MCP 생태계에 첫 구조적 보안 결함이 공개되면서 150M 다운로드 기반의 "사실상 표준" 지위에 균열이 발생했다. 같은 주에 A2A 프로토콜은 1주년 만에 150+ 조직과 결제 프로토콜(AP2)을 갖춘 프로덕션 인프라로 성장했다. Microsoft는 "Ocean 11"으로 반응형 코파일럿에서 자율 에이전트로의 전환을 선언했다. "프로토콜 신뢰 리스크"와 "에이전트 자율성 확대"가 L3-L4 미들웨어·플랫폼 레이어의 권력 재편을 정의한다.
MCP 보안 결함 — "사실상 표준"의 첫 구조적 도전
Ox Security가 4월 15일 MCP 핵심 아키텍처에서 RCE(원격 코드 실행) 취약점을 공개했다. Anthropic 공식 SDK 전체(Python, TypeScript, Java, Rust)에 내재한 STDIO 인터페이스 결함으로, 악의적 명령이 서버 프로세스 시작 실패와 무관하게 실행된다.
영향 범위는 150M+ SDK 다운로드, 최대 200K 취약 서버다. LiteLLM, LangChain, IBM LangFlow 등 6개 프로덕션 플랫폼에서 실제 명령 실행이 확인되었고, Cursor·VS Code·Windsurf·Claude Code 등 주요 IDE가 모두 취약하다. Windsurf는 사용자 상호작용 없이도 익스플로잇이 가능했다.
Anthropic은 "STDIO 실행 모델은 보안 기본값이며 살균(sanitization)은 개발자 책임"이라며 수정을 거부했다. 이 입장은 단기적으로 개발자 커뮤니티의 불신을 강화할 수 있다.
MCP의 "사실상 표준" 지위에 대한 첫 구조적 도전이다. 다만 A2A는 "에이전트 간 통신"에 집중하므로 MCP(도구·데이터 접근)를 직접 대체하지 않는다. 보안 우려가 프로토콜 다원화 논의를 가속시키는 촉매이지, 즉시 대체 시나리오는 아니다.
A2A 1주년 + AP2 — 에이전트 경제 인프라의 완성
A2A 프로토콜(Linux Foundation)이 4/9 1주년 마일스톤을 발표했다. 1년 만에 50→150+ 조직(AWS, Cisco, Google, IBM, Microsoft, Salesforce 등)으로 3배 성장. GitHub 22K+ 스타, 5개 언어(Python, JS, Java, Go, .NET) 프로덕션 SDK를 갖추었다.
공급망·금융·보험·IT 운영에서 실제 프로덕션 배포가 확인되었다. 동시에 AP2(Agent Payments Protocol)가 출범 — A2A의 공식 확장으로, 60+ 결제·금융 조직이 지지를 선언했다.
MCP(도구 접근) + A2A(에이전트 통신) + AP2(에이전트 결제)로 3중 프로토콜 스택이 형성되었다. 에이전틱 시대의 TCP/IP+HTTP+SSL에 해당하는 구조다. Google이 A2A·AP2 양쪽 거버넌스를 주도하면서 L3 표준 레이어 영향력을 구조적으로 강화하고 있다.
Microsoft "Ocean 11" — 코파일럿에서 자율 에이전트로
Microsoft가 M365 Copilot에 OpenClaw 스타일의 항시 작동(always-on) 자율 에이전트를 통합하는 "Ocean 11" 프로젝트를 진행 중이다(TechCrunch 4/13). Omar Shahine이 이끄는 팀이 엔터프라이즈 보안·거버넌스를 갖춘 사전 예방적(proactive) 에이전트를 개발하고 있으며, Build 2026(6/2)에서 조기 프리뷰가 예정되어 있다.
OpenClaw 창시자 Peter Steinberger는 2월 OpenAI에 합류했고, OpenClaw는 재단 모델로 전환했다. Anthropic Claude도 Copilot Cowork에 통합되어 멀티모델 구조가 확장 중이다.
"반응형 코파일럿 → 자율 에이전트" 전환은 M365 생태계 내 에이전트 의존도를 급격히 높여 새로운 형태의 "에이전트 락인"을 형성한다. 오픈소스 혁신을 엔터프라이즈에 흡수하는 전형적 "포용 후 확장(embrace & extend)" 전략이다.
권력 이동과 피드백 루프
금주 핵심 피드백 루프: L9→L3(MCP 보안 취약점이 미들웨어 채택 패턴을 변경)과 L3→L4→L5 에이전트 캐스케이드(A2A 확산 → 플랫폼 의무 지원 → 앱 재설계). 프로토콜 레이어(L3)의 변화가 플랫폼(L4)과 앱(L5)으로 연쇄 전파되는 구조다.
Apple도 WWDC 2026(6/8-12) 티저에서 Siri 대규모 개편과 3자 AI 확장 시스템(OpenAI 독점 종료)을 예고했다. L4 플랫폼 경쟁이 Microsoft·Apple 양강 구도로 심화되고 있다.
6개월 시사점: MCP 보안 취약점은 에이전트 프로토콜 생태계의 첫 구조적 신뢰 리스크다. 150M 설치 기반의 관성이 즉시 이탈을 억제하겠으나, 엔터프라이즈 보안 감사 요건이 채택 속도를 조절할 가능성이 높다. A2A+AP2와 Microsoft Ocean 11은 프로토콜 설계자(Google)와 플랫폼 실행자(Microsoft)에 권력을 집중시키며, 이 구도는 Build 2026과 WWDC에서 구체화될 것으로 보인다. [MEDIUM]