피드로 돌아가기
The 2026-07-28 MCP Spec: A Server Readiness Checklist
Dev.toDev.to
Infrastructure

MCP Spec 2026-07-28: Stateless 아키텍처 전환을 통한 확장성 및 보안 강화

The 2026-07-28 MCP Spec: A Server Readiness Checklist

Gustavo2026년 6월 19일9advanced

Context

기존 MCP는 핸드쉐이크 기반의 세션 상태 유지 방식으로 인해 수평 확장 시 Sticky Routing과 공유 세션 스토어에 의존하는 구조적 한계 존재. 특히 세션 기반의 인증 및 상태 관리는 트래픽 증가 시 인프라 복잡도를 높이고 잠재적인 보안 취약점을 야기함.

Technical Solution

  • Protocol Layer의 Stateless 전환을 위해 initialize/initialized 핸드쉐이크를 제거하고 모든 요청의 _meta 필드에 클라이언트 정보 및 역량을 포함하는 구조 설계
  • 세션 ID 의존성을 제거하여 어떤 서버 인스턴스에서도 요청 처리가 가능한 구조로 변경하고, 상태 관리가 필요한 경우 모델이 인지하는 명시적 Handle(예: basket_id)을 도구 입력값으로 전달하는 방식 채택
  • L7 로드밸런서 및 게이트웨이의 효율적 라우팅을 위해 Mcp-Method 및 Mcp-Name 헤더를 필수화하고, 헤더와 바디의 불일치 시 요청을 거부하는 Request-Integrity 체크 로직 도입
  • Server-initiated Request를 클라이언트 요청 처리 중으로만 제한하여 무분별한 프롬프트 유도를 차단하고, SSE 스트림 대신 InputRequiredResult와 requestState를 통한 비동기 multi round-trip 구조 구현
  • Cache-Control 모델을 벤치마킹한 ttlMs 및 cacheScope 도입으로 테넌트 간 데이터 격리 및 캐시 공유 범위에 대한 보안 경계 설정

1. 서버/클라이언트 간 핸드쉐이크 로직 제거 및 _meta 기반의 무상태 요청 처리 구현 여부 검토

2. Mcp-Method/Mcp-Name 헤더 도입 및 바디 데이터와의 정합성 검증 로직 추가

3. requestState 반환 시 변조 방지를 위한 서명(Signing) 또는 암호화 적용

4. 리소스 응답 시 cacheScope를 설정하여 사용자/테넌트 간 데이터 유출 가능성 차단

원문 읽기