GitHub Docs 기준 Copilot cloud agent는 MCP 서버의 도구를 자율적으로 사용할 수 있고, 도구 사용 전마다 승인을 묻지 않는다. 그래서 MCP를 붙이기 전에는 연결보다 read-only tool allowlist와 서버 ID 경계를 먼저 봐야 한다.
MCP는 붙이면 편하다. 문제는 편한 연결이 대개 권한을 같이 데려온다는 점이다. 이거 개발팀에서 제일 많이 터지는 패턴이다. “일단 연결해보자” 하고 붙였는데, 나중에 보니 agent가 읽을 수 있는 범위와 실행할 수 있는 도구가 생각보다 넓다.
Copilot cloud agent 쪽 MCP도 똑같다. GitHub 문서는 Copilot cloud agent가 local과 remote MCP server가 제공하는 tool을 사용할 수 있다고 설명한다. 또 repository에 MCP 서버가 설정되면 assigned task 중 agent가 해당 도구를 사용할 수 있고, 도구 사용 전에 승인 요청을 하지 않는다고 안내한다.
관련 글 (같이 보면 더 빨리 이해함)
- Stripe Link CLI 사용 전 체크리스트 2026 – AI 에이전트 결제 권한을 어디까지 열어도 될까
- Claude Code MCP permissions in 2026: when to use allowedTools instead of bypass mode
- Claude Code /goal 기능 사용법 2026 – 자동 반복 실행보다 먼저 볼 목표 조건 체크리스트
먼저 보는 답변박스
| 체크 | 권장 기본값 |
|---|---|
| MCP 도구 범위 | 필요한 read-only tool만 allowlist |
| GitHub MCP server | 기본 readonly URL과 token 범위 확인 |
| remote MCP | OAuth 기반 remote MCP는 현재 미지원 여부 확인 |
| Playwright MCP | localhost/127.0.0.1 환경 접근 범위 확인 |
| allowlist enforcement | server name/ID 매칭 한계를 전제로 운영 |
이 표에서 제일 중요한 줄은 첫 번째다. Copilot cloud agent가 tool을 자율적으로 쓴다면, “나중에 승인하겠지”라는 방어선은 없다. 승인 버튼 대신 설정 파일과 allowlist가 방어선이 된다.
May 20 index refresh: Google I/O 이후에도 권한 먼저
Google I/O 2026에서 Antigravity 2.0, Managed Agents in the Gemini API, Search information agents처럼 “agent가 알아서 실행한다”는 흐름이 더 강해졌다. 그래서 이 글의 색인 의도는 더 좁게 잡아야 한다. 뉴스 요약이 아니라 Copilot cloud agent에 MCP를 붙일 때 어디서 권한 사고가 나는지 보는 운영 체크리스트다.
| 2026년 agent 업데이트 흐름 | 개발자가 착각하기 쉬운 것 | 이 글에서 확인할 것 |
|---|---|---|
| 여러 agent를 병렬로 돌리는 IDE/CLI | 병렬성이 곧 안전한 자동화라고 생각함 | tool별 read-only allowlist가 있는지 |
| API가 agent 실행환경을 제공 | sandbox가 MCP 권한까지 대신 줄여준다고 생각함 | token, header, server type 경계 |
| Search도 agent를 백그라운드로 실행 | 사용자 승인 흐름이 항상 중간에 있다고 생각함 | Copilot cloud agent는 tool 사용 전 승인 요청을 하지 않는다는 점 |
결론은 소박하지만 단단하다. agent 제품이 많아질수록 MCP 설정은 “연결 성공”보다 “권한 실패 방지”로 읽어야 한다. 설정 파일에서 tools: ["*"]가 보이면 일단 커피 내려놓고 다시 봐야 한다. 손이 떨리면 정상이다.
연결 전에 권한을 먼저 봐야 하는 이유
GitHub Docs는 MCP를 LLM 애플리케이션이 데이터 소스와 도구를 연결하는 표준 방식이라고 설명한다. 이 설명만 보면 연결 계층처럼 보이지만, 운영자 관점에서는 권한 계층이다. 어떤 서버를 붙였는지보다 어떤 tool이 agent에게 열리는지가 더 중요하다.
Copilot cloud agent는 MCP server의 resources나 prompts는 지원하지 않고, tools만 지원한다고 안내되어 있다. 이 말은 반대로 보면 agent가 실제로 행동하는 경로가 tool이라는 뜻이다. 그래서 tool 이름이 예쁘게 보이는지보다 읽기 전용인지, 쓰기 권한이 있는지, 외부 네트워크나 파일 시스템을 건드리는지 봐야 한다.
기본 GitHub MCP server도 확인할 부분이 있다. GitHub 문서는 기본 GitHub MCP server가 현재 repository에 read-only access만 가진 specially scoped token으로 연결된다고 설명한다. 하지만 더 넓은 접근이 필요하면 다른 token을 줄 수 있고, 이때는 fine-grained personal access token과 read-only 권한 제한을 권장한다.
remote MCP도 함정이 있다. GitHub 문서는 Copilot cloud agent가 OAuth 기반 인증·인가를 사용하는 remote MCP server를 현재 지원하지 않는다고 밝힌다. 그러면 인증이 필요한 도구를 억지로 붙이려다 token, header, secret을 다른 방식으로 우회하려는 유혹이 생긴다. 여기서 운영 사고가 싹튼다.
설정 파일에서 볼 5가지
첫 번째는 tools 배열이다. GitHub Docs는 MCP server에서 enable할 tools를 지정할 수 있고, agent가 승인 없이 자율적으로 사용할 수 있으므로 특정 read-only tools를 allowlist하라고 강하게 권장한다. *로 전체 허용하는 건 테스트용으로도 조심해야 한다.
두 번째는 type이다. Copilot cloud agent가 받는 type은 local, stdio, http, sse로 안내되어 있다. local/stdio는 실행 환경과 의존성, http/sse는 네트워크와 인증 경계를 각각 봐야 한다. type이 다르면 위험도 모양도 달라진다.
세 번째는 header와 token이다. GitHub MCP 예시에는 readonly URL과 toolset header가 나온다. 여기서 readonly 경로를 빼거나 더 넓은 token을 넣는 순간, agent가 볼 수 있는 세계가 넓어진다. 넓히는 건 가능하지만 넓힌 이유와 회수 방법을 같이 적어야 한다.
네 번째는 setup workflow다. MCP server 실행에 runner 기본 설치가 아닌 의존성이 필요하면 copilot-setup-steps.yml 같은 준비 단계가 필요할 수 있다. 이때 설치 스크립트가 외부 패키지를 가져오거나 실행 파일을 내려받는다면 공급망 위험도 같이 생긴다.
다섯 번째는 allowlist enforcement의 한계다. GitHub Docs는 MCP allowlist enforcement가 현재 server name/ID matching 기반이고, 설정 파일 편집으로 우회될 수 있다고 설명한다. non-registry server 설치를 막는 strict enforcement도 아직 제공되지 않는다고 안내한다.
운영 기준표
| 상황 | 열어도 되는 것 | 막아야 할 것 |
|---|---|---|
| 이슈·PR 조회 | read-only repo, issues, pull request tool | write, merge, secret read |
| 코드 보안 확인 | code scanning 결과 읽기 | secret export, config write |
| 웹 확인 | localhost 범위 Playwright | 외부 로그인 세션, 결제 페이지 |
| 외부 API 연동 | fine-grained read-only PAT | broad PAT, org 전체 access |
| 실험 단계 | 단일 repo, 단일 task | tools: ["*"] 상시 허용 |
이 표는 보수적으로 보이지만, agent 운영에서는 이 정도가 기본값이다. 개발자는 자꾸 “한 번만 넓게 열자”를 하고 싶어진다. 그런데 한 번 넓게 연 권한은 문서에 안 남으면 다음 사람이 그대로 운영값으로 착각한다.
TECHTAEK의 기존 MCP 서버 보안 허브에서도 같은 기준을 썼다. MCP는 “연결 수”가 아니라 “권한 수”로 봐야 한다.
언제 붙이지 않는 게 나은가
첫 번째는 tool이 read-only로 쪼개지지 않는 경우다. 서버가 조회와 변경을 같은 도구에 섞어 제공한다면 cloud agent에 바로 붙이기 어렵다. tool contract가 흐릿하면 agent contract도 흐릿해진다.
두 번째는 token 범위를 설명할 수 없는 경우다. “이 token은 어떤 repo, 어떤 resource, 어떤 action까지 가능한가”를 한 문장으로 말하지 못하면 아직 붙일 때가 아니다. 특히 org 전체 token은 작은 편의를 위해 너무 큰 문을 여는 선택일 수 있다.
세 번째는 allowlist를 신뢰 경계로 착각하는 경우다. GitHub Docs가 server name/ID matching 한계를 명시한 이상, allowlist는 도움이 되는 통제일 뿐 완전한 격리는 아니다. 보안 수준이 높아야 한다면 GitHub 문서가 말하듯 strict enforcement 전까지 MCP server 자체를 disable하는 선택도 검토해야 한다.
네 번째는 로그를 보지 않는 경우다. Copilot cloud agent에서 MCP server가 정상 시작되면 로그에서 tools 목록을 볼 수 있다. 실제로 어떤 tool이 열렸는지 확인하지 않으면, 설정 파일을 읽었다는 사실만 남고 운영 검증은 비어 있다.
FAQ
Q1. Copilot cloud agent는 MCP tool을 사용할 때 매번 물어보나?
아니다. GitHub Docs는 설정된 MCP tools를 agent가 assigned task 중 자율적으로 사용할 수 있고, 사용 전 승인을 요청하지 않는다고 안내한다.
Q2. remote MCP server에 OAuth 인증을 붙이면 되나?
현재 GitHub Docs는 Copilot cloud agent가 OAuth 기반 인증·인가를 사용하는 remote MCP server를 지원하지 않는다고 설명한다. 인증이 필요하면 공식 지원 범위와 token 처리 방식을 먼저 확인해야 한다.
Q3. tools: ["*"]는 언제 써도 되나?
상시 운영값으로는 피하는 편이 낫다. 필요한 read-only tool을 명시적으로 allowlist하고, 쓰기 도구는 별도 검토하는 쪽이 안전하다.
Q4. MCP allowlist만 켜면 안전한가?
아니다. GitHub Docs는 현재 enforcement가 server name/ID matching 기반이고 설정 파일 편집으로 우회될 수 있다고 설명한다. allowlist는 한 겹의 통제이지 완전한 샌드박스가 아니다.
Q5. 제일 먼저 할 실전 액션은 뭔가?
MCP 설정에서 tools를 열어 *를 제거하고 read-only tool만 남긴다. 그 다음 GitHub MCP server가 readonly URL을 쓰는지, PAT가 fine-grained인지, 로그에 실제 tool 목록이 어떻게 찍히는지 확인한다.
관련 글
- MCP 서버를 외부에 열기 전에 무엇부터 막아야 하나 2026
- AI 코딩툴 보안 설정은 어디까지 나눠야 할까 2026
- Pi Coding Agent 사용법 2026 – Claude Code를 진짜 지워도 될까