Automated security checks in Azure Pipelines for AI workloads

Policy enforcement for secure AI component deployment

Microsoft Internal Practices:

Microsoft implements extensive supply chain security practices across all products.

Learn about proven approaches in The Journey to Secure the Software Supply Chain at Microsoft.

Foundation Security Best Practices

MCP implementations inherit and build upon your organization's existing security posture. Strengthening foundational security practices significantly enhances the overall security of AI systems and MCP deployments.

Core Security Fundamentals

Secure Development Practices

OWASP Compliance: Protect against OWASP Top 10 web application vulnerabilities

AI-Specific Protections: Implement controls for OWASP Top 10 for LLMs

Secure Secrets Management: Use dedicated vaults for tokens, API keys, and sensitive configuration data

End-to-End Encryption: Implement secure communications across all application components and data flows

Input Validation: Rigorous validation of all user inputs, API parameters, and data sources

Infrastructure Hardening

Multi-Factor Authentication: Mandatory MFA for all administrative and service accounts

Patch Management: Automated, timely patching for operating systems, frameworks, and dependencies

Identity Provider Integration: Centralized identity management through enterprise identity providers (Microsoft Entra ID, Active Directory)

Network Segmentation: Logical isolation of MCP components to limit lateral movement potential

Principle of Least Privilege: Minimal required permissions for all system components and accounts

Security Monitoring & Detection

Comprehensive Logging: Detailed logging of AI application activities, including MCP client-server interactions

SIEM Integration: Centralized security information and event management for anomaly detection

Behavioral Analytics: AI-powered monitoring to detect unusual patterns in system and user behavior

Threat Intelligence: Integration of external threat feeds and indicators of compromise (IOCs)

Incident Response: Well-defined procedures for security incident detection, response, and recovery

Zero Trust Architecture

Never Trust, Always Verify: Continuous verification of users, devices, and network connections

Micro-Segmentation: Granular network controls that isolate individual workloads and services

Identity-Centric Security: Security policies based on verified identities rather than network location

Continuous Risk Assessment: Dynamic security posture evaluation based on current context and behavior

Conditional Access: Access controls that adapt based on risk factors, location, and device trust

Enterprise Integration Patterns

Microsoft Security Ecosystem Integration

Microsoft Defender for Cloud: Comprehensive cloud security posture management

Azure Sentinel: Cloud-native SIEM and SOAR capabilities for AI workload protection

Microsoft Entra ID: Enterprise identity and access management with conditional access policies

Azure Key Vault: Centralized secrets management with hardware security module (HSM) backing

Microsoft Purview: Data governance and compliance for AI data sources and workflows

Compliance & Governance

Regulatory Alignment: Ensure MCP implementations meet industry-specific compliance requirements (GDPR, HIPAA, SOC 2)

Data Classification: Proper categorization and handling of sensitive data processed by AI systems

Audit Trails: Comprehensive logging for regulatory compliance and forensic investigation

Privacy Controls: Implementation of privacy-by-design principles in AI system architecture

Change Management: Formal processes for security reviews of AI system modifications

These foundational practices create a robust security baseline that enhances the effectiveness of MCP-specific security controls and provides comprehensive protection for AI-driven applications.

Key Security Takeaways

Layered Security Approach: Combine foundational security practices (secure coding, least privilege, supply chain verification, continuous monitoring) with AI-specific controls for comprehensive protection

AI-Specific Threat Landscape: MCP systems face unique risks including prompt injection, tool poisoning, session hijacking, confused deputy problems, token passthrough vulnerabilities, and excessive permissions that require specialized mitigations

Authentication & Authorization Excellence: Implement robust authentication using external identity providers (Microsoft Entra ID), enforce proper token validation, and never accept tokens not explicitly issued for your MCP server

AI Attack Prevention: Deploy Microsoft Prompt Shields and Azure Content Safety to defend against indirect prompt injection and tool poisoning attacks, while validating tool metadata and monitoring for dynamic changes

Session & Transport Security: Use cryptographically secure, non-deterministic session IDs bound to user identities, implement proper session lifecycle management, and never use sessions for authentication

OAuth Security Best Practices: Prevent confused deputy attacks through explicit user consent for dynamically registered clients, proper OAuth 2.1 implementation with PKCE, and strict redirect URI validation

Token Security Principles: Avoid token passthrough anti-patterns, validate token audience claims, implement short-lived tokens with secure rotation, and maintain clear trust boundaries

Comprehensive Supply Chain Security: Treat all AI ecosystem components (models, embeddings, context providers, external APIs) with the same security rigor as traditional software dependencies

Continuous Evolution: Stay current with rapidly evolving MCP specifications, contribute to security community standards, and maintain adaptive security postures as the protocol matures

Microsoft Security Integration: Leverage Microsoft's comprehensive security ecosystem (Prompt Shields, Azure Content Safety, GitHub Advanced Security, Entra ID) for enhanced MCP deployment protection

Comprehensive Resources

Official MCP Security Documentation

MCP Specification (Current: 2025-11-25)

MCP Security Best Practices

MCP Authorization Specification

MCP GitHub Repository

OWASP MCP Security Resources

OWASP MCP Azure Security Guide - Comprehensive OWASP MCP Top 10 with Azure implementation guidance

OWASP MCP Top 10 - Official OWASP MCP security risks

MCP Security Summit Workshop (Sherpa) - Hands-on security training for MCP on Azure

Security Standards & Best Practices

OAuth 2.0 Security Best Practices (RFC 9700)

OWASP Top 10 Web Application Security

OWASP Top 10 for Large Language Models

Microsoft Digital Defense Report

AI Security Research & Analysis

Prompt Injection in MCP (Simon Willison)

Tool Poisoning Attacks (Invariant Labs)

MCP Security Research Briefing (Wiz Security)

Microsoft Security Solutions

Microsoft Prompt Shields Documentation

Azure Content Safety Service

Microsoft Entra ID Security

Azure Token Management Best Practices

GitHub Advanced Security

Implementation Guides & Tutorials

Azure API Management as MCP Authentication Gateway

Microsoft Entra ID Authentication with MCP Servers

Secure Token Storage and Encryption (Video)

DevOps & Supply Chain Security

Azure DevOps Security

Azure Repos Security

Microsoft Supply Chain Security Journey

Additional Security Documentation

For comprehensive security guidance, refer to these specialized documents in this section:

MCP Security Best Practices 2025 - Complete security best practices for MCP implementations

Azure Content Safety Implementation - Practical implementation examples for Azure Content Safety integration

MCP Security Controls 2025 - Latest security controls and techniques for MCP deployments

MCP Best Practices Quick Reference - Quick reference guide for essential MCP security practices

BlueHat 2026: Securing the future of AI: Securing MCP with defense in depth patterns - Defense-in-depth patterns from the Microsoft Security Response Center (MSRC)

Hands-On Security Training

MCP Security Summit Workshop (Sherpa) - Comprehensive hands-on workshop for securing MCP servers in Azure with progressive camps from Base Camp to Summit

OWASP MCP Azure Security Guide - Reference architecture and implementation guidance for all OWASP MCP Top 10 risks

---

What's Next

Next: Chapter 3: Getting Started

Model Context Protocol(MCP) 소개: 확장 가능한 AI 애플리케이션에서 중요한 이유

_(위 이미지를 클릭하면 이 강의의 영상을 볼 수 있습니다)_

생성형 AI 애플리케이션은 종종 사용자가 자연어 프롬프트로 앱과 상호작용할 수 있게 해주기 때문에 큰 진전입니다.

그러나 이러한 앱에 더 많은 시간과 자원을 투자할수록 기능과 리소스를 쉽게 통합하여 확장하기 쉽고, 여러 모델을 지원할 수 있으며, 다양한 모델의 복잡성을 다룰 수 있도록 해야 합니다.

요컨대, 생성형 AI 앱은 시작은 쉽지만 성장하고 복잡해질수록 아키텍처를 정의하기 시작해야 하며, 일관된 방식으로 앱을 구축하기 위해 표준에 의존해야 할 가능성이 높습니다.

여기서 MCP가 등장하여 체계적으로 정리하고 표준을 제공합니다.

---

🔍 Model Context Protocol(MCP)란?

Model Context Protocol(MCP)는 대규모 언어 모델(LLM)이 외부 도구, API 및 데이터 소스와 원활하게 상호작용할 수 있도록 하는 개방형, 표준화된 인터페이스입니다. 모델의 학습 데이터를 넘어 AI 모델 기능을 향상시키는 일관된 아키텍처를 제공하여 더 스마트하고 확장 가능하며 반응성 높은 AI 시스템을 가능하게 합니다.

---

🎯 AI에서 표준화가 중요한 이유

생성형 AI 애플리케이션이 점점 복잡해짐에 따라 확장성, 확장 가능성, 유지보수 용이성, 공급업체 종속 회피를 보장하는 표준 채택이 필수적입니다. MCP는 다음과 같은 요구를 충족합니다:

모델-도구 통합의 통합

깨지기 쉬운 일회성 맞춤 솔루션 감소

여러 공급업체의 다양한 모델이 하나의 생태계 내에서 공존 가능

참고: MCP는 개방형 표준으로 소개되지만 IEEE, IETF, W3C, ISO 또는 기타 기존 표준화 기관을 통한 표준화 계획은 없습니다.

---

📚 학습 목표

이 글을 마치면 다음을 할 수 있습니다:

Model Context Protocol(MCP) 정의와 사용 사례 파악

MCP가 모델-도구 간 통신을 어떻게 표준화하는지 이해

MCP 아키텍처의 핵심 구성 요소 식별

기업 및 개발 환경에서 MCP의 실제 적용 사례 탐색

---

💡 Model Context Protocol(MCP)이 게임체인저인 이유

🔗 MCP는 AI 상호작용의 단편화를 해결합니다

MCP 이전에는 모델과 도구를 통합하려면 다음이 필요했습니다:

도구-모델 쌍마다 맞춤 코드 작성

공급업체마다 비표준 API 사용

업데이트로 인한 잦은 장애

도구 수 증가 시 낮은 확장성

✅ MCP 표준화의 이점

이점 설명 --------------------------- -------------------------------------------------------------------------- 상호운용성 LLM들이 서로 다른 공급업체의 도구와 원활하게 작동 일관성 플랫폼 및 도구 전반에 걸쳐 균일한 동작 재사용성 한 번 만든 도구를 여러 프로젝트 및 시스템에서 활용 가능 개발 가속화 표준화되고 플러그앤플레이 가능한 인터페이스 사용으로 개발 시간 단축

---

🧱 MCP 아키텍처 개요

MCP는 클라이언트-서버 모델을 따르며:

MCP 호스트는 AI 모델을 운영

MCP 클라이언트가 요청 시작

MCP 서버가 컨텍스트, 도구 및 기능을 제공

핵심 구성 요소:

리소스 – 모델에 제공되는 정적 또는 동적 데이터

프롬프트 – 안내 생성용 미리 정의된 워크플로

도구 – 검색, 계산 등 실행 가능한 함수

샘플링 – 재귀적 상호작용으로 에이전트 행동 구현

이끌어내기(Elicitation) – 서버 주도의 사용자 입력 요청

루트(Roots) – 서버 접근 제어를 위한 파일시스템 경계

프로토콜 아키텍처:

MCP는 2계층 아키텍처 사용:

데이터 계층: JSON-RPC 2.0 기반 통신 및 생명주기 관리와 원시 기능

전송 계층: STDIO(로컬) 및 SSE(streamable HTTP, 원격) 통신 채널

---

MCP 서버 동작 방식

MCP 서버는 다음과 같이 동작합니다:

요청 흐름:

1. 요청은 최종 사용자 또는 사용자를 대신하는 소프트웨어에 의해 시작됩니다.

2. MCP 클라이언트가 AI 모델 런타임을 관리하는 MCP 호스트에 요청을 보냅니다.

3. AI 모델은 사용자 프롬프트를 수신하고, 하나 이상의 도구 호출을 통해 외부 도구 또는 데이터 접근을 요청할 수 있습니다.

4. MCP 호스트가 모델을 직접 거치지 않고 표준화된 프로토콜을 사용해 적절한 MCP 서버와 통신합니다.

MCP 호스트 기능:

- 도구 레지스트리: 사용 가능한 도구와 기능 카탈로그 유지

- 인증: 도구 접근 권한 검증

- 요청 처리기: 모델로부터 들어오는 도구 요청 처리

- 응답 포맷터: 모델이 이해할 수 있는 형식으로 도구 출력 구조화

MCP 서버 실행:

- MCP 호스트가 하나 이상의 MCP 서버로 도구 호출을 라우팅하며, 각 서버는 검색, 계산, 데이터베이스 쿼리 등 전문 기능을 노출

- MCP 서버는 자체 연산을 수행하고 결과를 일관된 형식으로 MCP 호스트에 반환

- MCP 호스트는 이 결과를 포맷하여 AI 모델에 전달

응답 완료:

- AI 모델이 도구 출력을 종합해 최종 응답 생성

- MCP 호스트는 이 응답을 MCP 클라이언트에 보내고, 클라이언트가 최종 사용자 또는 호출 소프트웨어에 전달

---

title: MCP 아키텍처와 구성 요소 상호작용

description: MCP 구성 요소들의 흐름을 보여주는 다이어그램입니다.

---

graph TD

    Client[MCP 클라이언트/애플리케이션] -->|요청 전송| H[MCP 호스트]

    H -->|호출| A[AI 모델]

    A -->|도구 호출 요청| H

    H -->|MCP 프로토콜| T1[MCP 서버 도구 01: 웹 검색]

    H -->|MCP 프로토콜| T2[MCP 서버 도구 02: 계산기 도구]

    H -->|MCP 프로토콜| T3[MCP 서버 도구 03: 데이터베이스 접근 도구]

    H -->|MCP 프로토콜| T4[MCP 서버 도구 04: 파일 시스템 도구]

    H -->|응답 전송| Client



    subgraph "MCP 호스트 구성 요소"

        H

        G[도구 레지스트리]

        I[인증]

        J[요청 처리기]

        K[응답 포매터]

    end



    H <--> G

    H <--> I

    H <--> J

    H <--> K



    style A fill:#f9d5e5,stroke:#333,stroke-width:2px

    style H fill:#eeeeee,stroke:#333,stroke-width:2px

    style Client fill:#d5e8f9,stroke:#333,stroke-width:2px

    style G fill:#fffbe6,stroke:#333,stroke-width:1px

    style I fill:#fffbe6,stroke:#333,stroke-width:1px

    style J fill:#fffbe6,stroke:#333,stroke-width:1px

    style K fill:#fffbe6,stroke:#333,stroke-width:1px

    style T1 fill:#c2f0c2,stroke:#333,stroke-width:1px

    style T2 fill:#c2f0c2,stroke:#333,stroke-width:1px

    style T3 fill:#c2f0c2,stroke:#333,stroke-width:1px

    style T4 fill:#c2f0c2,stroke:#333,stroke-width:1px

👨‍💻 MCP 서버 구축 방법 (예제 포함)

MCP 서버는 데이터를 제공하고 기능을 확장하여 LLM의 기능을 확장할 수 있게 합니다.

직접 시도해보고 싶나요? 아래는 다양한 언어/스택별 SDK와 간단한 MCP 서버 생성 예제입니다:

Python SDK: https://github.com/modelcontextprotocol/python-sdk

TypeScript SDK: https://github.com/modelcontextprotocol/typescript-sdk

Java SDK: https://github.com/modelcontextprotocol/java-sdk

C#/.NET SDK: https://github.com/modelcontextprotocol/csharp-sdk

🌍 MCP의 실제 활용 사례

MCP는 AI 기능 확장을 통해 다양한 응용을 가능하게 합니다:

응용 분야 설명 ---------------------------- --------------------------------------------------------------------------- 기업 데이터 통합 LLM을 데이터베이스, CRM, 내부 도구와 연결 에이전틱 AI 시스템 도구 접근 및 의사결정 워크플로우가 있는 자율 에이전트 지원 다중 모달 애플리케이션 텍스트, 이미지, 오디오 도구를 하나의 통합 AI 앱에서 결합 실시간 데이터 통합 더 정확하고 최신의 출력을 위한 실시간 데이터 AI 상호작용에 도입

🧠 MCP = AI 상호작용을 위한 범용 표준

Model Context Protocol(MCP)는 USB-C가 장치의 물리적 연결을 표준화한 것처럼 AI 상호작용의 범용 표준 역할을 합니다. AI 세계에서 MCP는 모델(클라이언트)이 외부 도구와 데이터 제공자(서버)와 원활하게 통합될 수 있도록 일관된 인터페이스를 제공합니다. 이는 각 API나 데이터 소스마다 다양한 맞춤 프로토콜 필요성을 없애줍니다.

MCP 호환 도구(즉, MCP 서버)는 통합된 표준을 따릅니다. 이러한 서버들은 제공하는 도구나 작업 목록을 나열하고, AI 에이전트의 요청에 따라 해당 작업을 수행합니다. MCP를 지원하는 AI 에이전트 플랫폼은 서버에서 사용 가능한 도구를 탐색하고 이 표준 프로토콜을 통해 호출할 수 있습니다.

💡 지식 접근 용이성 제공

도구 제공 외에도 MCP는 지식 접근을 용이하게 합니다.

이는 애플리케이션이 대형 언어 모델(LLM)에 컨텍스트를 제공하기 위해 다양한 데이터 소스와 연결하도록 합니다.

예를 들어, MCP 서버는 회사 문서 저장소를 나타내어 에이전트가 필요 시 관련 정보를 검색할 수 있게 합니다.

다른 서버는 이메일 전송이나 기록 업데이트 같은 특정 작업을 처리할 수 있습니다.

에이전트 관점에서 이들은 단순히 사용할 수 있는 도구이며, 일부 도구는 데이터(지식 컨텍스트)를 반환하고 다른 도구는 작업을 수행합니다.

MCP는 이 둘을 효율적으로 관리합니다.

MCP 서버에 연결된 에이전트는 표준 형식을 통해 서버의 사용 가능한 기능과 접근 가능한 데이터를 자동으로 학습합니다. 이 표준화 덕분에 도구 가용성이 동적으로 변할 수 있습니다. 예를 들어, 새로운 MCP 서버를 에이전트 시스템에 추가하면 에이전트 지시문을 추가로 수정하지 않아도 즉시 그 기능을 사용할 수 있습니다.

이 간소화된 통합은 다음 다이어그램에 묘사된 흐름과 일치하며, 서버가 도구와 지식을 모두 제공하여 시스템 간 원활한 협업을 보장합니다.

👉 예시: 확장 가능한 에이전트 솔루션

---

title: MCP를 통한 확장 가능한 에이전트 솔루션

description: 사용자가 여러 MCP 서버와 연결된 LLM과 상호작용하는 방식을 보여주는 다이어그램으로, 각 서버는 지식과 도구를 제공하여 확장 가능한 AI 시스템 아키텍처를 만듭니다

---

graph TD

    User -->|프롬프트| LLM

    LLM -->|응답| User

    LLM -->|MCP| ServerA

    LLM -->|MCP| ServerB

    ServerA -->|범용 커넥터| ServerB

    ServerA --> KnowledgeA

    ServerA --> ToolsA

    ServerB --> KnowledgeB

    ServerB --> ToolsB



    subgraph Server A

        KnowledgeA[지식]

        ToolsA[도구]

    end



    subgraph Server B

        KnowledgeB[지식]

        ToolsB[도구]

    end

도구 및 지식 연합: 도구와 데이터를 서버 전반에 걸쳐 접근 가능하게 하여 더 확장 가능하고 모듈식인 에이전트 아키텍처 지원.

🔄 클라이언트측 LLM 통합을 통한 고급 MCP 시나리오

기본 MCP 아키텍처를 넘어, 클라이언트와 서버 모두 LLM을 포함하는 고급 시나리오가 있습니다. 다음 다이어그램에서 클라이언트 앱은 사용자 LLM을 위한 여러 MCP 도구가 있는 IDE일 수 있습니다:

---

title: 클라이언트-서버 LLM 통합을 통한 고급 MCP 시나리오

description: 사용자, 클라이언트 애플리케이션, 클라이언트 LLM, 여러 MCP 서버, 서버 LLM 간의 상세 상호작용 흐름을 보여주는 시퀀스 다이어그램으로, 도구 탐색, 사용자 상호작용, 직접 도구 호출, 기능 협상 단계를 설명합니다

---

sequenceDiagram

    autonumber

    actor User as 👤 사용자

    participant ClientApp as 🖥️ 클라이언트 앱

    participant ClientLLM as 🧠 클라이언트 LLM

    participant Server1 as 🔧 MCP 서버 1

    participant Server2 as 📚 MCP 서버 2

    participant ServerLLM as 🤖 서버 LLM

    

    %% Discovery Phase

    rect rgb(220, 240, 255)

        Note over ClientApp, Server2: 도구 탐색 단계

        ClientApp->>+Server1: 사용 가능한 도구/리소스 요청

        Server1-->>-ClientApp: 도구 목록 반환 (JSON)

        ClientApp->>+Server2: 사용 가능한 도구/리소스 요청

        Server2-->>-ClientApp: 도구 목록 반환 (JSON)

        Note right of ClientApp: 통합 도구 카탈로그를<br/>로컬에 저장

    end

    

    %% User Interaction

    rect rgb(255, 240, 220)

        Note over User, ClientLLM: 사용자 상호작용 단계

        User->>+ClientApp: 자연어 프롬프트 입력

        ClientApp->>+ClientLLM: 프롬프트 + 도구 카탈로그 전달

        ClientLLM->>-ClientLLM: 프롬프트 분석 및 도구 선택

    end

    

    %% Scenario A: Direct Tool Calling

    alt 직접 도구 호출

        rect rgb(220, 255, 220)

            Note over ClientApp, Server1: 시나리오 A: 직접 도구 호출

            ClientLLM->>+ClientApp: 도구 실행 요청

            ClientApp->>+Server1: 특정 도구 실행

            Server1-->>-ClientApp: 결과 반환

            ClientApp->>+ClientLLM: 결과 처리

            ClientLLM-->>-ClientApp: 응답 생성

            ClientApp-->>-User: 최종 답변 표시

        end

    

    %% Scenario B: Feature Negotiation (VS Code style)

    else 기능 협상 (VS Code 스타일)

        rect rgb(255, 220, 220)

            Note over ClientApp, ServerLLM: 시나리오 B: 기능 협상

            ClientLLM->>+ClientApp: 필요한 기능 식별

            ClientApp->>+Server2: 기능/역량 협상

            Server2->>+ServerLLM: 추가 컨텍스트 요청

            ServerLLM-->>-Server2: 컨텍스트 제공

            Server2-->>-ClientApp: 사용 가능한 기능 반환

            ClientApp->>+Server2: 협상 도구 호출

            Server2-->>-ClientApp: 결과 반환

            ClientApp->>+ClientLLM: 결과 처리

            ClientLLM-->>-ClientApp: 응답 생성

            ClientApp-->>-User: 최종 답변 표시

        end

    end

🔐 MCP의 실질적 이점

MCP 사용의 실질적 이점은 다음과 같습니다:

최신성: 모델이 학습 데이터를 넘어 최신 정보를 접근 가능

기능 확장: 모델이 훈련받지 않은 작업에 특화된 도구 활용 가능

환각 감소: 외부 데이터 소스가 사실적 근거 제공

프라이버시: 민감한 데이터는 프롬프트에 포함되지 않고 안전한 환경에 보관

📌 주요 요점

MCP 사용의 주요 요점은 다음과 같습니다:

MCP는 AI 모델이 도구 및 데이터와 상호작용하는 방식을 표준화

확장성, 일관성, 상호운용성 촉진

MCP는 개발 시간 단축, 신뢰성 향상, 모델 기능 확장에 도움

클라이언트-서버 아키텍처는 유연하고 확장 가능한 AI 애플리케이션 가능케 함

🧠 연습 문제

여러분이 만들고 싶은 AI 애플리케이션을 생각해보세요.

어떤 외부 도구나 데이터가 기능을 향상할 수 있을까요?

MCP가 통합을 어떻게 더 쉽고 신뢰성 있게 만들 수 있을까요?

추가 자료

MCP GitHub 저장소

다음 내용

다음: 챕터 1: 핵심 개념

---

면책 조항:

이 문서는 AI 번역 서비스 Co-op Translator를 사용하여 번역되었습니다.

정확성을 위해 노력하였으나 자동 번역에는 오류나 부정확한 점이 포함될 수 있으니 참고하시기 바랍니다.

원본 문서가 권위 있는 자료로 간주되어야 합니다.

중요한 정보의 경우, 전문적인 인력에 의한 번역을 권장합니다.

이 번역 사용으로 인해 발생하는 오해나 잘못된 해석에 대해서 당사는 책임을 지지 않습니다.

MCP 핵심 개념: AI 통합을 위한 모델 컨텍스트 프로토콜 마스터하기

_(위 이미지를 클릭하여 이 강의의 영상을 시청하세요)_

이 가이드에서는 MCP의 핵심 개념을 안내합니다. 클라이언트-서버 아키텍처, 주요 구성 요소, 통신 메커니즘 및 구현 모범 사례에 대해 배우게 됩니다.

명시적 사용자 동의: 모든 데이터 접근 및 작업은 실행 전에 명확한 사용자 승인을 필요로 합니다. 사용자는 어떤 데이터가 접근되는지, 어떤 작업이 수행되는지 명확히 이해하고, 권한 및 인가에 대해 세분화된 제어를 가져야 합니다.

데이터 프라이버시 보호: 사용자 데이터는 명시적 동의가 있을 때만 노출되며, 상호 작용 전체 라이프사이클에 걸쳐 강력한 접근 제어로 보호되어야 합니다. 무단 데이터 전송을 방지하고 엄격한 프라이버시 경계를 유지해야 합니다.

도구 실행 안전성: 모든 도구 호출은 해당 도구의 기능, 매개변수, 잠재적 영향을 명확히 이해하는 명시적 사용자 동의를 요구합니다. 견고한 보안 경계는 의도치 않은, 안전하지 않거나 악의적인 도구 실행을 방지해야 합니다.

전송 계층 보안: 모든 통신 채널은 적절한 암호화 및 인증 메커니즘을 사용해야 합니다. 원격 연결은 안전한 전송 프로토콜 및 적절한 자격 증명 관리를 구현해야 합니다.

구현 지침:

권한 관리: 사용자가 접근 가능한 서버, 도구, 리소스를 세밀하게 제어할 수 있는 권한 시스템 구현

인증 및 인가: 안전한 인증 방법(OAuth, API 키)과 적절한 토큰 관리 및 만료 처리

입력 검증: 정의된 스키마에 따라 모든 매개변수 및 데이터 입력 검증하여 인젝션 공격 방지

감사 로깅: 보안 모니터링 및 컴플라이언스를 위한 모든 작업의 포괄적 로그 유지

개요

이 강의에서는 Model Context Protocol(MCP) 생태계를 구성하는 기본 아키텍처와 구성 요소를 탐구합니다. MCP 상호작용을 지원하는 클라이언트-서버 아키텍처, 주요 구성 요소 및 통신 메커니즘에 대해 배우게 됩니다.

주요 학습 목표

이 강의가 끝나면 다음을 이해할 수 있습니다:

MCP 클라이언트-서버 아키텍처

호스트, 클라이언트, 서버의 역할과 책임 식별

MCP를 유연한 통합 계층으로 만드는 핵심 특징 분석

MCP 생태계 내 정보 흐름 이해

.NET, Java, Python, JavaScript의 코드 예제를 통한 실용적 통찰 획득

MCP 아키텍처: 심층 분석

MCP 생태계는 클라이언트-서버 모델로 구축되어 있습니다. 이 모듈식 구조는 AI 애플리케이션이 도구, 데이터베이스, API 및 컨텍스트 리소스와 효율적으로 상호작용할 수 있게 합니다. 이 아키텍처를 핵심 구성 요소로 나누어 살펴보겠습니다.

기본적으로 MCP는 하나의 호스트 애플리케이션이 여러 서버에 연결할 수 있는 클라이언트-서버 아키텍처를 따릅니다:

flowchart LR

    subgraph "당신의 컴퓨터"

        Host["MCP가 있는 호스트 (Visual Studio, VS Code, IDE, 도구)"]

        S1["MCP 서버 A"]

        S2["MCP 서버 B"]

        S3["MCP 서버 C"]

        Host <-->|"MCP 프로토콜"| S1

        Host <-->|"MCP 프로토콜"| S2

        Host <-->|"MCP 프로토콜"| S3

        S1 <--> D1[("로컬\데이터 소스 A")]

        S2 <--> D2[("로컬\데이터 소스 B")]

    end

    subgraph "인터넷"

        S3 <-->|"웹 API"| D3[("원격\서비스")]

    end

MCP 호스트: VSCode, Claude Desktop, IDE 또는 MCP를 통해 데이터에 접근하고자 하는 AI 도구 프로그램

MCP 클라이언트: 서버와 1:1 연결을 유지하는 프로토콜 클라이언트

MCP 서버: 표준화된 Model Context Protocol을 통해 특정 기능을 노출하는 경량 프로그램

로컬 데이터 소스: MCP 서버가 안전하게 접근할 수 있는 컴퓨터 내 파일, 데이터베이스, 서비스

원격 서비스: 인터넷을 통해 MCP 서버가 API로 연결할 수 있는 외부 시스템

MCP 프로토콜은 날짜 기반 버전 관리(YYYY-MM-DD 형식)를 사용하는 진화하는 표준입니다. 현재 프로토콜 버전은 2025-11-25입니다. 최신 업데이트는 프로토콜 명세에서 확인할 수 있습니다.

1. 호스트

Model Context Protocol(MCP)에서 호스트는 사용자가 프로토콜과 상호작용하는 주요 인터페이스 역할을 하는 AI 애플리케이션입니다. 호스트는 각 서버 연결을 위해 전용 MCP 클라이언트를 생성하여 여러 MCP 서버와의 연결을 조율하고 관리합니다. 호스트의 예시는 다음과 같습니다:

AI 애플리케이션: Claude Desktop, Visual Studio Code, Claude Code

개발 환경: MCP 통합이 된 IDE 및 코드 편집기

맞춤형 애플리케이션: 특수 목적의 AI 에이전트 및 도구

호스트는 AI 모델 상호작용을 조율하는 애플리케이션입니다. 그들은:

AI 모델 오케스트레이션: LLM과 상호작용하여 응답 생성 및 AI 워크플로 조정

클라이언트 연결 관리: MCP 서버 연결마다 하나의 MCP 클라이언트 생성 및 유지

사용자 인터페이스 제어: 대화 흐름, 사용자 상호작용, 응답 표시 관리

보안 적용: 권한, 보안 제약 및 인증 제어

사용자 동의 처리: 데이터 공유 및 도구 실행에 대한 사용자 승인 관리

2. 클라이언트

클라이언트는 호스트와 MCP 서버 간의 전용 1:1 연결을 유지하는 핵심 구성 요소입니다. 각 MCP 클라이언트는 호스트에 의해 특정 MCP 서버에 연결하기 위해 인스턴스화되어 조직적이고 안전한 통신 채널을 보장합니다. 여러 클라이언트는 호스트가 동시에 여러 서버에 연결할 수 있게 합니다.

클라이언트는 호스트 애플리케이션 내 연결자 역할 구성 요소입니다. 그들은:

프로토콜 통신: 요청과 지침을 JSON-RPC 2.0 형식으로 서버에 전송

기능 협상: 초기화 시 서버와 지원 기능 및 프로토콜 버전을 협상

도구 실행 관리: 모델의 도구 실행 요청 관리 및 응답 처리

실시간 업데이트 처리: 서버의 알림 및 실시간 업데이트 처리

응답 처리: 서버 응답을 사용자에게 표시할 형식으로 가공

3. 서버

서버는 MCP 클라이언트에 컨텍스트, 도구, 기능을 제공하는 프로그램입니다. 로컬(호스트와 같은 머신) 또는 원격(외부 플랫폼)으로 실행 가능하며, 클라이언트 요청을 처리하고 구조화된 응답을 제공합니다. 서버는 표준화된 Model Context Protocol을 통해 특정 기능을 노출합니다.

서버는 컨텍스트 및 기능을 제공하는 서비스입니다. 그들은:

기능 등록: 클라이언트에 사용 가능한 원시 기능(리소스, 프롬프트, 도구) 등록 및 노출

요청 처리: 클라이언트로부터 도구 호출, 리소스 요청, 프롬프트 요청 접수 및 실행

컨텍스트 제공: 모델 응답을 향상시키기 위한 맥락 정보 및 데이터 제공

상태 관리: 세션 상태 유지 및 상태 기반 상호작용 처리

실시간 알림: 기능 변경 및 업데이트에 대한 알림을 연결된 클라이언트에 전송

서버는 누구나 특화된 기능으로 모델 역량을 확장하기 위해 개발할 수 있으며, 로컬 및 원격 배포 시나리오를 모두 지원합니다.

4. 서버 원시 기능

Model Context Protocol(MCP) 내 서버는 클라이언트, 호스트 및 언어 모델 간의 풍부한 상호작용을 위한 기본 구성 요소인 세 가지 핵심 원시 기능을 제공합니다. 이 원시 기능은 프로토콜을 통해 제공되는 컨텍스트 정보와 가능한 동작 유형을 정의합니다.

MCP 서버는 다음 세 가지 핵심 원시 기능 중 임의의 조합을 노출할 수 있습니다:

리소스

리소스는 AI 애플리케이션에 컨텍스트 정보를 제공하는 데이터 소스입니다. 정적 또는 동적 콘텐츠로서 모델의 이해력과 의사결정을 향상시킵니다:

컨텍스트 데이터: AI 모델 소비를 위한 구조화된 정보 및 컨텍스트

지식 베이스: 문서 저장소, 기사, 매뉴얼, 연구 논문

로컬 데이터 소스: 파일, 데이터베이스, 로컬 시스템 정보

외부 데이터: API 응답, 웹 서비스, 원격 시스템 데이터

동적 콘텐츠: 외부 조건에 따라 실시간으로 업데이트되는 데이터

리소스는 URI로 식별되며 resources/list를 통한 검색 및 resources/read를 통한 조회를 지원합니다:

file://documents/project-spec.md

database://production/users/schema

api://weather/current

프롬프트

프롬프트는 언어 모델과의 상호작용을 구조화하는 재사용 가능한 템플릿입니다. 표준화된 상호작용 패턴과 템플릿화된 워크플로를 제공합니다:

템플릿 기반 상호작용: 사전 구조화된 메시지와 대화 시작 문구

워크플로 템플릿: 공통 작업과 상호작용을 위한 표준화된 시퀀스

소수 예시(Few-shot) 예제: 모델 지시를 위한 예제 기반 템플릿

시스템 프롬프트: 모델 동작 및 컨텍스트를 정의하는 기본 프롬프트

동적 템플릿: 특정 컨텍스트에 맞춰 매개변수를 조정하는 프롬프트

프롬프트는 변수 치환을 지원하며 prompts/list를 통해 검색, prompts/get으로 조회할 수 있습니다:

Generate a {{task_type}} for {{product}} targeting {{audience}} with the following requirements: {{requirements}}

도구

도구는 AI 모델이 특정 작업을 수행하기 위해 호출할 수 있는 실행 가능한 함수입니다. MCP 생태계 내 "동사" 역할을 하며 모델이 외부 시스템과 상호작용할 수 있게 합니다:

실행 가능한 함수: 모델이 특정 매개변수로 호출할 수 있는 개별 작업

외부 시스템 통합: API 호출, 데이터베이스 쿼리, 파일 작업, 계산

고유 식별자: 각 도구는 독특한 이름, 설명, 매개변수 스키마를 가짐

구조화된 입출력: 도구는 검증된 매개변수를 받고 구조화되고 타입이 명확한 응답을 반환

행동 가능 능력: 모델이 실제 세계 작업을 수행하고 실시간 데이터를 가져올 수 있도록 함

도구는 매개변수 검증을 위한 JSON Schema로 정의되며 tools/list로 검색, tools/call로 실행됩니다.

도구는 UI 표현 강화를 위해 아이콘을 부가 메타데이터로 포함할 수 있습니다.

도구 주석: 도구는 읽기 전용(readOnlyHint), 파괴적(destructiveHint) 등 행태 주석을 지원하여 도구 실행에 관한 클라이언트의 정보 기반 판단을 돕습니다.

도구 정의 예시:

server.tool(

  "search_products", 

  {

    query: z.string().describe("Search query for products"),

    category: z.string().optional().describe("Product category filter"),

    max_results: z.number().default(10).describe("Maximum results to return")

  }, 

  async (params) => {

    // 검색을 실행하고 구조화된 결과를 반환합니다

    return await productService.search(params);

  }

);

클라이언트 원시 기능

Model Context Protocol(MCP)에서 클라이언트는 서버가 호스트 애플리케이션에 추가 기능을 요청할 수 있도록 원시 기능을 노출할 수 있습니다. 이 클라이언트 측 원시 기능은 AI 모델 기능 및 사용자 상호작용에 접근하는 더 풍부하고 상호작용적인 서버 구현을 가능하게 합니다.

샘플링

샘플링은 서버가 클라이언트의 AI 애플리케이션에서 언어 모델 완성을 요청할 수 있게 합니다. 이 원시 기능은 서버가 자체 모델 종속성을 포함하지 않고도 LLM 기능에 접근할 수 있게 합니다:

모델 독립적 접근: 서버가 LLM SDK 포함 없이 완성 요청 가능

서버 주도 AI: 서버가 클라이언트의 AI 모델을 사용하여 자율적으로 콘텐츠 생성 가능

재귀적 LLM 상호작용: 서버가 AI 지원이 필요한 복잡한 시나리오 지원

동적 콘텐츠 생성: 서버가 호스트 모델을 사용해 컨텍스트 응답 생성 가능

도구 호출 지원: 서버가 샘플링 도중 클라이언트 모델의 도구 호출을 위해 tools 및 toolChoice 매개변수 포함 가능

샘플링은 sampling/complete 메서드를 통해 서버가 클라이언트에 완성 요청을 전송하는 것으로 시작됩니다.

루트

루트는 클라이언트가 파일 시스템 경계를 서버에 노출하는 표준화된 방법을 제공합니다. 이를 통해 서버가 접근 가능한 디렉터리 및 파일 범위를 이해할 수 있습니다:

파일 시스템 경계 지정: 서버가 파일 시스템 내에서 작동 가능한 경계 정의

접근 제어 파악: 서버가 어느 디렉터리 및 파일에 접근 권한 있는지 인지

동적 업데이트: 클라이언트가 루트 목록 변경 시 서버에 알림 전송

URI 기반 식별: file:// URI를 사용하여 접근 가능한 디렉터리 및 파일 식별

루트는 roots/list를 통해 검색하며, 클라이언트는 루트 변경 시 notifications/roots/list_changed를 보냅니다.

정보 요청 (Elicitation)

정보 요청은 서버가 클라이언트 인터페이스를 통해 사용자로부터 추가 정보나 확인을 요청할 수 있도록 합니다:

사용자 입력 요청: 도구 실행에 필요한 추가 정보 요청

확인 대화상자: 민감하거나 영향력 있는 작업에 대한 사용자 승인 요청

상호작용 워크플로: 단계별 사용자 상호작용 구현 지원

동적 매개변수 수집: 도구 실행 중 누락되거나 선택적 매개변수 수집

정보 요청은 클라이언트 인터페이스를 통해 사용자 입력을 수집하는 elicitation/request 메서드를 사용합니다.

URL 모드 정보 요청: 서버는 URL 기반 사용자 상호작용도 요청할 수 있어, 인증, 승인 또는 데이터 입력을 위해 사용자를 외부 웹페이지로 안내할 수 있습니다.

로깅

로깅은 서버가 디버깅, 모니터링, 운영 투명성을 위해 클라이언트에 구조화된 로그 메시지를 전송할 수 있게 합니다:

디버깅 지원: 문제 해결을 위한 상세 실행 로그 제공

운영 모니터링: 상태 업데이트 및 성능 지표 전송

오류 보고: 상세 오류 맥락 및 진단 정보 제공

감사 추적: 서버 작업 및 결정에 대한 포괄적 로그 생성

로깅 메시지는 서버 운영의 투명성을 제공하고 디버깅을 용이하게 하기 위해 클라이언트에 전송됩니다.

MCP 내 정보 흐름

Model Context Protocol(MCP)은 호스트, 클라이언트, 서버, 모델 간에 구조화된 정보 흐름을 정의합니다.

이 흐름을 이해하면 사용자의 요청이 처리되는 방식과 외부 도구 및 데이터가 모델 응답에 통합되는 방식을 명확히 알 수 있습니다.

호스트가 연결을 시작함

호스트 애플리케이션(IDE나 채팅 인터페이스 등)이 보통 STDIO, WebSocket 또는 기타 지원되는 전송 방식을 통해 MCP 서버에 연결을 설정합니다.

기능 협상

클라이언트(호스트에 내장됨)와 서버는 지원되는 기능, 도구, 리소스 및 프로토콜 버전에 관한 정보를 교환합니다. 이를 통해 양측이 세션에서 사용 가능한 기능을 확실히 이해합니다.

사용자 요청

사용자가 호스트와 상호작용합니다(예: 프롬프트나 명령어 입력). 호스트는 이 입력을 수집하여 처리용으로 클라이언트에 전달합니다.

리소스 또는 도구 사용

- 클라이언트는 모델의 이해를 돕기 위해 서버에 추가 컨텍스트나 리소스(파일, 데이터베이스 항목, 지식베이스 문서 등)를 요청할 수 있습니다.

- 모델이 도구 사용이 필요하다고 판단하면(예: 데이터 조회, 계산 수행, API 호출) 클라이언트는 도구 이름과 매개변수를 명시하여 도구 호출 요청을 서버에 보냅니다.

서버 실행

서버는 리소스나 도구 요청을 받고 필요한 작업(함수 실행, 데이터베이스 쿼리, 파일 조회 등)을 수행한 뒤 결과를 구조화된 형식으로 클라이언트에 반환합니다.

응답 생성

클라이언트는 서버의 응답(리소스 데이터, 도구 출력 등)을 모델 상호작용에 통합합니다. 모델은 이 정보를 활용해 포괄적이고 문맥에 맞는 응답을 생성합니다.

결과 표시

호스트는 클라이언트로부터 최종 출력을 받아 사용자에게 제공합니다. 여기에는 모델이 생성한 텍스트와 도구 실행 또는 리소스 조회 결과가 포함될 수 있습니다.

이 흐름은 모델과 외부 도구 및 데이터 소스를 원활히 연결하여 MCP가 고급 인터랙티브, 컨텍스트 인지 AI 애플리케이션을 지원하도록 합니다.

프로토콜 아키텍처 & 계층

MCP는 완전한 통신 프레임워크를 제공하기 위해 함께 작동하는 두 가지 뚜렷한 아키텍처 계층으로 구성됩니다:

데이터 계층

데이터 계층은 JSON-RPC 2.0을 기반으로 MCP 프로토콜의 핵심을 구현합니다. 이 계층은 메시지 구조, 의미론, 상호작용 패턴을 정의합니다:

핵심 구성 요소:

JSON-RPC 2.0 프로토콜: 모든 통신이 표준화된 JSON-RPC 2.0 메시지 형식(메서드 호출, 응답, 알림) 사용

라이프사이클 관리: 클라이언트와 서버 간 연결 초기화, 기능 협상, 세션 종료 처리

서버 프리미티브: 도구, 리소스, 프롬프트를 통해 서버가 핵심 기능을 제공할 수 있게 함

클라이언트 프리미티브: 서버가 LLM 샘플링 요청, 사용자 입력 요청, 로그 메시지 전송 가능

실시간 알림: 폴링 없이 동적 업데이트를 위한 비동기 알림 지원

주요 특징:

프로토콜 버전 협상: YYYY-MM-DD 형식의 날짜 기반 버전 관리를 사용해 호환성 보장

기능 탐색: 초기화 시 클라이언트와 서버가 지원하는 기능 정보를 교환

상태 유지 세션: 다중 상호작용 간 연결 상태 유지로 문맥 연속성 보장

전송 계층

전송 계층은 MCP 참가자 간 통신 채널, 메시지 프레이밍, 인증을 관리합니다:

지원되는 전송 방식:

1. STDIO 전송:

- 표준 입력/출력 스트림을 사용해 직접 프로세스 간 통신

- 네트워크 오버헤드가 없는 동일 머신의 로컬 프로세스에 최적화

- 로컬 MCP 서버 구현에서 흔히 사용됨

2. 스트리밍 HTTP 전송:

- 클라이언트에서 서버로 HTTP POST 방식 사용

- 선택적 서버-발행 이벤트(SSE)를 통해 서버에서 클라이언트로 스트리밍 가능

- 네트워크를 통한 원격 서버 통신 지원

- 표준 HTTP 인증(Bearer 토큰, API 키, 커스텀 헤더) 지원

- MCP는 보안 토큰 인증을 위해 OAuth 사용 권장

전송 추상화:

전송 계층은 데이터 계층과 별개로 통신 세부사항을 추상화하여 모든 전송 방식에서 동일한 JSON-RPC 2.0 메시지 형식을 사용할 수 있게 합니다. 이를 통해 응용 프로그램이 로컬과 원격 서버 간 전환을 원활히 수행할 수 있습니다.

보안 고려사항

MCP 구현체는 모든 프로토콜 작업에서 안전하고 신뢰할 수 있으며 보안을 보장하기 위한 여러 중요한 보안 원칙을 준수해야 합니다:

사용자 동의 및 제어: 데이터 액세스나 작업 수행 전에 명확한 사용자 동의를 받아야 하며, 사용자는 공유되는 데이터와 승인된 작업을 직관적인 UI를 통해 명확하게 통제할 수 있어야 합니다.

데이터 프라이버시: 사용자 데이터는 명시적 동의가 있는 경우에만 노출되며 적절한 접근 제어로 보호되어야 합니다. MCP 구현체는 무단 데이터 전송을 방지하고 모든 상호작용에서 프라이버시가 유지되도록 해야 합니다.

도구 안전성: 도구 호출 전 명백한 사용자 동의를 요구합니다. 사용자는 각 도구 기능을 명확히 이해해야 하며, 의도하지 않은 혹은 안전하지 않은 도구 실행을 방지하기 위한 강력한 보안 경계가 필요합니다.

이 보안 원칙을 준수함으로써 MCP는 강력한 AI 통합 기능을 제공하면서도 사용자 신뢰, 프라이버시, 안전을 보장합니다.

코드 예제: 주요 구성 요소

아래는 여러 인기 프로그래밍 언어로 MCP 서버 핵심 구성 요소와 도구 구현 방법을 보여주는 코드 예제입니다.

.NET 예제: 도구가 포함된 간단한 MCP 서버 생성

아래는 맞춤 도구 정의, 등록, 요청 처리, 그리고 Model Context Protocol을 사용해 서버와 연결하는 간단한 MCP 서버 구현 예제입니다.

using System;

using System.Threading.Tasks;

using ModelContextProtocol.Server;

using ModelContextProtocol.Server.Transport;

using ModelContextProtocol.Server.Tools;



public class WeatherServer

{

    public static async Task Main(string[] args)

    {

        // Create an MCP server

        var server = new McpServer(

            name: "Weather MCP Server",

            version: "1.0.0"

        );

        

        // Register our custom weather tool

        server.AddTool<string, WeatherData>("weatherTool", 

            description: "Gets current weather for a location",

            execute: async (location) => {

                // Call weather API (simplified)

                var weatherData = await GetWeatherDataAsync(location);

                return weatherData;

            });

        

        // Connect the server using stdio transport

        var transport = new StdioServerTransport();

        await server.ConnectAsync(transport);

        

        Console.WriteLine("Weather MCP Server started");

        

        // Keep the server running until process is terminated

        await Task.Delay(-1);

    }

    

    private static async Task<WeatherData> GetWeatherDataAsync(string location)

    {

        // This would normally call a weather API

        // Simplified for demonstration

        await Task.Delay(100); // Simulate API call

        return new WeatherData { 

            Temperature = 72.5,

            Conditions = "Sunny",

            Location = location

        };

    }

}



public class WeatherData

{

    public double Temperature { get; set; }

    public string Conditions { get; set; }

    public string Location { get; set; }

}

Java 예제: MCP 서버 구성 요소

이 예제는 위 .NET 예제와 동일한 MCP 서버 및 도구 등록을 Java로 구현한 것입니다.

import io.modelcontextprotocol.server.McpServer;

import io.modelcontextprotocol.server.McpToolDefinition;

import io.modelcontextprotocol.server.transport.StdioServerTransport;

import io.modelcontextprotocol.server.tool.ToolExecutionContext;

import io.modelcontextprotocol.server.tool.ToolResponse;



public class WeatherMcpServer {

    public static void main(String[] args) throws Exception {

        // MCP 서버 생성

        McpServer server = McpServer.builder()

            .name("Weather MCP Server")

            .version("1.0.0")

            .build();

            

        // 날씨 도구 등록

        server.registerTool(McpToolDefinition.builder("weatherTool")

            .description("Gets current weather for a location")

            .parameter("location", String.class)

            .execute((ToolExecutionContext ctx) -> {

                String location = ctx.getParameter("location", String.class);

                

                // 날씨 데이터 가져오기 (단순화됨)

                WeatherData data = getWeatherData(location);

                

                // 형식화된 응답 반환

                return ToolResponse.content(

                    String.format("Temperature: %.1f°F, Conditions: %s, Location: %s", 

                    data.getTemperature(), 

                    data.getConditions(), 

                    data.getLocation())

                );

            })

            .build());

        

        // stdio 전송을 사용하여 서버에 연결

        try (StdioServerTransport transport = new StdioServerTransport()) {

            server.connect(transport);

            System.out.println("Weather MCP Server started");

            // 프로세스가 종료될 때까지 서버 실행 유지

            Thread.currentThread().join();

        }

    }

    

    private static WeatherData getWeatherData(String location) {

        // 구현 시 날씨 API 호출

        // 예제 목적으로 단순화됨

        return new WeatherData(72.5, "Sunny", location);

    }

}



class WeatherData {

    private double temperature;

    private String conditions;

    private String location;

    

    public WeatherData(double temperature, String conditions, String location) {

        this.temperature = temperature;

        this.conditions = conditions;

        this.location = location;

    }

    

    public double getTemperature() {

        return temperature;

    }

    

    public String getConditions() {

        return conditions;

    }

    

    public String getLocation() {

        return location;

    }

}

Python 예제: MCP 서버 구축

이 예제는 fastmcp를 사용하므로 먼저 설치해 주세요:

pip install fastmcp

코드 샘플:

#!/usr/bin/env python3

import asyncio

from fastmcp import FastMCP

from fastmcp.transports.stdio import serve_stdio



# FastMCP 서버 생성

mcp = FastMCP(

    name="Weather MCP Server",

    version="1.0.0"

)



@mcp.tool()

def get_weather(location: str) -> dict:

    """Gets current weather for a location."""

    return {

        "temperature": 72.5,

        "conditions": "Sunny",

        "location": location

    }



# 클래스를 사용하는 대체 방법

class WeatherTools:

    @mcp.tool()

    def forecast(self, location: str, days: int = 1) -> dict:

        """Gets weather forecast for a location for the specified number of days."""

        return {

            "location": location,

            "forecast": [

                {"day": i+1, "temperature": 70 + i, "conditions": "Partly Cloudy"}

                for i in range(days)

            ]

        }



# 클래스 도구 등록

weather_tools = WeatherTools()



# 서버 시작

if __name__ == "__main__":

    asyncio.run(serve_stdio(mcp))

JavaScript 예제: MCP 서버 생성

이 예제는 JavaScript로 MCP 서버를 생성하고 두 개의 날씨 관련 도구를 등록하는 방법을 보여줍니다.

// 공식 모델 컨텍스트 프로토콜 SDK 사용

import { McpServer } from "@modelcontextprotocol/sdk/server/mcp.js";

import { StdioServerTransport } from "@modelcontextprotocol/sdk/server/stdio.js";

import { z } from "zod"; // 매개변수 유효성 검사용



// MCP 서버 생성

const server = new McpServer({

  name: "Weather MCP Server",

  version: "1.0.0"

});



// 날씨 도구 정의

server.tool(

  "weatherTool",

  {

    location: z.string().describe("The location to get weather for")

  },

  async ({ location }) => {

    // 일반적으로 날씨 API를 호출함

    // 데모를 위해 단순화됨

    const weatherData = await getWeatherData(location);

    

    return {

      content: [

        { 

          type: "text", 

          text: `Temperature: ${weatherData.temperature}°F, Conditions: ${weatherData.conditions}, Location: ${weatherData.location}` 

        }

      ]

    };

  }

);



// 예보 도구 정의

server.tool(

  "forecastTool",

  {

    location: z.string(),

    days: z.number().default(3).describe("Number of days for forecast")

  },

  async ({ location, days }) => {

    // 일반적으로 날씨 API를 호출함

    // 데모를 위해 단순화됨

    const forecast = await getForecastData(location, days);

    

    return {

      content: [

        { 

          type: "text", 

          text: `${days}-day forecast for ${location}: ${JSON.stringify(forecast)}` 

        }

      ]

    };

  }

);



// 도우미 함수들

async function getWeatherData(location) {

  // API 호출 시뮬레이션

  return {

    temperature: 72.5,

    conditions: "Sunny",

    location: location

  };

}



async function getForecastData(location, days) {

  // API 호출 시뮬레이션

  return Array.from({ length: days }, (_, i) => ({

    day: i + 1,

    temperature: 70 + Math.floor(Math.random() * 10),

    conditions: i % 2 === 0 ? "Sunny" : "Partly Cloudy"

  }));

}



// stdio 전송을 사용하여 서버 연결

const transport = new StdioServerTransport();

server.connect(transport).catch(console.error);



console.log("Weather MCP Server started");

이 JavaScript 예제는 Model Context Protocol SDK를 사용해 MCP 서버를 만드는 방법을 설명합니다. weatherTool과 forecastTool이라는 두 도구를 등록하고 StdioServerTransport를 통해 MCP 클라이언트에 제공하는 과정이 나와 있습니다.

보안 및 권한 부여

MCP는 프로토콜 전반에 걸쳐 보안 및 권한 관리용 기본 개념과 메커니즘을 다음과 같이 포함합니다:

1. 도구 권한 제어

클라이언트는 세션 동안 모델이 사용할 수 있는 도구를 지정할 수 있습니다. 이를 통해 명시적으로 허가된 도구만 접근 가능하게 하여 의도하지 않았거나 안전하지 않은 작업 위험을 줄입니다. 권한은 사용자 설정, 조직 정책 또는 상호작용 문맥에 따라 동적으로 구성할 수 있습니다.

2. 인증

서버는 도구, 리소스, 민감한 작업 접근 권한 부여 전에 인증을 요구할 수 있습니다. API 키, OAuth 토큰, 기타 인증 방식을 사용할 수 있습니다. 올바른 인증은 신뢰할 수 있는 클라이언트와 사용자만 서버 기능을 호출할 수 있게 보장합니다.

3. 검증

모든 도구 호출에 대해 매개변수 검증을 수행합니다. 각 도구는 예상 타입, 형식, 제약 조건을 정의하며 서버는 들어오는 요청을 이에 맞게 검증합니다. 이를 통해 잘못되거나 악의적인 입력이 도구 구현에 도달하지 않게 하고 작업 무결성을 유지합니다.

4. 요율 제한

오용 방지와 공정한 서버 자원 사용을 위해 MCP 서버는 도구 호출 및 리소스 접근에 대해 요율 제한을 구현할 수 있습니다. 사용자별, 세션별, 전체 단위로 제한을 적용하며 서비스 거부 공격이나 과도한 자원 소비를 방지합니다.

이 메커니즘을 통합해 MCP는 언어 모델과 외부 도구 및 데이터 소스 통합을 위한 안전한 기반을 제공하며, 사용자와 개발자가 접근 및 사용을 세밀하게 제어할 수 있도록 합니다.

프로토콜 메시지 & 통신 흐름

MCP 통신은 명확하고 신뢰할 수 있는 상호작용을 위해 구조화된 JSON-RPC 2.0 메시지를 사용합니다. 프로토콜은 다양한 작업 유형별로 특정 메시지 패턴을 정의합니다:

핵심 메시지 유형:

초기화 메시지

initialize 요청: 연결 수립 및 프로토콜 버전과 기능 협상

initialize 응답: 지원하는 기능 및 서버 정보 확인

notifications/initialized: 초기화 완료 및 세션 준비 완료 신호

탐색 메시지

tools/list 요청: 서버에서 사용 가능한 도구 조회

resources/list 요청: 사용 가능한 리소스(데이터 소스) 목록 요청

prompts/list 요청: 사용 가능한 프롬프트 템플릿 조회

실행 메시지

tools/call 요청: 특정 도구를 매개변수와 함께 실행

resources/read 요청: 특정 리소스의 내용 조회

prompts/get 요청: 선택적 매개변수와 함께 프롬프트 템플릿 가져오기

클라이언트 측 메시지

sampling/complete 요청: 서버가 클라이언트에 LLM 완료를 요청

elicitation/request: 서버가 클라이언트를 통해 사용자 입력 요청

로깅 메시지: 서버가 클라이언트에 구조화된 로그 메시지를 전송

알림 메시지

notifications/tools/list_changed: 서버가 도구 변경 사항을 클라이언트에 알림

notifications/resources/list_changed: 서버가 리소스 변경 사항을 클라이언트에 알림

notifications/prompts/list_changed: 서버가 프롬프트 변경 사항을 클라이언트에 알림

메시지 구조:

모든 MCP 메시지는 JSON-RPC 2.0 형식을 따르며:

요청 메시지: id, method, 선택적 params 포함

응답 메시지: id 및 result 또는 error 포함

알림 메시지: method 및 선택적 params 포함(id 없음, 응답 기대 안함)

이 구조화된 통신은 실시간 업데이트, 도구 체인, 견고한 오류 처리 등 고급 시나리오를 지원하면서 신뢰성 있고 추적 가능하며 확장 가능한 상호작용을 보장합니다.

작업(실험적)

작업(tasks)은 MCP 요청에 대해 결과 지연 수령과 상태 추적이 가능한 지속적 실행 래퍼를 제공하는 실험적 기능입니다:

장기 실행 작업: 비용이 많이 드는 계산, 작업 흐름 자동화, 배치 처리 추적

결과 지연 수령: 작업 상태를 폴링하고 완료 시 결과 수신

상태 추적: 정의된 라이프사이클 상태를 통해 작업 진행 상황 모니터링

다단계 작업: 다수 상호작용에 걸친 복잡한 작업 흐름 지원

작업은 즉시 완료되지 않는 작업에 대해 비동기 실행 패턴을 가능하게 하도록 표준 MCP 요청을 래핑합니다.

주요 요점

아키텍처: MCP는 호스트가 다수 클라이언트 연결을 서버에 관리하는 클라이언트-서버 아키텍처

참가자: 호스트(AI 애플리케이션), 클라이언트(프로토콜 커넥터), 서버(기능 제공자) 포함

전송 방식: STDIO(로컬) 및 스트리밍 HTTP + 선택적 SSE(원격) 지원

핵심 프리미티브: 서버는 도구(실행 함수), 리소스(데이터 소스), 프롬프트(템플릿)를 노출

클라이언트 프리미티브: 서버는 클라이언트에 샘플링(도구 호출 포함 LLM 완료), 사용자 입력, 루트(파일시스템 경계), 로깅 요청 가능

실험 기능: 작업 기능은 장기 실행 작업에 대한 지속 실행 래퍼 제공

프로토콜 기반: JSON-RPC 2.0과 날짜 기반 버전 관리(현재 버전: 2025-11-25)

실시간 기능: 동적 업데이트 및 실시간 동기화를 위한 알림 지원

보안 최우선: 명확한 사용자 동의, 데이터 프라이버시 보호, 안전한 전송이 핵심 요구사항

실습

당신의 영역에서 유용할 간단한 MCP 도구를 설계해 보십시오. 정의할 내용:

1. 도구 이름

2. 수락할 매개변수

3. 반환할 출력

4. 모델이 이 도구를 사용해 사용자 문제를 해결하는 방법

---

다음 내용

다음: 2장: 보안

---

면책 조항:

이 문서는 AI 번역 서비스 Co-op Translator를 사용하여 번역되었습니다.

정확성을 위해 노력하고 있으나, 자동 번역에는 오류나 부정확한 내용이 포함될 수 있음을 유의하시기 바랍니다.

원본 문서의 원어 버전을 권위 있는 자료로 간주해야 합니다.

중요한 정보의 경우 전문 인력에 의한 번역을 권장합니다.

본 번역 사용으로 인한 오해나 잘못된 해석에 대해서는 책임을 지지 않습니다.

MCP 보안: AI 시스템을 위한 종합 보호

_(위 이미지를 클릭하면 이 수업의 동영상을 볼 수 있습니다)_

보안은 AI 시스템 설계의 기본이므로 두 번째 섹션으로 우선순위를 둡니다.

이는 Microsoft의 Secure Future Initiative에 명시된 Secure by Design 원칙과 일치합니다.

모델 컨텍스트 프로토콜(MCP)은 AI 기반 애플리케이션에 강력한 기능을 제공하는 동시에 전통적인 소프트웨어 위험을 넘어선 독특한 보안 문제를 제기합니다. MCP 시스템은 검증된 보안 문제(안전한 코딩, 최소 권한, 공급망 보안)뿐만 아니라 프롬프트 주입, 도구 오염, 세션 탈취, 혼동된 대리인 공격, 토큰 전달 취약성, 동적 권한 수정 같은 AI 특유 위협에도 직면합니다.

이 수업에서는 MCP 구현에서 가장 중요한 보안 위험들을 탐구합니다—인증, 권한 부여, 과도한 권한, 간접 프롬프트 주입, 세션 보안, 혼동된 대리인 문제, 토큰 관리, 공급망 취약성을 다룹니다. 또한 Microsoft의 Prompt Shields, Azure Content Safety, GitHub Advanced Security와 같은 솔루션을 활용하여 MCP 배포를 강화하는 실행 가능한 제어 및 모범 사례를 배웁니다.

학습 목표

이 수업을 마치면 다음을 수행할 수 있습니다:

MCP 특유 위협 식별: 프롬프트 주입, 도구 오염, 과도한 권한, 세션 탈취, 혼동된 대리인 문제, 토큰 전달 취약성, 공급망 위험 등 MCP 시스템 고유 보안 위험을 인식

보안 제어 적용: 강력한 인증, 최소 권한 접근, 안전한 토큰 관리, 세션 보안 제어, 공급망 검증 등 효과적인 완화책 구현

Microsoft 보안 솔루션 활용: MCP 작업 부하 보호를 위한 Microsoft Prompt Shields, Azure Content Safety, GitHub Advanced Security 이해 및 배포

도구 보안 검증: 도구 메타데이터 검증 중요성 인식, 동적 변경 모니터링, 간접 프롬프트 주입 공격 방어

모범 사례 통합: 검증된 보안 기본 원칙(안전한 코딩, 서버 강화, 제로 트러스트)과 MCP 특화 제어를 결합한 종합 보호 구현

MCP 보안 아키텍처 및 제어

최신 MCP 구현은 전통적인 소프트웨어 보안과 AI 특화 위협을 모두 해결하는 다층 보안 접근법을 필요로 합니다. 빠르게 진화하는 MCP 명세는 보안 제어를 지속적으로 성숙시켜 기업 보안 아키텍처와 검증된 모범 사례와의 통합을 개선합니다.

현재 보안 환경

> 참고: 이 정보는 2026년 2월 5일 기준 MCP 보안 표준을 반영하며, MCP Specification 2025-11-25와 일치합니다.

MCP 프로토콜은 빠르게 진화하고 있으며, 향후 구현에서는 새로운 인증 패턴과 강화된 제어가 도입될 수 있습니다.

항상 최신 지침은 MCP Specification, MCP GitHub 저장소, 보안 모범 사례 문서를 참조하세요.

🏔️ MCP 보안 정상 회의 워크숍 (Sherpa)

실무형 보안 교육을 위해서는 Microsoft Azure에서 MCP 서버 보안을 위한 포괄적 경로를 제공하는 MCP Security Summit Workshop (Sherpa)를 강력히 권장합니다.

워크숍 개요

문제 해결 학습: 고의로 취약한 서버를 공격하여 취약점 직접 경험

Azure 네이티브 보안 활용: Azure Entra ID, Key Vault, API Management, AI Content Safety 활용

방어 심층 전략 적용: 캠프별 단계적 보안 계층 구축

OWASP 표준 따르기: 모든 기법은 OWASP MCP Azure Security Guide에 매핑

프로덕션 코드 획득: 테스트된 실무 구현 코드 제공

탐험 경로

캠프 집중 내용 다루는 OWASP 위험 ------ ---------- ------------------- Base Camp MCP 기본 원리 및 인증 취약점 MCP01, MCP07 Camp 1: Identity OAuth 2.1, Azure Managed Identity, Key Vault MCP01, MCP02, MCP07 Camp 2: Gateway API Management, Private Endpoints, 거버넌스 MCP02, MCP07, MCP09 Camp 3: I/O Security 프롬프트 주입, PII 보호, 콘텐츠 안전 MCP03, MCP05, MCP06 Camp 4: Monitoring 로그 분석, 대시보드, 위협 탐지 MCP08 정상 회의 레드 팀 / 블루 팀 통합 테스트 전체

시작하기: https://azure-samples.github.io/sherpa/

OWASP MCP Top 10 보안 위험

위험 설명 Azure 완화책 ------ --------- -------------- MCP01 토큰 관리 오류 및 비밀 노출 Azure Key Vault, Managed Identity MCP02 권한 상승(스코프 확대) RBAC, Conditional Access MCP03 도구 오염 도구 검증, 무결성 확인 MCP04 공급망 공격 GitHub Advanced Security, 종속성 스캔 MCP05 명령 주입 및 실행 입력 검증, 샌드박싱 MCP06 컨텍스트 기반 프롬프트 주입 Azure AI Content Safety, Prompt Shields MCP07 미흡한 인증 및 권한 부여 Azure Entra ID, PKCE 포함 OAuth 2.1 MCP08 감사 및 원격 측정 부족 Azure Monitor, Application Insights MCP09 섀도우 MCP 서버 API 센터 거버넌스, 네트워크 분리 MCP10 컨텍스트 주입 및 과다 노출 데이터 분류, 최소 노출

MCP 인증 진화

MCP 명세는 인증 및 권한 부여 접근법에서 상당한 진화를 겪었습니다:

초기 접근 방식: 초기 명세는 개발자가 커스텀 인증 서버를 구현하도록 요구했으며, MCP 서버는 사용자 인증을 직접 관리하는 OAuth 2.0 권한 서버 역할 수행

현재 표준 (2025-11-25): 업데이트된 명세는 MCP 서버가 외부 ID 공급자(예: Microsoft Entra ID)에게 인증을 위임할 수 있도록 허용하여 보안 자세를 개선하고 구현 복잡성 감소

전송 계층 보안: 로컬(STDIO) 및 원격(Streamable HTTP) 연결 모두에 적합한 인증 패턴과 함께 강화된 보안 전송 메커니즘 지원

인증 및 권한 부여 보안

현재 보안 문제

현대 MCP 구현은 다음과 같은 인증 및 권한 부여 문제에 직면해 있습니다:

위험 및 위협 벡터

잘못된 권한 부여 논리: MCP 서버의 올바르지 않은 권한 부여 구현은 민감 데이터 노출이나 잘못된 접근 통제 적용 가능성

OAuth 토큰 탈취: 로컬 MCP 서버 토큰 도난 시 공격자가 서버를 가장해 하위 서비스에 접근 가능

토큰 전달 취약점: 부적절한 토큰 처리로 보안 제어 우회 및 책임 추적 어려움 발생

과도한 권한: 과도 권한 부여된 MCP 서버는 최소 권한 원칙 위반 및 공격 범위 확장

토큰 전달: 심각한 안티 패턴

현재 MCP 권한 부여 명세에서는 토큰 전달이 명백히 금지되어 있습니다. 이는 심각한 보안 문제를 야기하기 때문입니다:

##### 보안 제어 우회

MCP 서버와 하위 API들은 적절한 토큰 검증에 의존하는 중요한 보안 제어(속도 제한, 요청 검증, 트래픽 모니터링)를 구현

클라이언트가 직접 API 토큰을 사용하는 것은 이 핵심 보호장치를 우회, 보안 구조를 훼손

##### 책임 추적 및 감사 문제

MCP 서버는 상류에서 발행된 토큰을 사용하는 클라이언트를 구분할 수 없어 감사 추적 흐름 파괴

하위 리소스 서버 로그는 실제 MCP 서버 중계자 대신 잘못된 요청 출처 표시

사고 조사 및 규정 준수 감사가 매우 어려워짐

##### 데이터 유출 위험

검증되지 않은 토큰 청구는 토큰 탈취자가 MCP 서버를 통해 데이터를 빼돌리는 프록시로 악용 가능

신뢰 경계 위반으로 의도된 보안 제어를 우회하는 무단 접근 패턴 허용

##### 다중 서비스 공격 벡터

여러 서비스가 동일한 토큰을 신뢰하면 가로 움직임이 가능

토큰 출처 확인 불가능 시 서비스 간 신뢰 가정 위배 가능

보안 제어 및 완화책

중요 보안 요구 사항:

> 의무 사항: MCP 서버는 명시적으로 MCP 서버를 위해 발행된 토큰만 허용해야 합니다

인증 및 권한 부여 제어

엄격한 권한 부여 검토: MCP 서버 권한 로직을 철저히 점검해 민감 자원에 대해 의도된 사용자와 클라이언트만 접근 가능하도록 보장

- 구현 가이드: Azure API Management를 MCP 서버 인증 게이트웨이로 사용

- ID 통합: Microsoft Entra ID를 MCP 서버 인증에 사용하기

안전한 토큰 관리: Microsoft 토큰 검증 및 수명주기 모범 사례 적용

- 토큰 대상 청구가 MCP 서버 ID와 일치하는지 확인

- 적절한 토큰 갱신 및 만료 정책 구현

- 재사용 공격 및 무단 사용 방지

보호된 토큰 저장: 암호화를 통해 안전한 저장(휴지 및 전송 중 모두)

- 모범 사례: 토큰 저장 및 암호화 가이드라인

접근 제어 구현

최소 권한 원칙: MCP 서버에 기능에 필요한 최소 권한만 부여

- 정기적 권한 검토 및 권한 상승 방지

- Microsoft 문서: 안전한 최소 권한 접근

역할 기반 접근 제어(RBAC): 세밀한 역할 할당 구현

- 역할을 특정 자원 및 작업에 엄격히 제한

- 공격 범위를 확대하는 과도하거나 불필요한 권한 부여 금지

지속적 권한 모니터링: 접근 감사 및 모니터링 활성화

- 비정상 권한 사용 패턴 감시

- 과도하거나 미사용 권한 신속 보완

AI 특화 보안 위협

프롬프트 주입 및 도구 조작 공격

최신 MCP 구현은 전통 보안 조치로는 완전히 방어 못 하는 정교한 AI 특유 공격 벡터에 직면해 있습니다:

간접 프롬프트 주입 (크로스 도메인 프롬프트 주입)

간접 프롬프트 주입은 MCP 기반 AI 시스템에서 가장 심각한 취약점 중 하나입니다. 공격자는 문서, 웹 페이지, 이메일, 데이터 소스 등 외부 콘텐츠에 악성 명령을 숨기고 AI 시스템이 이를 합법 명령으로 처리하도록 유도합니다.

공격 시나리오:

문서 기반 주입: 처리되는 문서에 숨겨진 악성 명령이 의도치 않은 AI 동작 유발

웹 콘텐츠 악용: 스크래핑 시 AI 행동을 조작하는 프롬프트가 포함된 손상된 웹 페이지

이메일 공격: AI 보조 시스템이 정보 유출 또는 무단 작업 실행하도록 유도하는 악성 이메일 프롬프트

데이터 소스 오염: 데이터베이스나 API가 조작된 내용을 AI에 제공

실제 영향: 데이터 유출, 개인정보 침해, 유해 콘텐츠 생성, 사용자 상호작용 조작 등으로 이어질 수 있습니다. 자세한 분석은 Prompt Injection in MCP (Simon Willison) 참고하십시오.

도구 오염 공격

도구 오염은 MCP 도구를 정의하는 메타데이터를 타겟으로 하며, LLM이 도구 설명과 매개변수를 해석해 실행 결정을 내리는 방식을 악용합니다.

공격 메커니즘:

메타데이터 조작: 공격자가 도구 설명, 매개변수 정의, 사용 예시 등에 악성 명령 삽입

숨겨진 명령어: 인간 사용자에게는 보이지 않지만 AI 모델이 처리하는 은밀한 프롬프트

동적 도구 변경("러그 풀"): 사용자가 승인한 도구가 이후 악성 작업 수행하도록 몰래 변경

매개변수 삽입: 도구 매개변수 스키마에 악성 콘텐츠 포함, 모델 행동에 영향

호스팅 서버 위험: 원격 MCP 서버는 도구 정의를 초기 승인 후에도 업데이트할 수 있어, 이전에 안전했던 도구가 악성으로 변할 위험 존재.

자세한 분석은 Tool Poisoning Attacks (Invariant Labs) 참고하십시오.

추가 AI 공격 벡터

크로스 도메인 프롬프트 주입 (XPIA): 여러 도메인 콘텐츠를 활용해 보안 제어를 우회하는 정교한 공격

동적 기능 수정: 초기 보안 평가를 통과하는 도구 기능에 대한 실시간 변경

컨텍스트 윈도우 변조 공격: 악의적인 명령을 숨기기 위해 큰 컨텍스트 윈도우를 조작하는 공격

모델 혼란 공격: 모델의 한계를 이용해 예측 불가능하거나 안전하지 않은 동작을 유발하는 공격

AI 보안 위험 영향

높은 영향의 결과:

데이터 유출: 권한 없는 민감한 기업 또는 개인 데이터 접근 및 도난

개인정보 침해: 개인 식별 정보(PII) 및 기밀 사업 데이터 노출

시스템 조작: 중요 시스템 및 워크플로의 의도치 않은 수정

인증 정보 도난: 인증 토큰 및 서비스 자격 증명 손상

측면 이동 공격: 손상된 AI 시스템을 넓은 네트워크 공격을 위한 교차 지점으로 사용

Microsoft AI 보안 솔루션

AI 프롬프트 쉴드: 주입 공격에 대한 고급 방어

Microsoft AI 프롬프트 쉴드는 직접적 및 간접적 프롬프트 주입 공격에 대해 다중 보안 계층을 통한 포괄적인 방어를 제공합니다:

##### 핵심 보호 메커니즘:

1. 고급 탐지 및 필터링

- 머신 러닝 알고리즘과 자연어 처리 기술로 외부 컨텐츠 내 악의적 명령 탐지

- 문서, 웹 페이지, 이메일, 데이터 소스에서 내장 위협을 실시간 분석

- 정상적 프롬프트 패턴과 악의적 패턴의 맥락적 이해

2. 스포트라이팅 기법

- 신뢰된 시스템 명령과 잠재적으로 손상된 외부 입력 구분

- 모델 적합도를 높이면서 악성 컨텐츠를 분리하는 텍스트 변환 방법

- AI 시스템이 명령 계층을 올바르게 유지하고 주입된 명령 무시 지원

3. 구분자 및 데이터마킹 시스템

- 신뢰된 시스템 메시지와 외부 입력 텍스트 간 명확한 경계 정의

- 신뢰된 소스와 신뢰되지 않은 데이터 소스 간 경계를 강조하는 특수 마커

- 명령 혼동과 무단 명령 실행 방지 위한 명확한 분리

4. 지속적인 위협 인텔리전스

- Microsoft는 지속적으로 새로운 공격 패턴을 모니터링하고 방어책을 업데이트

- 새로운 주입 기법 및 공격 벡터에 대한 선제적 위협 탐색

- 진화하는 위협에 대응하는 보안 모델 정기 업데이트

5. Azure 콘텐츠 안전 통합

- 종합 Azure AI 콘텐츠 안전 제품군의 일부

- 탈옥 시도, 유해 콘텐츠 및 보안 정책 위반에 대한 추가 탐지

- AI 애플리케이션 구성요소 전반에 걸친 통합 보안 제어

구현 리소스: Microsoft Prompt Shields Documentation

고급 MCP 보안 위협

세션 하이재킹 취약점

세션 하이재킹은 상태 정보를 가진 MCP 구현에서 중요한 공격 벡터로, 권한 없는 사용자가 정당한 세션 식별자를 획득해 클라이언트를 가장하고 무단 행동을 수행하는 행위입니다.

공격 시나리오 및 위험

세션 하이재킹 프롬프트 주입: 도난당한 세션 ID로 세션 상태를 공유하는 서버에 악의적인 이벤트를 주입해 유해 동작 유발 또는 민감 데이터 접근

직접 가장 공격: 도난된 세션 ID로 인증 우회 MCP 서버 호출이 가능해 공격자를 정당 사용자로 처리

손상된 재개 가능 스트림: 공격자가 요청을 조기 종료하여 정상 클라이언트가 악성 컨텐츠로 재개하게 만듦

세션 관리 보안 제어

중요 요구사항:

권한 확인: 권한 확인을 구현하는 MCP 서버는 모든 수신 요청을 검증해야 하며, 세션에 의존해 인증해서는 안 됨

보안 세션 생성: 암호학적으로 안전한 랜덤 번호 생성기로 비결정론적 세션 ID 생성

사용자별 바인딩: 교차 사용자 세션 오용 방지를 위해 : 같은 포맷으로 사용자별로 세션 ID 바인딩

세션 수명 주기 관리: 적절한 만료, 갱신, 무효화로 취약점 노출 시간 제한

전송 보안: 세션 ID 탈취 방지를 위한 모든 통신 HTTPS 필수

혼란된 대리인 문제

혼란된 대리인 문제는 MCP 서버가 클라이언트와 제3자 서비스 사이 인증 프록시 역할을 할 때 발생하며, 정적 클라이언트 ID 악용을 통한 권한 우회 기회를 만듭니다.

공격 메커니즘 및 위험

쿠키 기반 동의 우회: 이전 사용자 인증이 생성한 동의 쿠키를 공격자가 악성 권한 요청과 조작된 리디렉션 URI로 악용

권한 코드 도난: 기존 동의 쿠키로 인해 권한 서버가 동의 화면을 건너뛰고 공격자 제어 엔드포인트로 코드 리디렉션

무단 API 접근: 도난된 권한 코드로 토큰 교환 및 사용자 가장 가능, 명시적 승인 없이 수행

완화 전략

필수 제어:

명시적 동의 요구: 정적 클라이언트 ID를 사용하는 MCP 프록시 서버는 동적으로 등록된 각 클라이언트에 대해 사용자 동의 확보 필수

OAuth 2.1 보안 구현: 모든 권한 요청에 대해 PKCE(Proof Key for Code Exchange)를 포함한 최신 OAuth 보안 모범 사례 준수

엄격한 클라이언트 검증: 리디렉션 URI 및 클라이언트 ID에 대한 엄밀한 검증으로 악용 방지

토큰 전달 취약점

토큰 전달은 MCP 서버가 클라이언트 토큰을 적절한 검증 없이 수락하고 하위 API에 전달하는 명백한 반패턴으로, MCP 권한 사양을 위반합니다.

보안 영향

통제 회피: 클라이언트에서 API로 직접 토큰 사용 시 핵심 속도 제한, 검증, 모니터링 우회

감사 추적 무결성 훼손: 상위 발급 토큰 때문에 클라이언트 식별 불가능, 사고 조사 불가

프록시 데이터 유출: 검증되지 않은 토큰으로 악성 행위자가 서버를 불법 데이터 접근 프록시로 사용

신뢰 경계 위반: 토큰 출처 확인 불가 시 하위 서비스 신뢰 가정 붕괴

다중 서비스 공격 확산: 여러 서비스에서 수락된 손상된 토큰으로 측면 이동 가능

필수 보안 제어

비협상 요구사항:

토큰 검증: MCP 서버는 MCP 서버 대상이 아닌 토큰을 절대 수락하지 말아야 함

대상 검증: 토큰의 audience 클레임이 MCP 서버 신원과 일치하는지 항상 확인

적절한 토큰 수명 관리: 짧은 수명의 액세스 토큰과 안전한 갱신 관행 구현

AI 시스템 공급망 보안

공급망 보안은 전통적인 소프트웨어 종속성을 넘어 AI 생태계 전체를 포괄합니다. 최신 MCP 구현은 AI 관련 모든 구성요소를 엄격히 검증 및 모니터링해야 하며, 각 요소는 시스템 무결성을 손상시킬 잠재적 취약점을 내포합니다.

확대된 AI 공급망 구성요소

전통적 소프트웨어 종속성:

오픈소스 라이브러리 및 프레임워크

컨테이너 이미지 및 베이스 시스템

개발 도구 및 빌드 파이프라인

인프라 구성요소 및 서비스

AI 전용 공급망 요소:

기초 모델: 여러 공급자의 사전 학습 모델로 출처 검증 필요

임베딩 서비스: 외부 벡터화 및 의미 기반 검색 서비스

컨텍스트 제공자: 데이터 소스, 지식 베이스, 문서 저장소

서드파티 API: 외부 AI 서비스, ML 파이프라인, 데이터 처리 엔드포인트

모델 아티팩트: 가중치, 구성, 세밀 튜닝 모델 변형

학습 데이터 소스: 모델 훈련 및 세밀 조정에 사용되는 데이터셋

포괄적인 공급망 보안 전략

구성요소 검증 및 신뢰

출처 검증: AI 구성요소 통합 전 출처, 라이선스, 무결성 확인

보안 평가: 모델, 데이터 소스, AI 서비스 취약점 스캔 및 보안 리뷰

평판 분석: AI 서비스 공급자 보안 이력 및 관행 평가

준수 검증: 모든 구성요소가 조직 보안 및 규제 기준 충족 확인

안전한 배포 파이프라인

자동화 CI/CD 보안: 자동 배포 파이프라인 전반에 보안 스캔 통합

아티팩트 무결성: 모든 배포 아티팩트(코드, 모델, 구성)에 대한 암호화 검증

점진적 배포: 각 단계에서 보안 검증을 수행하는 단계별 배포 전략 사용

신뢰 가능한 아티팩트 저장소: 검증된 안전 저장소 및 레지스트리에서만 배포

지속적 모니터링 및 대응

종속성 스캔: 모든 소프트웨어 및 AI 구성요소 종속성에 대한 취약점 지속 모니터링

모델 모니터링: 모델 동작, 성능 변동, 보안 이상 지속 평가

서비스 상태 추적: 외부 AI 서비스의 가용성, 보안 사고 및 정책 변경 모니터링

위협 인텔리전스 통합: AI 및 ML 보안 위험 관련 위협 피드 통합

접근 제어 및 최소 권한 원칙

구성요소별 권한 제한: 비즈니스 필요에 따른 모델, 데이터, 서비스 접근 제한

서비스 계정 관리: 최소 권한이 할당된 전용 서비스 계정 운영

네트워크 분할: AI 구성요소 격리 및 서비스 간 네트워크 접근 제한

API 게이트웨이 제어: 중앙 집중식 API 게이트웨이로 외부 AI 서비스 접근 통제 및 모니터링

사건 대응 및 복구

신속 대응 절차: 손상된 AI 구성요소 패치 또는 교체를 위한 수립된 프로세스

자격 증명 갱신: 비밀, API 키, 서비스 자격증명 자동 갱신 시스템

롤백 기능: 알려진 정상 버전으로 신속 복귀 기능

공급망 침해 복구: 상류 AI 서비스 손상에 대응하는 구체적 절차

Microsoft 보안 도구 및 통합

GitHub Advanced Security는 다음과 같은 포괄적 공급망 보호 기능 제공:

비밀 스캐닝: 저장소 내 자격 증명, API 키, 토큰 자동 탐지

종속성 스캐닝: 오픈소스 종속성 및 라이브러리 취약점 평가

CodeQL 분석: 보안 취약점 및 코드 문제에 대한 정적 코드 분석

공급망 인사이트: 종속성 건강 상태 및 보안 현황 가시성

Azure DevOps 및 Azure Repos 통합:

Microsoft 개발 플랫폼 전반에 걸친 원활한 보안 스캔 통합

AI 워크로드용 Azure Pipelines 내 자동 보안 검사

안전한 AI 구성요소 배포를 위한 정책 시행

Microsoft 내부 관행:

Microsoft는 모든 제품에서 광범위한 공급망 보안 관행을 구현하고 있습니다.

자세한 내용은 The Journey to Secure the Software Supply Chain at Microsoft에서 확인하세요.

기초 보안 모범 사례

MCP 구현은 조직의 기존 보안 태세를 상속 및 확장합니다. 기초 보안 관행을 강화하면 AI 시스템 및 MCP 배포의 전반적 보안을 크게 향상할 수 있습니다.

핵심 보안 기본 원칙

안전한 개발 관행

OWASP 준수: OWASP Top 10 웹 애플리케이션 취약점 대비

AI 특화 보호: OWASP LLMs Top 10에 대한 제어 적용

안전한 비밀 관리: 토큰, API 키, 민감 구성 데이터 전용 금고 사용

종단 간 암호화: 모든 애플리케이션 구성요소와 데이터 흐름에 안전한 통신 구현

입력 검증: 모든 사용자 입력, API 파라미터, 데이터 소스에 대한 엄격한 검증

인프라 구조 강화

다중 요소 인증: 모든 관리자 및 서비스 계정에 MFA 필수

패치 관리: 운영체제, 프레임워크, 종속성에 대한 자동화된 적시 패치

ID 공급자 통합: 기업 ID 공급자(예: Microsoft Entra ID, Active Directory)를 통한 중앙 집중식 ID 관리

네트워크 분리: MCP 구성요소의 논리적 분리로 측면 이동 가능성 제한

최소 권한 원칙: 모든 시스템 구성요소와 계정에 최소 요구 권한 적용

보안 모니터링 및 탐지

포괄적 로깅: AI 애플리케이션 활동 및 MCP 클라이언트-서버 상호작용 상세 기록

SIEM 통합: 이상 탐지를 위한 중앙집중식 보안 정보 및 이벤트 관리

행동 분석: 시스템 및 사용자 행동의 비정상 패턴을 탐지하는 AI 기반 모니터링

위협 인텔리전스: 외부 위협 피드 및 침해 지표(IOC) 통합

사건 대응: 보안 사고 탐지, 대응, 복구를 위한 명확한 절차

제로 트러스트 아키텍처

절대 신뢰 금지, 항상 검증: 사용자, 디바이스, 네트워크 연결 지속 검증

마이크로 세분화: 개별 워크로드 및 서비스 격리를 위한 세분화된 네트워크 제어

ID 중심 보안: 네트워크 위치보다 검증된 ID 기반 보안 정책

지속적 위험 평가: 현재 맥락과 행동을 기반으로 한 동적 보안 태세 평가

조건부 접근: 위험 요소, 위치, 디바이스 신뢰도에 따라 적응하는 접근 제어

엔터프라이즈 통합 패턴

Microsoft 보안 생태계 통합

Microsoft Defender for Cloud: 포괄적 클라우드 보안 태세 관리

Azure Sentinel: AI 워크로드 보호를 위한 클라우드 네이티브 SIEM 및 SOAR 기능

Microsoft Entra ID: 조건부 접근 정책을 갖춘 엔터프라이즈 ID 및 접근 관리

Azure Key Vault: 하드웨어 보안 모듈(HSM) 지원 중앙 비밀 관리

Microsoft Purview: AI 데이터 소스 및 워크플로에 대한 데이터 거버넌스 및 규정 준수

준수 및 거버넌스

규제 준수 맞춤화: MCP 구현이 GDPR, HIPAA, SOC 2 등 산업별 규제 요건 충족 보장

데이터 분류: AI 시스템이 처리하는 민감 데이터 적절 분류 및 관리

감사 추적: 규제 준수 및 포렌식 조사를 위한 포괄적 로그 기록

개인정보 보호 제어: AI 시스템 아키텍처에 개인정보 보호 설계 원칙 도입

변경 관리: AI 시스템 변경에 대한 보안 검토를 위한 공식 프로세스

이러한 기초 관행은 MCP 특화 보안 제어의 효율성을 높이고 AI 기반 애플리케이션에 대한 포괄적 보호 기반을 마련합니다.

주요 보안 시사점

계층화된 보안 접근법: 기본적인 보안 관행(안전한 코딩, 최소 권한, 공급망 검증, 지속적 모니터링)과 AI 특정 제어를 결합하여 포괄적인 보호 제공

AI 특유의 위협 환경: MCP 시스템은 프롬프트 인젝션, 도구 중독, 세션 탈취, 혼란스러운 대리 문제, 토큰 전달 취약점, 과도한 권한 등 특수한 위험에 직면하며 이를 위해 전문적인 완화책 필요

인증 및 권한 부여의 탁월성: 외부 ID 공급자(Microsoft Entra ID)를 사용한 강력한 인증 구현, 적절한 토큰 검증 적용, MCP 서버용으로 명시적으로 발급되지 않은 토큰은 절대 수락하지 않음

AI 공격 방지: Microsoft Prompt Shields 및 Azure Content Safety를 배포하여 간접적인 프롬프트 인젝션과 도구 중독 공격 방어, 도구 메타데이터 검증 및 동적 변경 모니터링 수행

세션 및 전송 보안: 사용자 신원에 바인딩된 암호학적으로 안전하고 비결정적인 세션 ID 사용, 적절한 세션 수명 주기 관리 구현, 인증에 세션 사용 금지

OAuth 보안 모범 사례: 동적 등록 클라이언트에 대해 명시적인 사용자 동의를 통해 혼란스러운 대리 공격 방지, PKCE가 포함된 적절한 OAuth 2.1 구현, 엄격한 리디렉션 URI 검증 실시

토큰 보안 원칙: 토큰 전달 반패턴 회피, 토큰 수신자 클레임 철저 검증, 짧은 수명 토큰과 보안 회전 구현, 명확한 신뢰 경계 유지

포괄적 공급망 보안: 모델, 임베딩, 컨텍스트 제공자, 외부 API 등 모든 AI 생태계 구성요소를 전통적인 소프트웨어 의존성과 동일한 보안 수준으로 취급

지속적 진화: 급변하는 MCP 명세에 최신 상태 유지, 보안 커뮤니티 표준에 기여, 프로토콜 성숙에 따른 적응형 보안 자세 유지

마이크로소프트 보안 통합: Microsoft의 포괄적 보안 생태계(Prompt Shields, Azure Content Safety, GitHub Advanced Security, Entra ID)를 활용하여 MCP 배포 보호 강화

포괄적 자료

공식 MCP 보안 문서

MCP 명세 (현재: 2025-11-25)

MCP 보안 모범 사례

MCP 권한 부여 명세

MCP GitHub 저장소

OWASP MCP 보안 자료

OWASP MCP Azure 보안 가이드 - Azure 구현 가이드가 포함된 포괄적 OWASP MCP Top 10

OWASP MCP Top 10 - 공식 OWASP MCP 보안 위험

MCP 보안 서밋 워크숍 (Sherpa) - Azure에서 MCP를 위한 실습 보안 교육

보안 표준 및 모범 사례

OAuth 2.0 보안 모범 사례 (RFC 9700)

OWASP 웹 애플리케이션 보안 Top 10

대형 언어 모델용 OWASP Top 10

Microsoft 디지털 방어 보고서

AI 보안 연구 및 분석

MCP의 프롬프트 인젝션 (Simon Willison)

도구 중독 공격 (Invariant Labs)

MCP 보안 연구 브리핑 (Wiz Security)

마이크로소프트 보안 솔루션

Microsoft Prompt Shields 문서

Azure Content Safety 서비스

Microsoft Entra ID 보안

Azure 토큰 관리 모범 사례

GitHub 고급 보안

구현 가이드 및 튜토리얼

Azure API Management를 MCP 인증 게이트웨이로 사용

MCP 서버와 Microsoft Entra ID 인증

안전한 토큰 저장 및 암호화 (비디오)

DevOps 및 공급망 보안

Azure DevOps 보안

Azure Repos 보안

Microsoft 공급망 보안 여정

추가 보안 문서

포괄적 보안 지침은 본 섹션의 전문 문서를 참조하십시오:

MCP 보안 모범 사례 2025 - MCP 구현을 위한 완벽한 보안 모범 사례

Azure Content Safety 구현 - Azure Content Safety 통합에 대한 실전 구현 예제

MCP 보안 제어 2025 - MCP 배포를 위한 최신 보안 제어 및 기법

MCP 모범 사례 빠른 참조 - 필수 MCP 보안 관행에 대한 빠른 참조 가이드

실습 보안 교육

MCP 보안 서밋 워크숍 (Sherpa) - Base Camp부터 Summit까지 단계별 캠프를 포함한 Azure에서 MCP 서버 보안을 위한 포괄적 실습 워크숍

OWASP MCP Azure 보안 가이드 - 모든 OWASP MCP Top 10 위험에 대한 참조 아키텍처 및 구현 지침

---

다음 단계

다음: 3장: 시작하기

---

면책 조항:

이 문서는 AI 번역 서비스 Co-op Translator를 사용하여 번역되었습니다.

정확성을 위해 최선을 다하고 있지만, 자동 번역에는 오류나 부정확한 내용이 포함될 수 있음을 유의하시기 바랍니다.

원문 문서는 해당 언어의 권위 있는 출처로 간주되어야 합니다.

중요한 정보의 경우 전문적인 인간 번역을 권장합니다.

본 번역 사용으로 인해 발생하는 오해나 해석상의 문제에 대해서는 당사가 책임지지 않습니다.