Anthropic이 MCP를 발표한 게 2024년 11월 25일. 18개월이 지난 지금, 프로토콜은 Linux Foundation 산하로 들어갔고 SDK 다운로드는 월 9,700만 건, 등록된 서버는 1만 개를 넘었어요. 그런데 같은 기간에 Garry Tan은 X에 "MCP sucks"라고 썼고, Perplexity CTO 데니스 야라츠는 Ask 2026 컨퍼런스에서 "내부적으로 MCP를 걷어내고 REST API와 CLI로 돌아간다"고 발표했어요. 죽은 게 아니에요. 다만 "기본값"의 자리에서 내려왔다는 게 18개월 회고의 핵심이에요.
18개월 동안 무슨 일이 있었던 건데?
MCP의 채택 곡선은 비정상적으로 빨랐어요. 2025년 3월에 OpenAI가 Agents SDK·Responses API에 MCP를 정식 지원했고, 같은 달 Streamable HTTP 트랜스포트가 도입되면서 원격 서버 운영이 실질적으로 가능해졌어요. 이후 6월 Google I/O에서 Gemini가, Build 2025에서 Microsoft가 Windows 11의 "기반 레이어"라고 선언했고, 2026년 3월 AWS는 Bedrock AgentCore Runtime에서 14개 리전에 stateful MCP 서버 기능을 풀었어요. 12월에 Anthropic이 MCP를 Linux Foundation 산하 Agentic AI Foundation에 기증했고요.
단일 벤더 → 중립 거버넌스 + 메이저 클라우드 전부 채택. 이 조합이 18개월 만에 만들어진 게 이례적이에요.
숫자로 보면 더 분명해요.
- 9,700만
Python·TypeScript SDK 월간 다운로드 합계. - 10,000+
등록된 MCP 서버 수. MCP Registry에는 약 2,000개가 인덱싱돼 있어요. - 150+
A2A(Agent2Agent) 프로토콜 지지 조직 수. MCP 옆에서 같이 자라는 보완 표준이에요.
그리고 2026년 1월에는 MCP Apps가 출시되면서 텍스트 기반이던 프로토콜이 인터랙티브 UI까지 확장됐어요. Amplitude·Asana·Box·Canva·Figma·Slack·Salesforce가 런칭 파트너로 들어왔고요.
그런데 왜 갑자기 백래시가 터진 건데?
2026년 2월 28일 Eric Holmes의 "MCP is dead. Long live the CLI." 글이 시작이었어요. 3월 11일 Y Combinator 사장 Garry Tan이 X에 "MCP sucks honestly — 컨텍스트 윈도우를 다 먹고 인증도 엉망이다"라고 직격탄을 날렸고, 직접 만든 CLI 래퍼 "gstack"을 공개했어요. 며칠 뒤 Perplexity CTO 데니스 야라츠는 Ask 2026에서 "MCP 내부 사용을 걷어낸다"고 공식화했고요. 비판은 정서적인 게 아니에요. 세 가지 운영 벽에서 측정된 결과예요.
| 운영 벽 | 측정된 문제 | 대안 패턴 |
|---|---|---|
| 토큰 오버헤드 | 서버 3개 연결 시 200K 컨텍스트의 72% 소비. 도구 선택 정확도 43% → 14% | Skills(점진적 노출) + Cloudflare Code Mode (-98% 토큰) |
| 보안 디폴트 | 스캔된 1,862개 노출 서버 중 119개 모두 무인증. 41%가 인증 부재 | Gateway + OAuth 2.1 + CIMD 의무화 |
| 원격 스케일링 | stateful 세션, 수평 확장, 게이트웨이 동작 미정의 | AWS AgentCore식 stateless streamable-HTTP |
토큰 오버헤드 수치는 충격적이에요. 2025년 발표된 MCPGAUGE 논문은 "MCP 통합이 평균 정확도를 9.5%p 낮추고 입력 토큰 양을 3.25배~236.5배까지 늘린다"고 보고했어요. 같은 200K 컨텍스트 모델에서 GitHub·Playwright·IDE 서버 셋만 붙여도 143K가 도구 정의로 차버려요. 본 작업이 시작되기 전에 30%만 남는 거죠.
"context rot" — 도구가 늘수록 모델이 더 헤매요. 도구 선택 정확도가 43%에서 14% 미만으로 떨어졌어요.
보안은 더 심각해요. Knostic이 2026년 초 스캔한 1,862개 인터넷 노출 MCP 서버 중 119개를 검증해보니 전부 무인증으로 내부 도구 목록 접근이 가능했어요. Bitsight는 약 1,000개의 권한 부재 서버를 찾았고, 별도 분석에서 518개 서버 중 41%가 인증이 없었어요. Cloudflare 공식 가이드도 "without authentication" 배포를 정상 옵션으로 제시하고 있고요. 운영 위생 문제예요.
로컬 stdio MCP의 문제(토큰·보안)는 실재해요. 그런데 엔터프라이즈 원격 HTTP MCP는 이야기가 달라요. Slack/Cursor/Claude Code/사내 어시스턴트가 같은 서버를 호출할 때 OAuth·Audit·Telemetry를 한 곳에서 강제할 수 있는 건 MCP가 유일해요. "MCP가 죽었다"가 아니라 "어떤 모드를 쓰느냐"의 문제로 봐야 해요.
그래서 지금 뭘 어떻게 골라야 하는 건데?
현실에서 가장 실용적인 조합은 CLI + RESTful + Skills + 선택적 MCP예요. 결정 흐름은 이래요.
- 로컬 단일 사용자 워크플로우인가?
Yes → CLI 또는 Skills. 모델이 이미 git/curl/jq/aws를 알아요. MCP는 오버헤드. - 본인이 양쪽(클라이언트·도구) 다 소유하나?
Yes → REST API. 통합 표준이 필요 없어요. No → 다음 질문. - 여러 호스트(Cursor, Claude, ChatGPT)에서 같은 도구·정책을 쓰고 싶나?
Yes → 원격 HTTP MCP. 통합 1번 / 사용 N번. 이게 MCP가 진짜 일하는 영역. - 엔터프라이즈에서 OAuth·SSO·Audit이 필요하나?
Yes → MCP + WorkOS/Glean식 Gateway 패턴. 인증 표준이 보장돼요.
흥미로운 건 Cloudflare가 발표한 "Code Mode"예요. 도구 정의를 미리 다 적재하지 않고, 에이전트가 동적으로 발견·호출하게 만들어 토큰 사용량을 98% 이상 줄였어요. 이게 SEP-1576 ("Mitigating Token Bloat in MCP")의 방향이에요. 점진적 노출(progressive disclosure), 스키마 중복 제거, tool search. 이 패턴들이 디폴트가 되면 MCP의 1번 벽이 무너져요.
그리고 2026년 4월 2~3일 뉴욕에서 MCP Dev Summit이 열려요. AAIF·Linux Foundation 주최, 메이저 클라우드 벤더가 전부 스폰서로 들어왔어요. 개발자 정서는 흔들려도 거버넌스·생태계 투자는 다른 시간 척도로 굴러간다는 신호예요.
