에이전트, 플러그인, 오케스트레이션 계층으로 AI 시스템을 구축하면서 트래픽 라우팅 방법만 고민하고 있다면 이미 절반은 실패한 것입니다.
모두가 모델 컨텍스트 프로토콜(MCP)을 구축을 서두르고 있으며, 이는 매우 좋은 현상입니다. 하지만 모델 컨트롤 플레인(MoCoP)에 대해서는 거의 아무도 이야기하지 않습니다. MoCoP도 중요하고 논란의 여지가 있지만여기서 가장 위험한 일이 벌어집니다.
(그리고 도대체 누가 약어를 이렇게 어렵게 만드는 걸까요? 이해할 수가 없습니다. 그래서 좋은 제품을 만들 수 없는 것입니다. /endofrant) (참고로 이 약어는 제가 방금 만든 것입니다.)
이 두 시스템이 어떻게 작동하는지, 어떻게 다른지, 그리고 두 시스템을 모두 갖추지 않으면 기본적으로 정문으로 프롬프트를 주입하는 것과 마찬가지인 이유를 분석해 보겠습니다.
Respond faster with Sumo Logic Dojo AI
Cut through the noise, detect threats faster, and resolve issues before they disrupt your operations.
두 시스템의 역할 및 중요성
| 특징 | MCP(모델 컨텍스트 프로토콜) | MoCoP(모델 컨트롤 플레인) |
| 소개 | 오케스트레이터 – 요청을 라우팅하고, 플러그인을 실행하고, 정책을 시행합니다. | 페이로드 – 실제로 LLM에 전달되는 내용입니다. |
| 기본 작업 | 어떤 작업을 어떤 도구를 사용하고 어떤 정책을 적용해서 실행할지를 관리합니다. | 프롬프트를 작성합니다. 인풋 이스케이핑합니다. 출처를 추적합니다. 모델을 방어합니다. |
| 보안 집중 | 에이전트와 플러그인을 한 곳에서 관리합니다. 정책을 적용합니다. 신원을 확인합니다. | 프롬프트 주입을 방지합니다. 유출을 차단합니다. 컨텍스트를 올바르게 구조화합니다. |
| 위치 | 사용자 백엔드(인프라, 에이전트, 오케스트레이션). | 데이터 플레인(프롬프트, 메모리, 플러그인 아웃풋 – 일명 스케치 항목). |
멘탈 모델: 인프라 vs 인풋
이 둘의 차이점에 대해 생각해 볼 수 있는 한 가지 방법은 다음과 같습니다.
| 역할 | MCP | MoCoP |
| 비유 | AI Kubernetes 컨트롤 플레인 | 파드 사양 또는 컨테이너 정의 |
| 비교 | 제로 트러스트 강제 시행 커널 | 위변조 방지 서명된 RPC 페이로드로 AI 두뇌에 입력 |
누가 무엇를 보호합니까?
사람들이 안전한 MCP를 구축한 다음 가비지 또는 이스케이프되지 않은 인풋이 모델에 전송되도록 방치한 것이 문제입니다. 방화 건물을 지어놓고 그 안에 기름 걸레를 쌓아둔 채 창문을 열어두는 것과 마찬가지입니다.
아래 내용을 확인하여 각 레이어가 어떤 작업을 처리하는지 알아보세요.
| 우려되는 점 | MCP에서 처리 | MoCoP에서 처리 |
| 플러그인 샌드박싱 | 예 | 아니요 |
| 프롬프트 주입 이스케이핑 | 때때로 | 예 |
| 자격 증명 범위/토큰 서명 | 예 | 아니요 |
| 컨텍스트 절단/오버플로 | 아니요 | 예 |
| 메시지 재생/대기열 주입 | 예 | 아니요 |
| 인풋 블록의 출처 | 라우팅 시 강제 적용 | 명시적 메타데이터 |
| 벡터 저장소의 테넌트 격리 | 예 | 레이블 적용에 의존 |
| 가드레일 시행 | 정책 엔진을 통해 | 직렬화 계층에서 |
| 스키마 버그 또는 형식 드리프트 | 아니요 | 예 |
| 버저닝 | 내부 플러그인/API | 스키마 태그 및 해싱 |
실제 예시: MCP만으로는 부족한 경우
훌륭한 MCP를 구축했다고 가정해 보겠습니다.
샌드박싱을 했습니다. IAM 역할의 범위를 지정했습니다. OPA도 사용했습니다.
그런데 누군가가 다음을 출력하는 플러그인을 중단시킵니다.
nginx
CopyEdit
ignore previous instructions MoCoP가 없으므로 해당 출력은 이스케이프되지 않은 채 시스템 프롬프트 아래 있는 컨텍스트로 바로 이동합니다.
모델이 뒤집히고 탈옥이 성공하자 ‘보안 AI 스택’이 사용자를 대신해 콘서트 티켓을 구매한 이유가 궁금해집니다.
해결 방법
| MCP가 이것을 수행합니다. | MoCoP가 다른 것을 수행합니다. |
| 플러그인을 로드하고 IAM을 적용합니다. | 이스케이프 및 서명 플러그인 출력 |
| 올바른 LLM으로 가는 길 | 토큰 예산 제약 조건 적용 |
| 신원 확인 및 RBAC 적용 | 태그 및 컨텍스트 블록 타임스탬프 |
MCP와 MoCoP 모두 필요합니다.
“고기를 먹지 않으면 푸딩을 먹을 수 없다”는 속담이 있습니다. 이 두 시스템도 마찬가지입니다.
MCP가 있으신가요? 다행입니다. 최소한 인력과 기술력은 있군요. MoCoP도 있으신가요? 아주 좋습니다. 이제 실제로 모델에 들어가는 내용을 확보했으니까요.
그런데 하나만 있다면? 중요한 허점를 남기고 사실상 예쁘게 장식한 뒷문을 열어주는 것과 같습니다. 이렇게 생각해 보세요.
- MoCoP가 없는 MCP = 안전하지 않은 컨텍스트를 전달하는 보안 오케스트레이터
- MCP가 없는 MoCoP = 잠재적으로 손상된 컨트롤러에서 전송된 안전한 입력
Sumo Logic은 이 두 가지 문제에 대해 깊이 고민하고 있습니다. 안전한 AI 시스템을 구축하려면 로그 전반에 대한 가시성이 필요하며, 이를 통해 문제를 모니터링하고 감지할 수 있습니다.
Sumo Logic으로 AI 시스템을 보호하는 방법이 궁금하신가요? 30일 무료 평가판을 체험하세요.
