oauth

Agents can now create Cloudflare accounts, buy domains, and deploy (새 탭에서 열림)

이제 AI 에이전트는 사람이 직접 대시보드에 접속하거나 신용카드 정보를 입력할 필요 없이, 스스로 클라우드플레어 계정을 생성하고 도메인을 구매하여 서비스를 배포할 수 있게 되었습니다. 클라우드플레어는 스트라이프(Stripe)와의 협업을 통해 '스트라이프 프로젝트(Stripe Projects)' 내에서 작동하는 새로운 프로토콜을 도입했으며, 이를 통해 에이전트가 소프트웨어 개발을 넘어 프로덕션 환경 구축까지 원스톱으로 처리할 수 있는 환경을 마련했습니다. 사용자는 최초의 권한 승인과 이용 약관 동의 외에는 복잡한 설정 과정에 개입할 필요가 없어 서비스 배포의 마찰력이 획기적으로 줄어들었습니다. **에이전트의 완전 자동화된 배포 흐름** * 사용자가 스트라이프 CLI를 통해 프로젝트를 초기화하면, AI 에이전트는 사용자의 스트라이프 계정 정보를 바탕으로 클라우드플레어 계정을 자동 생성하거나 기존 계정을 연결합니다. * 에이전트는 API 토큰을 발급받고, 도메인을 등록하며, 코드를 즉시 프로덕션 환경에 배포하는 모든 과정을 스스로 수행합니다. * 이 모든 과정은 사람이 대시보드에 들어가 API 토큰을 복사하거나 결제 수단을 수동으로 등록하는 단계 없이 하나의 흐름으로 진행됩니다. **상호운용성을 위한 세 가지 핵심 구성 요소** * **발견(Discovery):** 에이전트는 REST API 형태의 카탈로그를 조회하여 클라우드플레어의 도메인 등록과 같은 사용 가능한 서비스를 스스로 파악하고 선택할 수 있습니다. * **인증(Authorization):** 스트라이프가 신원 제공자(Identity Provider) 역할을 수행하여 사용자를 증명하면, 클라우드플레어는 즉시 계정을 프로비저닝하고 보안이 유지되는 자격 증명을 에이전트에게 반환합니다. * **결제(Payment):** 에이전트에게 실제 카드 번호를 공유하지 않고 스트라이프의 결제 토큰을 사용하며, 기본적으로 월 100달러의 지출 한도를 설정하여 예기치 못한 비용 발생을 방지합니다. **플랫폼 확정성 및 스타트업 지원** * 이 프로토콜은 스트라이프뿐만 아니라 로그인된 사용자를 보유한 어떤 플랫폼이든 '오케스트레이터' 역할을 맡아 클라우드플레어와 통합할 수 있도록 설계되었습니다. * 클라우드플레어는 이번 협업을 기념하여 스트라이프 아틀라스(Stripe Atlas)를 통해 법인을 설립하는 신규 스타트업에게 10만 달러 상당의 클라우드플레어 크레딧을 제공합니다. * 이를 통해 개발자들은 인프라 설정이라는 번거로운 작업에서 벗어나 AI 에이전트와 함께 아이디어를 프로덕션 수준의 서비스로 더욱 빠르게 전환할 수 있습니다. 에이전트 중심의 개발 환경을 구축하려는 개발자나 플랫폼 운영자라면 클라우드플레어의 'Code Mode MCP 서버'와 'Agent Skills'를 활용해 보시기 바랍니다. 인프라 구축의 모든 단계가 API화되어 있으므로, 사용자의 개입을 최소화하면서도 안전하고 확장 가능한 배포 자동화 시스템을 구현할 수 있습니다.

AI 시대에 인증 과제를 해결할 차세대 표준 후보, ID-JAG (새 탭에서 열림)

AI 에이전트가 다양한 기업용 서비스와 연동되는 과정에서 발생하는 인증 및 인가 복잡성을 해결하기 위해 **Identity Assertion JWT Authorization Grant(ID-JAG)**라는 새로운 표준안이 주목받고 있습니다. ID-JAG는 기존 SSO의 신뢰 모델을 API 접근 영역으로 확장하여, 기업 IdP가 중앙에서 권한 정책을 일원화해 관리하고 검증 가능한 JWT를 통해 안전하게 토큰을 교환하도록 돕습니다. 이를 통해 사용자 경험을 개선하고 보안 가시성을 확보함으로써, 복잡한 연동 구조가 AI 도입의 병목이 되지 않도록 하는 것이 핵심입니다. **ID-JAG의 개념과 기술적 배경** * SSO를 통해 확립된 IdP(Identity Provider)에 대한 신뢰를 앱 간 API 호출이나 에이전트 서비스 연동에 적용하는 방식입니다. * OAuth 2.0 Token Exchange(RFC 8693)와 JWT Profile for OAuth 2.0 Authorization Grants(RFC 7523)라는 기존의 두 표준 기술을 결합하여 작동합니다. * IdP가 서명한 검증 가능한 JWT를 일종의 '소개장'으로 발행하고, API 리소스 측 인가 서버가 이 소개장을 신뢰하여 최종 액세스 토큰을 발행하는 구조입니다. **핵심 구성 요소와 작동 흐름** * **주요 주체:** 요청 에이전트(AI 등), 기업 IdP(중앙 정책 보유), 인가 서버(대상 앱의 서버), 리소스 서버(실제 API)의 네 가지 역할로 구분됩니다. * **작동 프로세스:** 사용자가 에이전트에 로그인하여 ID 토큰 획득 → IdP에 토큰 교환을 요청하여 ID-JAG 발급 → 인가 서버에 ID-JAG를 제시하고 최종 액세스 토큰 획득 → 리소스 서버 API 호출 순으로 진행됩니다. * **권한 판단의 주체 변화:** 개별 서비스 간의 파편화된 관계 대신, 조직 전체를 관리하는 기업 IdP와 인가 서버 간의 신뢰 관계로 허가 판단 시점이 이동합니다. **조직의 운영 및 보안 측면의 이점** * **사용자 경험(UX) 개선:** 새로운 도구를 연동할 때마다 나타나는 권한 동의 화면(Consent Screen) 절차를 IdP 관리자 정책에 통합하여 사용자의 번거로움을 줄입니다. * **보안 가시성 확보:** 모든 서비스 연결 관계가 IdP로 집중되므로, 누가 어떤 에이전트를 통해 어떤 데이터에 접근했는지 중앙 로그를 통해 명확하게 감사(Audit)할 수 있습니다. * **중앙 집중형 리스크 통제:** 승인되지 않은 '섀도우 AI'의 접근을 차단하고, 보안 사고 발생 시 개별 엔드포인트를 수정할 필요 없이 IdP 단에서 즉각적으로 권한을 제어할 수 있습니다. * **토큰 스프롤(Sprawl) 방지:** 장기 유효한 API 키나 리프레시 토큰 대신 동적으로 발행되는 ID-JAG를 사용하여 시스템 곳곳에 흩어진 인증 정보 노출 리스크를 낮춥니다. **도입 시 고려 사항 및 실용적 제언** * **표준화 상태 유의:** 현재 IETF 드래프트 단계이며 RFC로 최종 확정된 사양이 아니므로, 향후 변경 가능성을 염두에 둔 유연한 아키텍처 설계가 필요합니다. * **사전 신뢰 관계 구축:** 요청 에이전트가 IdP와 인가 서버 모두에 OAuth 클라이언트로 등록되어야 하며, 각 주체 간의 명시적인 신뢰 설정이 선행되어야 합니다. * **결론:** AI 에이전트 도입으로 인해 파편화된 권한 관리에 어려움을 겪는 기업이라면, ID-JAG를 통해 인가 정책을 중앙화하고 보안 표준을 프로토콜 기반의 동적 신뢰 구조로 전환하는 전략적 검토가 권장됩니다.

에이전트에게 결제 능력을 부여하기 (새 탭에서 열림)

Stripe은 AI 에이전트가 인터넷 경제의 능동적인 주체로 참여할 수 있도록 '에이전트용 Link 지갑(Link’s wallet for agents)'과 '에이전트용 Stripe Issuing'을 출시했습니다. 이 서비스는 에이전트에게 일회용 가상 카드나 공유 결제 토큰(SPT)을 발급하여 기존 결제 시스템에서 안전하게 구매를 수행할 수 있게 하며, 사용자는 앱을 통해 결제 요청을 검토하고 승인할 수 있는 통제권을 갖습니다. 결과적으로 복잡한 결제 인프라를 직접 구축할 필요 없이 AI 에이전트가 실질적인 상거래를 수행할 수 있는 기반을 마련해 줍니다. ### 에이전트용 Link 지갑의 작동 방식 * **보안 결제 수단 제공**: 에이전트는 사용자의 실제 카드 정보를 직접 보지 못하며, 대신 일회용 가상 카드나 SPT(Shared Payment Token)를 할당받아 결제를 진행합니다. * **OAuth 기반 권한 부여**: 사용자는 표준 OAuth 흐름을 통해 자신의 Link 지갑에 대한 접근 권한을 에이전트에게 부여할 수 있습니다. * **실시간 승인 프로세스**: 에이전트가 결제 요청을 생성하면 사용자는 Link의 웹 또는 모바일 앱(iOS/Android)에서 알림을 받고, 금액, 통화, 가맹점 등의 정보를 확인한 후 최종 승인합니다. * **다양한 결제 수단 추상화**: 현재 카드와 SPT를 지원하며, 향후 스테이블코인 및 기계 전용 결제 프로토콜 등으로 지원 범위를 확대할 예정입니다. ### 에이전트용 Stripe Issuing을 통한 맞춤형 인프라 * **API 기반 커스터마이징**: 독자적인 에이전트 지갑이나 카드 서비스를 구축하려는 기업은 Stripe Issuing API를 통해 온보딩, 자금 흐름, 지출 한도 등을 직접 설계할 수 있습니다. * **정교한 지출 제어**: 카드 수준의 권한 설정, 트랜잭션 승인 시점의 사기 방지 제어, 실시간 카드 활동 모니터링 기능을 제공합니다. * **자금 관리 최적화**: 가상 카드 발급부터 자금 보관, 지출 모니터링까지 에이전트 금융 워크플로우에 필요한 모든 하부 구조를 지원합니다. ### 주요 활용 사례 및 비즈니스 확장성 * **비즈니스 자동화**: 개발자는 에이전트를 활용해 기업의 반복적인 지출이나 프로그램 방식의 구매 워크플로우를 자동화할 수 있습니다. * **핀테크 및 SaaS**: 핀테크 제공업체는 실시간 지출 관리 시스템에 에이전트 발행 카드를 내장할 수 있으며, 수직형 SaaS 플랫폼은 중소상공인(SMB) 고객에게 자사 브랜드의 에이전트 결제 기능을 제공할 수 있습니다. * **마켓플레이스 효율화**: 판매자가 물류, 공급업체 결제, 주문 이행 등을 에이전트를 통해 자동 처리하도록 지원하여 운영 효율을 높일 수 있습니다. 개인 비서나 쇼핑 에이전트와 같은 소비자 지향 AI 서비스를 개발하는 기업이라면, 직접 복잡한 지갑 인프라를 구축하기보다 2억 명 이상의 사용자를 보유한 Link 지갑 기능을 도입하는 것이 효율적입니다. 보다 세밀한 금융 로직과 브랜드 경험이 필요한 경우에는 Stripe Issuing API를 활용하여 독자적인 에이전트 결제 생태계를 구축하는 것을 권장합니다.

ODW #3: MCP 서버를 안전하게 활용해 개발 효율 높이기 (새 탭에서 열림)

LY Corporation은 Model Context Protocol(MCP)을 활용해 AI 어시스턴트와 사내외 도구를 표준화된 방식으로 연결함으로써 개발 프로세스의 효율성을 극대화하고 있습니다. 보안 리스크를 체계적으로 관리하는 동시에 워크숍을 통한 조직적 학습을 병행하여, 엔지니어들이 안전하게 AI 에이전트를 확장하고 업무 자동화를 실현할 수 있는 환경을 구축하고 있습니다. **MCP의 개념과 표준화의 이점** * MCP는 AI 어시스턴트와 외부 시스템 사이에서 '번역자' 역할을 수행하는 공통 통신 규격으로, 각 서비스마다 별도의 인터페이스를 구현해야 했던 번거로움을 해결합니다. * 도구 개발자가 MCP라는 단일 인터페이스만 구현하면, 이를 지원하는 다양한 AI 어시스턴트(Claude, Cline 등)에서 동일한 방식으로 기능을 호출할 수 있어 호환성과 확장성이 비약적으로 향상됩니다. **보안 리스크 관리와 사내 거버넌스 구축** * 외부 MCP 서버의 약 53%가 정적 API 키나 PAT에 의존하고 있다는 보안 취약점을 인지하고, OAuth 등 최신 인증 방식을 권장하며 철저한 보안 검증을 수행합니다. * 사내에서는 허용 목록(Allow-list) 제도를 운영하여 검증된 MCP 서버만 사용하도록 제한하며, 내부 업무 시스템 연동을 위해 사내 보안 요구사항을 충족하는 전용 MCP 서버를 직접 구축해 제공합니다. * 'Help LY MCP'와 같은 전용 지원 도구를 마련해 전 세계 그룹사 직원들이 복잡한 절차 없이 자사 조직에 AI를 적용할 수 있는지 검토할 수 있는 체계를 갖추었습니다. **AI 에이전트 기반의 실무 자동화 사례** * **Claude Code와 Jira 연동:** 워크숍 실습을 통해 Claude Code가 작업 내용을 요약하고 사내 그룹웨어 MCP를 통해 Jira 티켓을 자동으로 발행하는 과정을 구현하여 반복적인 관리 업무를 자동화했습니다. * **멀티 에이전트 코드 리뷰:** Claude 3.5 Sonnet이 코드의 문맥과 로직을 1차로 리뷰하면, Codex MCP를 통해 연결된 다른 모델(GPT-5 등)이 리뷰의 타당성을 검증하는 2단계 리뷰 프로세스를 구축하여 객관성을 높였습니다. **조직적 학습과 공유의 가치** * 기술 변화 속도가 매우 빠른 AI 분야에서는 개인의 학습에만 의존하지 않고, '워크숍'이라는 형식을 통해 조직 전체의 배경지식과 위험 인식을 동기화하는 것이 중요합니다. * '무엇이 가능한가', '어떤 함정이 있는가', '어떻게 활용해야 가치가 생기는가'라는 세 가지 관점을 팀 전체가 공유함으로써 실질적인 업무 개선으로 이어지는 추진력을 얻을 수 있습니다. AI 기술은 정답이 정해지지 않은 채 매우 빠르게 발전하고 있으므로, 완벽한 모범 사례를 기다리기보다 호기심을 바탕으로 작은 시도를 꾸준히 쌓아가는 자세가 중요합니다. MCP 서버와 같은 최신 프로토콜을 적극적으로 탐구하고 팀 내에 공유하는 문화를 조성하는 것이 다가오는 AI 시대의 핵심 경쟁력이 될 것입니다.

Building the agentic cloud: everything we launched during Agents Week 2026 (새 탭에서 열림)

Cloudflare는 인공지능 에이전트가 주요 워크로드로 자리 잡는 미래를 위해 기존의 클라우드 구조를 재정의한 'Cloud 2.0(에이전트 클라우드)' 비전을 제시했습니다. 수천만 개의 에이전트 세션이 동시에 실행될 수 있도록 연산 인프라부터 보안, 도구 모음까지 스택 전반에 걸친 대대적인 신규 기능들을 공개했습니다. 이를 통해 개발자들은 단순한 프로토타입을 넘어 확장성과 보안을 갖춘 에이전트 기반 애플리케이션을 생산 환경에서 구현할 수 있게 되었습니다. **에이전트 전용 연산 환경 및 워크플로우** * **Git 호환 저장소 'Artifacts':** 에이전트가 생성한 코드와 데이터를 관리하기 위해 수천만 개의 레포지토리를 생성할 수 있고, 표준 Git 클라이언트와 연동되는 버전 관리 저장소를 제공합니다. * **격리된 실행 환경 'Sandboxes' (GA):** 에이전트에게 셸, 파일 시스템, 백그라운드 프로세스를 갖춘 독립된 컴퓨터 환경을 제공하며, 작업 중단 지점부터 즉시 재개할 수 있는 영속성을 보장합니다. * **상태 저장 및 확장성:** 'Durable Object Facets'를 통해 에이전트가 생성한 앱마다 독립된 SQLite 데이터베이스를 할당하며, 개선된 워크플로우 엔진으로 최대 50,000개의 동시 실행을 지원합니다. **에이전트를 위한 보안 및 ID 관리** * **Cloudflare Mesh:** 에이전트가 프라이빗 네트워크 내의 데이터베이스나 API에 안전하게 접근할 수 있도록 제로 트러스트 기반의 비공개 네트워크 연결을 지원합니다. * **Managed OAuth:** 에이전트가 보안상 취약한 서비스 계정 대신, 사용자를 대행해 내부 애플리케이션에 안전하게 인증하고 탐색할 수 있는 체계를 구축했습니다. * **비인간 식별자(Non-human Identity) 보호:** 에이전트용 API 토큰의 권한 범위를 세밀하게 제어하고 자동 취소 기능을 도입하여 자격 증명 유출에 따른 리스크를 최소화했습니다. **에이전트의 사고와 소통을 돕는 툴박스** * **다중 채널 소통 지원:** 실시간 음성 상호작용(STT/TTS) 기능을 약 30줄의 코드로 구현할 수 있게 되었으며, 이메일을 직접 송수신하고 처리할 수 있는 'Cloudflare Email Service' 베타를 출시했습니다. * **추론 성능 및 효율 최적화:** LLM의 품질 저하 없이 모델 크기를 22% 압축하는 'Unweight' 기술을 도입하여 더 빠르고 경제적인 추론 인프라를 구축했습니다. * **통합 추론 및 기억:** 14개 이상의 모델 공급자를 연결하는 통합 추론 레이어와 함께, 에이전트가 과거의 맥락을 기억하고 지속적으로 학습할 수 있는 'Agent Memory' 서비스를 제공합니다. 이번 발표는 에이전트가 단순히 텍스트를 생성하는 도구를 넘어, 독립적인 실행 환경과 보안 권한을 가지고 업무를 수행하는 '실행 주체'로 거듭나도록 돕는 데 초점이 맞춰져 있습니다. 대규모 에이전트 시스템을 구축하려는 팀이라면 Cloudflare가 제공하는 Sandboxes와 Mesh 기반의 보안 아키텍처를 활용하여 인프라 구축 비용과 보안 리스크를 획기적으로 낮출 수 있을 것입니다.

Agent Readiness 점수를 소개합니다. 내 사이트가 에이전트 대응 준비가 되었는지 확인해 보세요. (새 탭에서 열림)

웹 환경이 브라우저와 검색 엔진을 넘어 AI 에이전트 중심으로 진화함에 따라, 사이트가 AI 모델에 얼마나 최적화되어 있는지를 평가하는 새로운 기준이 필요해졌습니다. Cloudflare는 웹사이트의 AI 에이전트 대응 수준을 측정하고 개선 가이드를 제공하는 도구인 'isitagentready.com'과 관련 데이터셋을 공개했습니다. 이를 통해 사이트 소유자는 에이전트 전용 콘텐츠 제공 및 권한 제어 표준을 도입함으로써 AI 도구가 더 빠르고 저렴하게 정보를 처리할 수 있도록 최적화할 수 있습니다. **웹 사이트의 AI 에이전트 표준 도입 현황** * 전 세계 상위 20만 개 도메인을 분석한 결과, 대다수의 사이트가 여전히 전통적인 검색 엔진 크롤러 방식에 머물러 있어 에이전트 준비도가 낮은 것으로 나타났습니다. * `robots.txt`는 78%의 사이트가 보유하고 있으나, AI 에이전트 전용 규칙이나 AI 사용 선호도(Content Signals)를 명시한 곳은 4%에 불과합니다. * 에이전트가 HTML 대신 효율적인 마크다운 형식을 요청하는 '마크다운 콘텐츠 협상(Markdown content negotiation)' 도입률은 3.9% 수준입니다. * MCP(Model Context Protocol) 서버 카드나 API 카탈로그(RFC 9727)와 같은 최신 에이전트 상호작용 표준은 현재 도입 초기 단계로, 이를 선제적으로 도입하면 AI 에이전트 생태계에서 두각을 나타낼 수 있습니다. **에이전트 준비도 점수 측정 항목** * **발견 가능성(Discoverability):** `robots.txt`와 `sitemap.xml`은 물론, 에이전트가 HTML을 파싱하지 않고도 리소스를 즉시 찾을 수 있도록 HTTP 응답 헤더의 `Link` 헤더(RFC 8288) 활용 여부를 평가합니다. * **콘텐츠 접근성(Content Accessibility):** LLM이 읽기 쉬운 구조로 사이트 맵을 제공하는 `llms.txt`와 텍스트 기반의 마크다운 제공 여부를 확인합니다. 마크다운은 HTML 대비 토큰 사용량을 최대 80%까지 줄여 비용 절감과 응답 속도 향상에 기여합니다. * **봇 제어 및 권한(Bot Access Control):** AI 봇 전용 접근 규칙과 웹 봇 인증 방식이 올바르게 설정되어 있는지 체크합니다. * **에이전트 역량(Capabilities):** API 카탈로그, OAuth 서버 검색(RFC 8414), MCP 서버 카드 등 에이전트가 사이트의 기능을 직접 수행하는 데 필요한 기술 표준 준수 여부를 측정합니다. **실무적인 최적화 지원 및 도구 활용** * `isitagentready.com`은 구글 라이트하우스(Lighthouse)처럼 동작하며, 진단 결과에서 통과하지 못한 항목에 대해 코딩 에이전트에게 바로 입력할 수 있는 구현용 프롬프트를 제공합니다. * 이 도구 자체도 MCP 서버를 노출하고 있어, 사용자는 웹 인터페이스 없이도 에이전트를 통해 프로그래밍 방식으로 사이트 스캔을 수행할 수 있습니다. * Cloudflare는 자사 개발자 문서를 에이전트 친화적으로 개편하여 AI 도구가 문서를 참조할 때 발생하는 비용을 대폭 절감하고 답변의 정확도를 높이는 사례를 직접 증명하고 있습니다. 웹 사이트 운영자는 `isitagentready.com`을 통해 현재 사이트의 상태를 점검하고, 특히 토큰 비용 효율성이 높은 **마크다운 콘텐츠 협상**과 **API 카탈로그** 표준을 우선적으로 도입하는 것을 권장합니다. 이는 AI 에이전트가 사이트 정보를 더 정확하게 이해하고 사용자에게 전달하도록 만드는 가장 효과적인 방법입니다.

GitLab 19.0의 중대 변경 사항 가이드 (새 탭에서 열림)

GitLab 19.0은 이전 메이저 업데이트 대비 파괴적 변경 사항(Breaking Changes)의 수를 대폭 줄여 안정성을 높이는 한편, 최신 보안 표준과 현대적인 인프라 기술로의 전환을 가속화합니다. 이번 릴리스는 NGINX Ingress의 대체, PostgreSQL 최소 요구 버전 상향, 보안상 취약한 인증 방식 제거 등 시스템 운영의 핵심적인 변화를 포함하고 있어 사용자들의 철저한 사전 준비가 필요합니다. 각 배포 유형에 따라 2026년 5월부터 순차적으로 적용될 예정이므로, 운영 환경의 호환성을 미리 점검하고 마이그레이션을 계획해야 합니다. ### 배포 유형별 업데이트 일정 * **GitLab.com (SaaS):** 2026년 5월 4일~6일 사이에 주요 변경 사항이 적용되며, 5월 11일~13일이 예비 기간으로 설정되었습니다. * **Self-Managed:** 2026년 5월 21일부터 공식적으로 19.0 버전을 사용할 수 있습니다. * **GitLab Dedicated:** 배포판 관리 정책에 따라 2026년 6월 22일 주간의 유지보수 창 내에 업데이트가 진행됩니다. ### 인프라 및 네트워킹 구성의 변화 * **Gateway API 및 Envoy 전환:** NGINX Ingress가 2026년 3월 종료됨에 따라, GitLab Helm 차트의 기본 네트워킹 구성이 Envoy Gateway 기반의 Gateway API로 변경됩니다. 기존 NGINX 사용자는 20.0 버전 전까지 수동으로 활성화하여 유지할 수 있으나 조속한 마이그레이션이 권장됩니다. * **내장형 컴포넌트 제거:** 테스트 및 PoC 용도로 제공되던 Helm 차트 내 번들 PostgreSQL, Redis, MinIO가 라이선스 및 유지보수 이슈로 인해 완전히 제거됩니다. 해당 서비스를 사용하는 환경은 반드시 외부 서비스로 전환해야 합니다. * **OS 지원 종료:** Ubuntu 20.04의 표준 지원 종료에 맞춰 해당 OS용 리눅스 패키지 제공이 중단됩니다. 19.0 업그레이드 전 Ubuntu 22.04 이상의 지원 버전으로 OS를 교체해야 합니다. ### 데이터베이스 및 미들웨어 요구사항 강화 * **PostgreSQL 17 필수화:** PostgreSQL 16 지원이 중단되고 17 버전이 최소 요구 사항이 됩니다. 리눅스 패키지 사용자는 18.11 버전에서 자동 업그레이드가 시도될 수 있으며, 클러스터 사용자는 수동 업그레이드가 필수입니다. * **Redis 및 Valkey 지원:** Redis 6 지원이 종료됩니다. 외부 Redis 운영 환경은 Redis 7.2 또는 새롭게 지원되는 Valkey 7.2로 마이그레이션해야 합니다. (AWS, GCP 등 클라우드 매니지드 서비스 포함) ### 보안 및 빌드 환경 업데이트 * **ROPC OAuth 흐름 제거:** 보안상 결함이 있는 리소스 소유자 비밀번호 자격 증명(ROPC) 방식이 OAuth 2.1 표준에 따라 완전히 제거됩니다. 이를 사용하는 앱이나 통합 서비스는 Authorization Code flow 등 보안이 강화된 방식으로 수정해야 합니다. * **Auto DevOps 빌더 업데이트:** 클라우드 네이티브 빌드팩(CNB) 이미지가 heroku/builder:22에서 24 버전으로 업데이트됩니다. 이를 통해 최신 런타임 환경을 지원하며 관련 파이프라인의 빌드 방식이 변경될 수 있습니다. 성공적인 GitLab 19.0 전환을 위해 Self-Managed 운영자는 18.x 버전대에서 제공되는 PostgreSQL 17 마이그레이션 도구를 미리 활용하고, Helm 차트 사용자는 Gateway API로의 네트워크 인프라 전환 계획을 우선적으로 수립할 것을 권장합니다.

비휴먼 ID 보안: 자동 회수, OAuth 및 범위 지정 권한 (새 탭에서 열림)

에이전트 기반 AI 시스템이 확산됨에 따라 스크립트나 AI 도구 같은 '비인간 ID(Non-human identities)'의 보안 관리가 현대 개발 환경의 핵심 과제로 부상하고 있습니다. 클라우드플레어는 이러한 비인간 ID를 안전하게 관리하기 위해 자격 증명 유출을 자동으로 탐지 및 무효화하고, 세분화된 RBAC(역할 기반 액세스 제어)를 통해 권한을 최소화하는 새로운 보안 업데이트를 도입했습니다. 이를 통해 개발자는 의도치 않은 토큰 유출이나 권한 남용으로 인한 데이터 손실 및 평판 훼손 리스크를 효과적으로 차단할 수 있습니다. **아이덴티티의 세 가지 기둥: 주체, 자격 증명, 정책** * **주체 (Principal - 여행자):** API에 접근하는 주체로, 인간 개발자뿐만 아니라 코드를 배포하는 에이전트나 서드파티 도구 등을 포함합니다. * **자격 증명 (Credential - 여권):** 신원을 증명하는 API 토큰입니다. 유출 시 누구나 해당 주체로 위장할 수 있으므로 철저한 보호가 필요합니다. * **정책 (Policy - 비자):** 인증된 주체가 수행할 수 있는 구체적인 작업을 정의하며, 검증된 신원이라도 필요한 자원에만 접근할 수 있도록 범위를 제한합니다. **자동화된 토큰 유출 탐지 및 무효화** * **GitHub 비밀번호 스캐닝 파트너십:** 공개 저장소에 클라우드플레어 토큰이 유출될 경우, GitHub이 이를 실시간으로 탐지하여 클라우드플레어에 알리고 즉각 무효화 처리합니다. * **스캔 효율성 개선:** 기존의 모호한 토큰 형식 대신 'cf' 접두사와 체크섬(Checksum)이 포함된 새로운 형식을 도입하여, 보안 도구들이 높은 정확도로 토큰을 식별하고 유효성을 검증할 수 있게 했습니다. * **사후 대응 자동화:** 유출 탐지 즉시 토큰이 취소되므로, 사용자가 실수를 인지하기 전에 이미 보안 위협이 차단되며 이후 이메일 알림을 통해 새 토큰 생성을 안내합니다. **Cloudflare One을 통한 전방위 보호** * **네트워크 및 이메일 보안:** Cloudflare Gateway와 Email Security를 통해 네트워크 트래픽이나 아웃룩 이메일 내에 포함된 토큰 유출을 실시간으로 감지하고 차단합니다. * **SaaS 및 AI 데이터 보호:** CASB를 통해 구글 드라이브나 원드라이브 등 클라우드 저장소 내 방치된 토큰을 스캔하며, AI Gateway를 통해 AI 모델로 입력되거나 출력되는 데이터 속의 민감 정보를 실시간 필터링합니다. **실용적인 보안 권장 사항** 비인간 ID 보안을 강화하기 위해 모든 신규 토큰 생성 시 스캔이 용이한 최신 형식을 사용하고, '리소스 범위 RBAC(Resource-scoped RBAC)'를 적용하여 각 에이전트가 업무 수행에 꼭 필요한 최소한의 권한만 가지도록 정책을 구성해야 합니다. 또한 Cloudflare One의 DLP(데이터 손실 방지) 프로필을 활성화하여 코드 저장소 외의 다양한 경로로 유출되는 토큰을 상시 모니터링하는 것이 권장됩니다.

MCP 도입 확대: 더 단순하고 안전하며 비용 효율적인 기업용 MCP 배포를 위한 참조 아키텍처 (새 탭에서 열림)

Cloudflare는 기업 전반에 걸친 모델 컨텍스트 프로토콜(MCP) 도입을 안전하고 효율적으로 확장하기 위해, 자사의 보안 플랫폼(Cloudflare One)과 개발자 플랫폼을 결합한 참조 아키텍처를 구축했습니다. 이 아키텍처는 로컬 MCP 서버의 보안 취약성을 해결하기 위해 중앙 집중식 원격 MCP 서버 모델을 채택하고, 인증 및 데이터 유출 방지(DLP) 기능을 통합하여 거버넌스를 강화했습니다. 이를 통해 기업은 권한 확산이나 프롬프트 인젝션과 같은 위험을 관리하는 동시에, 토큰 비용을 절감하고 생산성을 높이는 에이전트 워크플로우를 구현할 수 있습니다. **원격 MCP 서버를 통한 가시성과 제어권 확보** - 로컬에서 호스팅되는 MCP 서버는 검증되지 않은 소프트웨어 사용과 공급망 공격의 위험이 크며, IT 관리자의 중앙 통제가 불가능하다는 단점이 있습니다. - Cloudflare는 사내 모노레포(Monorepo) 내에 중앙 관리형 MCP 플랫폼을 구축하여, 직원이 템플릿을 통해 승인된 인프라 위에서 원격 MCP 서버를 신속하게 배포할 수 있도록 지원합니다. - 모든 원격 MCP 서버는 Cloudflare의 글로벌 네트워크를 통해 배포되므로 전 세계 어디서든 낮은 지연 시간으로 접근이 가능하며, 관리자는 모든 사용 내역에 대한 가시성을 가집니다. **Cloudflare Access 기반의 강력한 인증** - 내부 자산에 접근하는 MCP 서버를 보호하기 위해 Cloudflare Access를 OAuth 제공자로 통합하여 권한이 부여된 직원만 접근할 수 있도록 제한합니다. - 단일 로그인(SSO), 다요소 인증(MFA)뿐만 아니라 IP 주소, 위치, 기기 인증서와 같은 컨텍스트 기반의 속성을 검증하여 보안 수준을 높입니다. - 공개된 리소스(문서, 레이더 등)와 내부 프라이빗 리소스에 대한 접근 권한을 명확히 분리하여 운영합니다. **MCP 서버 포털을 통한 중앙 집중식 거버넌스** - 직원이 사용 가능한 모든 MCP 서버를 쉽게 찾을 수 있도록 'MCP 서버 포털'을 제공하여 검색성(Discovery) 문제를 해결합니다. - 포털 내에서 중앙 집중식 로깅과 데이터 유출 방지(DLP) 규칙을 적용하여 개인정보(PII) 등의 민감 데이터가 외부로 유출되는 것을 차단합니다. - 사용자 역할에 따라 도구 노출 범위를 다르게 설정하는 정책을 시행할 수 있습니다. (예: 재무팀은 읽기 전용 도구만, 엔지니어링팀은 읽기/쓰기 도구 모두 노출) **비용 절감과 보안 감지 기술** - 모든 API 엔드포인트를 개별 도구로 정의할 때 발생하는 토큰 비용 문제를 해결하기 위해, 에이전트가 코드를 생성하여 API와 상호작용하는 '코드 모드(Code Mode)'를 도입하여 컨텍스트 창 최적화를 달성했습니다. - Cloudflare Gateway를 활용한 '섀도우 MCP(Shadow MCP)' 감지 기능을 통해 조직 내에서 승인되지 않은 원격 MCP 서버가 사용되는 것을 식별하고 통제합니다. - 포털, 원격 서버, 인증 시스템이 모두 Cloudflare의 동일한 물리적 네트워크 노드 내에서 작동하므로 보안 검사 과정에서 발생하는 네트워크 지연을 최소화합니다. 기업이 MCP를 성공적으로 도입하려면 개별 사용자의 로컬 실행에 의존하기보다는, 인증과 거버넌스가 결합된 중앙 관리형 원격 아키텍처를 구축하는 것이 필수적입니다. 이를 통해 보안 리스크를 관리하는 동시에 AI 에이전트 운영에 드는 비용 효율성까지 확보할 수 있습니다.