Devlery
BlogSkillsTags
Blog/AI

WebMCP Origin Trial, 클릭을 추측하던 브라우저 에이전트의 전환점

Chrome WebMCP는 웹앱이 브라우저 에이전트에게 구조화된 도구와 권한 경계를 노출하는 실험입니다.

WebMCP Origin Trial, 클릭을 추측하던 브라우저 에이전트의 전환점
AI 요약
  • 무슨 일: Chrome이 WebMCP를 Chrome 149 Origin Trial로 공개했습니다.
    • 웹사이트가 브라우저 에이전트에게 MCP 서버와 도구 metadata를 직접 노출하는 실험입니다.
  • 의미: 브라우저 에이전트가 버튼과 DOM을 추측하는 방식에서 웹앱이 승인 가능한 도구를 제공하는 방식으로 이동합니다.
  • 실무 영향: 웹앱은 사람용 UI, 공개 API에 이어 에이전트용 action surface를 설계해야 할 수 있습니다.
  • 주의점: Origin Trial 단계이며, 권한 위임과 prompt injection 경계가 표준화의 핵심 쟁점입니다.

Google Chrome 팀이 WebMCP를 Chrome 149 Origin Trial로 공개했습니다. 이름만 보면 MCP 생태계에 하나의 브라우저 관련 확장이 더 붙은 것처럼 보입니다. 하지만 웹 개발자에게 더 중요한 변화는 따로 있습니다. 지금까지 브라우저 에이전트는 사람이 보는 UI를 관찰하고, 버튼 이름과 DOM 구조를 추론하고, 클릭과 입력을 반복하며 일을 처리했습니다. WebMCP는 그 흐름을 바꾸려 합니다. 웹사이트가 에이전트에게 "이 페이지에서 할 수 있는 일"을 구조화된 도구로 직접 설명하게 만드는 실험입니다.

Google은 2026년 5월 19일 I/O 2026 개발자 키노트 요약에서도 WebMCP를 Chrome의 AI 업데이트로 소개했습니다. 표현은 짧았습니다. 앱을 더 agent-friendly하게 만든다는 것입니다. 그러나 이 짧은 문장 안에는 웹의 오래된 인터페이스 모델이 흔들리는 장면이 들어 있습니다. 웹사이트는 사람에게는 버튼, 폼, 메뉴, 링크를 보여줍니다. 서버와 앱에는 REST, GraphQL, webhook, OAuth API를 제공합니다. 이제 여기에 브라우저 안에서 동작하는 에이전트가 이해할 수 있는 세 번째 표면이 생기려 합니다.

이 뉴스는 최근 Chrome DevTools for agents 1.0 발표와 붙어 있습니다. DevTools for agents는 코딩 에이전트가 실제 Chrome에서 Lighthouse, 네트워크, 콘솔, 메모리, WebMCP 도구를 검사하게 하는 개발자 도구입니다. 반면 WebMCP의 핵심 질문은 조금 다릅니다. "에이전트가 브라우저를 볼 수 있는가"가 아니라 "웹앱이 에이전트에게 무엇을 허용할 것인가"입니다. 이 차이를 놓치면 WebMCP를 단순한 자동 클릭 보조 기능으로 오해하기 쉽습니다.

버튼을 더듬는 에이전트의 한계

브라우저 에이전트를 써본 사람은 익숙한 장면을 압니다. 에이전트는 스크린샷을 보고, 접근성 트리를 읽고, DOM node를 찾고, "Buy" 버튼인지 "Save" 버튼인지 추론합니다. 그런 다음 클릭하고, 결과를 관찰하고, 실패하면 다른 selector를 시도합니다. 이 방식은 데모에서는 꽤 잘 보입니다. 하지만 실제 웹앱에서는 불안정합니다. 비동기 로딩, A/B 테스트, 모달, 다국어 UI, 권한별 메뉴, 반응형 레이아웃, 사내 디자인 시스템이 모두 에이전트의 추론을 흔듭니다.

API를 직접 호출하면 되지 않느냐고 생각할 수 있습니다. 하지만 브라우저 에이전트의 강점은 사용자의 현재 세션, 화면 상태, 컨텍스트를 이어받는 데 있습니다. 사용자가 이미 특정 workspace에 로그인했고, 장바구니나 문서 편집 상태가 있고, OAuth 권한이 브라우저에 묶여 있다면, 순수 서버 API 호출은 그 컨텍스트를 쉽게 재현하지 못합니다. 반대로 UI 자동화는 그 컨텍스트를 볼 수 있지만, 행동의 의미를 추측해야 합니다.

WebMCP는 이 사이를 겨냥합니다. 웹사이트가 브라우저 안에서 에이전트에게 도구를 노출하고, 에이전트는 사람용 버튼을 억지로 더듬는 대신 그 도구를 발견하고 호출할 수 있습니다. Chrome 문서는 WebMCP가 브라우저 에이전트가 사용자를 대신해 행동할 수 있도록 하는 두 API라고 설명합니다. 하나는 discovery이고, 다른 하나는 MCP server와 도구 호출입니다.

WebMCP가 웹사이트와 브라우저 에이전트 사이에 도구 표면을 추가하는 구조

공식 explainer 다이어그램이 보여주는 핵심은 위치입니다. 전통적인 MCP는 MCP client와 MCP server가 직접 연결됩니다. 예를 들어 데스크톱 AI 앱이나 IDE 에이전트가 GitHub, Slack, database MCP server와 붙습니다. WebMCP는 이 관계를 웹페이지 안으로 가져옵니다. 브라우저 에이전트가 사용자의 페이지 방문과 세션을 기반으로, 해당 웹사이트가 노출한 MCP 도구를 발견하고 사용할 수 있게 하는 그림입니다.

WebMCPDiscovery와 MCPServer

공식 문서가 제시하는 WebMCP의 표면은 크게 두 부분입니다. 첫째는 WebMCPDiscovery입니다. 페이지가 어떤 MCP server를 제공하는지, 이름과 설명과 metadata가 무엇인지, 에이전트가 어떻게 발견할 수 있는지를 다룹니다. 둘째는 MCPServer입니다. 웹사이트가 도구를 노출하고, 브라우저 에이전트가 그 도구를 호출하며, 필요한 경우 사용자 승인과 권한 경계를 통과하는 영역입니다.

이 구조는 웹앱 개발자가 지금까지 익숙했던 접근성과 닮은 점이 있습니다. 좋은 접근성 tree는 스크린 리더에게 "이 요소가 무엇이고 어떤 상태이며 어떤 동작을 할 수 있는지" 설명합니다. WebMCP는 브라우저 에이전트에게 비슷한 종류의 설명을 제공하려 합니다. 다만 결과는 훨씬 더 강합니다. 스크린 리더가 사용자에게 읽어주는 것을 넘어, 에이전트가 도구를 호출해 실제 행동을 수행할 수 있기 때문입니다.

예를 들어 회계 SaaS가 있다고 가정해 보겠습니다. 기존 브라우저 에이전트는 "이번 달 미지급 인보이스 목록을 CSV로 내려받아라"는 요청을 받으면 메뉴를 찾고, 필터를 열고, 날짜를 입력하고, Export 버튼을 누릅니다. WebMCP식 설계라면 사이트가 list_invoices, filter_invoices, export_invoices 같은 도구를 노출할 수 있습니다. 에이전트는 UI를 추측하는 대신 도구 설명을 읽고, 사용자 승인을 받은 뒤 더 명확한 action을 수행합니다.

물론 이것은 예시일 뿐이며, Chrome의 Origin Trial이 곧 모든 웹사이트에 이런 도구가 생긴다는 뜻은 아닙니다. 중요한 것은 방향입니다. 웹앱은 더 이상 사람에게 보이는 pixels와 서버에 열어둔 API만으로 끝나지 않습니다. AI 에이전트가 브라우저 안에서 사용자를 대신해 일하는 시대라면, 웹앱은 어떤 action을 에이전트에게 공식적으로 제공할지 정해야 합니다.

방식에이전트가 보는 것강점위험
UI 자동화DOM, 접근성 트리, 스크린샷, 좌표현재 브라우저 상태를 그대로 활용의미 추론 실패, selector 변화, 모달에 취약
서버 API명시적 endpoint와 schema안정적이고 테스트하기 쉬움사용자의 현재 화면·세션 맥락과 분리되기 쉬움
WebMCP웹사이트가 노출한 MCP 도구와 metadata브라우저 맥락과 구조화된 action을 결합권한 위임, prompt injection, 브라우저 종속성 검토 필요

에이전트 친화 웹은 API 문서만으로 오지 않습니다

AI 에이전트 시대의 웹앱 설계는 API 문서를 잘 쓰는 일만으로 충분하지 않습니다. 에이전트가 실제로 움직이는 자리는 종종 브라우저입니다. 사용자는 ChatGPT, Gemini, Claude, Copilot, Codex, Antigravity 같은 도구에 "이 사이트에서 예약을 바꿔줘", "이 대시보드의 오류를 찾아줘", "이 CRM의 다음 할 일을 정리해줘"라고 말합니다. 이 요청은 서버 API 호출만으로 끝나지 않습니다. 사용자의 현재 권한, 열린 탭, 브라우저 세션, 화면의 state가 함께 작동합니다.

그래서 WebMCP는 웹앱의 제품 전략과도 연결됩니다. 사이트가 에이전트에게 아무 도구도 제공하지 않으면, 에이전트는 계속 사람용 UI를 자동화하려 합니다. 사이트가 너무 넓은 도구를 제공하면, 에이전트가 한 번의 잘못된 지시나 공격된 프롬프트로 과도한 행동을 할 수 있습니다. 적절한 범위의 도구, 명확한 설명, 사용자 승인, 감사 가능한 로그, 취소 가능한 작업이 함께 설계돼야 합니다.

이 지점에서 accessibility와 security가 만납니다. 좋은 WebMCP 도구 설명은 에이전트가 의미를 오해하지 않도록 돕습니다. 동시에 그 설명은 공격자에게도 action surface를 보여줄 수 있습니다. 예를 들어 delete_workspace, transfer_funds, invite_admin 같은 도구가 있다면, 이름과 설명이 명확할수록 좋은 에이전트에게는 유리하지만 악의적인 prompt injection에도 표적이 됩니다. 그러므로 도구 이름을 숨기는 식의 보안은 답이 아닙니다. 권한 확인, 사용자 승인, 위험도별 step-up authentication, immutable audit log가 필요합니다.

Chrome이 Origin Trial로 시작한 것도 이 때문으로 보입니다. WebMCP는 단순한 JavaScript convenience API가 아닙니다. 브라우저가 웹사이트와 에이전트 사이의 신뢰 경계를 어디에 둘지 묻는 실험입니다. 사용자가 특정 웹사이트에 로그인했다고 해서, 사용자가 연결한 모든 브라우저 에이전트에게 모든 action이 자동 허용되어야 하는 것은 아닙니다. 반대로 매번 모든 행동을 팝업으로 확인하게 만들면 에이전트의 생산성은 사라집니다. 이 균형이 표준의 성패를 가릅니다.

Chrome은 왜 이 표면을 잡으려 하나

Google의 I/O 2026 발표 흐름을 보면 WebMCP는 단독 기능이 아닙니다. 같은 개발자 키노트에서 Google은 Gemini API Managed Agents, Antigravity 2.0, Antigravity CLI와 SDK, Chrome DevTools for agents, AI Studio 업데이트를 함께 전면에 세웠습니다. 모델, 에이전트 런타임, 브라우저 검증, 웹앱의 에이전트용 표면을 하나의 개발자 경험으로 묶으려는 방향입니다.

이 전략에서 Chrome의 위치는 강합니다. AI 에이전트가 웹에서 행동하려면 결국 브라우저가 필요합니다. 브라우저는 페이지를 렌더링하고, 쿠키와 세션을 보유하고, 권한 요청을 중재하고, 사용자의 현재 상태를 압니다. WebMCP가 Chrome 안에서 시작된다는 것은 Google이 "에이전트가 웹을 사용할 때 어떤 구조화된 신호를 볼 것인가"라는 질문에 플랫폼 수준으로 답하려 한다는 뜻입니다.

동시에 이 지점은 경쟁과 우려를 함께 만듭니다. MCP 자체는 특정 브라우저에 묶인 표준이 아닙니다. 그러나 WebMCP가 Chrome Origin Trial로 빠르게 실험되고, DevTools for agents가 WebMCP 검증 기능을 제공하고, Google의 에이전트 도구들이 Chrome을 기본 관측면으로 삼는다면, 웹앱 개발자는 Chrome 중심의 에이전트 대응을 먼저 하게 될 수 있습니다. 다른 브라우저와 표준화 기구가 어떤 방식으로 따라오거나 다른 설계를 제안할지도 중요합니다.

개발자 입장에서는 이 흐름을 냉정하게 봐야 합니다. Chrome의 실험이 유용하다고 해서 곧바로 production dependency로 삼을 수는 없습니다. Origin Trial은 말 그대로 실험입니다. API는 바뀔 수 있고, 브라우저 지원도 제한적입니다. 하지만 이 실험이 던지는 질문은 피하기 어렵습니다. 앞으로 웹앱은 AI 에이전트에게 어떤 기능을 공식적으로 열어줄 것인가, 그리고 그 기능을 어떻게 안전하게 제한할 것인가.

MCP 생태계의 다음 병목은 발견과 승인입니다

MCP는 지난 1년 동안 빠르게 확산됐습니다. IDE, 데스크톱 앱, 클라우드 에이전트, 내부 도구가 MCP server를 붙이며 "모델이 도구를 쓴다"는 경험을 만들었습니다. 그러나 실제 운영에서는 두 가지 병목이 반복됩니다. 첫째, 에이전트가 어떤 도구를 신뢰하고 사용할 수 있는지 발견하는 문제입니다. 둘째, 그 도구가 사용자를 대신해 행동할 때 어떤 승인을 받아야 하는지 정하는 문제입니다.

WebMCP는 이 두 문제를 웹페이지 맥락에서 다룹니다. WebMCPDiscovery는 발견의 문제를 겨냥합니다. 사이트가 제공하는 도구와 metadata를 에이전트가 구조적으로 알 수 있게 합니다. MCPServer는 호출과 승인의 문제로 이어집니다. 단순히 "웹페이지에서 JavaScript 함수를 호출한다"가 아니라, 사용자의 브라우저, 사이트의 권한 모델, 에이전트의 의도, 도구 schema가 함께 엮입니다.

이것은 웹앱 팀에게 새로운 문서와 테스트 표면을 만듭니다. 기존 API는 서버 로그와 API gateway, schema validation, OAuth scope로 관리했습니다. WebMCP 도구는 브라우저 UI와 더 가까운 곳에서 동작할 수 있습니다. 따라서 QA도 달라져야 합니다. 에이전트가 도구를 발견하는지, 설명을 잘 이해하는지, 위험한 도구에서 사용자 승인이 뜨는지, 실패 시 되돌릴 수 있는지, prompt injection이 tool argument로 침투하지 않는지 검사해야 합니다.

Chrome DevTools for agents가 여기서 다시 등장합니다. Google의 1.0 발표는 WebMCP Origin Trial 도구를 나열하고 호출하고 검증하는 기능을 언급했습니다. 다시 말해 WebMCP는 runtime 표면이고, DevTools for agents는 그 표면을 개발 중에 검사하는 경로가 됩니다. 웹앱이 에이전트용 도구를 제공한다면, 개발자는 그 도구가 실제 브라우저 에이전트에게 어떻게 보이는지 검증해야 합니다.

커뮤니티가 아직 조심스러운 이유

현재 WebMCP는 대형 커뮤니티에서 폭발적으로 논쟁된 주제라기보다, Chrome과 Web Machine Learning 커뮤니티의 초기 실험에 가깝습니다. Hacker News나 GeekNews에서 독립적인 큰 토론은 아직 제한적입니다. 그래서 adoption 규모나 시장 반응을 과장할 수는 없습니다. 이 글에서 중요한 것은 "이미 표준이 됐다"가 아니라 "표준이 되려는 질문이 공개 실험으로 나왔다"입니다.

MCP 전반을 둘러싼 반응을 보면 기대와 불안은 분명합니다. 기대 쪽은 UI 자동화의 불안정성을 줄일 수 있다는 점을 봅니다. 사람이 보는 버튼을 모델이 추측하는 대신, 사이트가 명시적인 action과 schema를 제공하면 에이전트 작업은 더 재현 가능해집니다. 특히 복잡한 SaaS, admin console, low-code tool, 내부 업무 앱에서는 이 차이가 큽니다.

불안 쪽은 권한입니다. 에이전트가 구조화된 도구를 얻으면 작업은 쉬워지지만 실패도 커집니다. 잘못된 natural language 지시, 악성 페이지의 prompt injection, 도구 설명 오해, 과도하게 넓은 scope가 결합하면 사용자가 의도하지 않은 행동이 일어날 수 있습니다. UI 자동화가 불안정해서 실패하던 일이, 구조화된 도구에서는 너무 안정적으로 실행될 수도 있습니다. 자동화가 정확해질수록 승인과 감사의 중요성도 커집니다.

브라우저 종속성도 현실적인 질문입니다. 웹은 특정 브라우저 기능만으로 움직일 때 늘 조심해야 합니다. Origin Trial은 실험과 피드백을 위한 좋은 경로지만, 장기적으로는 표준화와 다중 브라우저 논의가 필요합니다. 웹앱이 Chrome에서만 에이전트 친화적이고 다른 브라우저에서는 다시 스크린샷 자동화로 돌아간다면, 개발자 경험과 사용자 기대가 갈라질 수 있습니다.

개발팀이 지금 확인할 것

첫째, 제품의 action surface를 분류해야 합니다. 에이전트에게 열어도 되는 조회 작업, 명시적 사용자 승인이 필요한 변경 작업, 절대 자동화하면 안 되는 고위험 작업을 나눠야 합니다. "나중에 WebMCP를 붙일지"보다 먼저, 제품 안의 행동을 위험도별로 정리하는 일이 필요합니다.

둘째, 도구 설명을 API 문서처럼 관리해야 합니다. 에이전트가 읽는 설명은 사람이 읽는 도움말보다 더 직접적으로 행동을 바꿉니다. 모호한 설명은 잘못된 tool call로 이어질 수 있고, 과장된 설명은 권한 오해를 만듭니다. 도구 이름, argument schema, 실패 메시지, confirm 문구는 모두 제품 카피이자 보안 문서입니다.

셋째, prompt injection과 tool argument validation을 같은 문제로 봐야 합니다. 사용자가 보고 있는 웹페이지 내용, 외부 문서, 채팅 메시지, 이메일 본문이 에이전트의 context에 들어갈 수 있습니다. 그 안에 "이 도구를 호출하라"는 악성 지시가 들어 있다면, 에이전트는 사이트가 제공한 WebMCP 도구를 오용할 수 있습니다. 따라서 서버 쪽 권한 검사, allowlist, idempotency key, rate limit, 위험 작업 승인 흐름이 필요합니다.

넷째, 브라우저 검증 루프를 준비해야 합니다. WebMCP 도구는 문서만으로 충분하지 않습니다. 실제 Chrome에서 에이전트가 도구를 발견하고 호출하는지, DevTools for agents가 어떤 metadata를 보여주는지, 실패한 호출을 어떻게 디버깅할지 확인해야 합니다. 에이전트용 웹 표면은 API 테스트와 UI 테스트 사이의 새 테스트 계층이 됩니다.

결론: 웹앱이 AI에게 자신을 설명하는 시대

WebMCP의 의미는 "Chrome이 MCP 기능을 하나 더 추가했다"가 아닙니다. 더 정확히는 웹앱이 AI 에이전트에게 자신을 설명하는 방식이 실험 단계에 들어갔다는 신호입니다. 지금까지 웹사이트는 사람에게 화면을 보여주고, 개발자에게 API를 제공했습니다. 브라우저 에이전트가 사용자를 대신해 웹을 조작하기 시작하면, 그 사이에 구조화된 action surface가 필요해집니다.

이 변화는 매력적입니다. 에이전트는 덜 추측하고 더 명확히 행동할 수 있습니다. 웹앱은 불안정한 자동 클릭 대신 지원 가능한 경로를 제공할 수 있습니다. 개발자는 Chrome DevTools for agents 같은 도구로 이 표면을 검사할 수 있습니다. 하지만 같은 이유로 위험합니다. 구조화된 도구는 잘못된 지시도 더 안정적으로 실행할 수 있고, 권한 위임의 경계는 더 선명하게 설계돼야 합니다.

따라서 지금 WebMCP를 볼 때 필요한 태도는 과열된 도입이 아니라 설계 질문입니다. 우리 제품에서 에이전트가 해도 되는 일은 무엇입니까. 어떤 행동에는 사용자의 명시적 승인이 필요합니까. 어떤 로그를 남겨야 하고, 어떤 실패를 되돌릴 수 있어야 합니까. Chrome 149 Origin Trial은 아직 초기 실험이지만, 이 질문들은 이미 실무 질문입니다. 브라우저 에이전트의 다음 단계는 더 똑똑한 클릭이 아니라, 웹앱이 AI에게 기능과 한계를 명확히 설명하는 계약에 가까워지고 있습니다.