Cloudflare, MCP를 두 도구로 줄여 토큰 사용 99.9% 깎는다

Model Context Protocol은 더 이상 개발자 장난감에 머물지 않는다. 회사 전체 인프라로 들어오기 시작하면서 질문도 바뀌었다. 이제 중요한 건 agent가 tool을 호출할 수 있느냐가 아니라, 그 호출을 얼마나 싸고 안전하게, 그리고 통제 가능한 방식으로 운영할 수 있느냐다. Cloudflare는 2026-04-14 공개한 enterprise MCP 글에서 자사 내부에서 engineering, product, sales, marketing, finance 전반으로 MCP 사용이 퍼진 뒤 어떤 보안·운영 문제가 생겼는지 설명했다. 이 점이 핵심이다. 먼 미래를 예고하는 글이 아니라, agent 워크플로가 조직 안으로 실제 확산됐을 때 authorization sprawl, prompt injection, supply chain risk가 어떻게 전면으로 올라오는지를 적나라하게 보여주는 사례이기 때문이다.

Cloudflare는 이 확산을 막는 대신 통제하기 위해 Cloudflare One과 developer platform의 보안 제어를 묶고 있다고 적었다. 글에서 새로 제시한 포인트는 두 가지다. 하나는 token cost를 크게 줄이기 위한 Code Mode with MCP server portals이고, 다른 하나는 승인되지 않은 remote MCP server 사용을 찾아내기 위한 Shadow MCP detection이다. 둘 다 추상적인 문제가 아니다. 직원들이 agent를 내부 API, private data store, SaaS 시스템에 연결하기 시작하면, 어떤 server가 실제로 쓰이고 있는지 보이지 않는 순간부터 운영 리스크가 커진다. 기업은 model 성능만 볼 것이 아니라, 어느 endpoint가 연결됐고 어떤 정책이 걸려 있는지까지 추적해야 한다.

글에서 가장 강하게 남는 숫자는 99.9%다. Cloudflare는 일반적인 MCP 방식처럼 API operation마다 별도 tool을 하나씩 노출하면, 특히 수천 개 endpoint를 가진 플랫폼에서는 agent의 context window가 빠르게 소모된다고 본다. 이를 대신해 제시한 것이 server-side Code Mode다. 거대한 tool 목록을 주는 대신 search와 execute 두 개 도구만 제공하고, 모델이 JavaScript로 무엇이 가능한지 탐색한 뒤 실제 호출도 JavaScript로 수행하게 만든다는 설명이다. Cloudflare는 이 설계로 자사 수천 개 API endpoint를 노출하면서도 exhaustive-tool 접근 대비 token 사용을 99.9% 줄였다고 적었다.

더 큰 흐름은 명확하다. MCP의 다음 국면은 프로토콜 자체의 화제성보다 운영 규율 쪽에서 갈릴 가능성이 크다. 비용 통제, 관측 가능성, authorization boundary, 안전한 기본값이 확보돼야 agent 접근이 조달과 보안 심사를 통과할 수 있다. Cloudflare는 enterprise MCP 경쟁이 결국 agent를 더 싸게, 더 잘 통제되게 만드는 플랫폼 쪽으로 기울 것이라고 보는 셈이다. 다른 업체가 다른 구현을 택하더라도, 이번 글은 MCP가 이제 모델 성능만으로는 설명되지 않는 단계로 넘어갔다는 분명한 이정표다.