배경 및 맥락

에이전트가 실제 업무 시스템을 다루기 시작하면서 가장 민감한 영역 중 하나는 데이터베이스 접근이다. 많은 팀이 자연어에서 SQL을 바로 생성하는 방식에 매력을 느끼지만, 운영 환경에서는 비결정성, 과도한 스키마 노출, 권한 누수, 복잡 쿼리 오류가 빠르게 문제가 된다. 특히 비즈니스 핵심 데이터는 잘못된 읽기보다 잘못된 쓰기가 훨씬 더 큰 비용을 낳는다.

Microsoft가 내놓은 SQL MCP Server는 이 문제를 'LLM이 SQL을 잘 쓰게 만들자'가 아니라 '에이전트가 애초에 통제된 계약 안에서만 데이터에 접근하게 하자'는 방향으로 푼다. 이는 agent architecture가 성숙해질수록 자유도보다 안전한 인터페이스 설계가 더 중요해진다는 흐름과 맞닿아 있다.

핵심 내용

공식 소개에 따르면 SQL MCP Server는 Data API builder의 기능으로 제공되며, Microsoft SQL, PostgreSQL, Azure Cosmos DB, MySQL 등 복수 데이터 소스를 지원한다. REST, GraphQL, MCP endpoint를 동시에 노출할 수 있고, Azure Key Vault, custom OAuth, Microsoft Entra, Redis 캐시, Azure Log Analytics, Application Insights, OpenTelemetry와 연동된다.

중요한 설계는 세 가지다. 첫째, 엔터프라이즈 DB를 위한 고정된 소수의 DML 도구만 노출한다. 둘째, 역할 기반 권한과 entity abstraction으로 내부 스키마를 직접 노출하지 않는다. 셋째, NL2SQL을 의도적으로 지원하지 않고, 대신 Data API builder의 결정적 쿼리 계층을 통해 데이터 plane만 다루게 한다. 문서상으로는 describe_entities, create_record, read_records, update_record, delete_record, execute_entity, aggregate_records의 7개 DML 도구를 제공한다.

경쟁 구도 / 비교

시중의 많은 DB 연결형 에이전트 도구는 자연어로 SQL을 생성해 빠르게 데모를 만드는 데 초점을 둔다. SQL MCP Server는 정반대의 철학을 취한다. 자유로운 질의 생성보다 결정성과 권한 모델, 그리고 작은 tool surface를 우선한다. 이는 데모 속도는 조금 느릴 수 있어도 production readiness 측면에서는 훨씬 현실적인 선택이다.

또한 Azure MCP Server 2.0이 클라우드 리소스 전반을 위한 control plane이라면, SQL MCP Server는 데이터 계층에 특화된 control surface다. 둘 다 MCP를 채택하지만 해결하려는 문제는 다르다. 전자는 인프라 조작 범위의 표준화, 후자는 데이터 접근의 결정성과 거버넌스에 초점을 둔다.

의미

SQL MCP Server는 2026년 에이전트 아키텍처의 중요한 방향을 잘 보여준다. 앞으로 agent가 기업 시스템과 연결될수록, '무엇이든 할 수 있는 자유로운 도구'보다 '제한되지만 신뢰할 수 있는 인터페이스'가 더 높은 가치를 갖는다. 데이터 계층은 특히 이 원칙이 강하게 적용되는 곳이다.

실무적으로는 agent 도입팀이 DB 접근을 프롬프트 엔지니어링 문제로만 보면 안 된다. 데이터 계약, 권한 경계, 관측성, 캐시 전략, 실패 복구 방식까지 함께 설계해야 하며, 이런 조건을 만족하는 MCP server가 향후 사내 agent 플랫폼의 핵심 컴포넌트가 될 가능성이 높다.