Claude 샌드박스 자체 호스팅, MCP 비공개 연결의 조건
Anthropic이 Claude Managed Agents에 자체 샌드박스와 MCP 터널을 추가했습니다. 에이전트 실행 위치와 내부 도구 접근의 경계가 쟁점입니다.
- 무슨 일: Anthropic이
Claude Managed Agents에 자체 호스팅 샌드박스와MCP tunnels를 추가했습니다.- 발표일은 2026년 5월 19일이며, self-hosted sandboxes는 public beta, MCP tunnels는 research preview입니다.
- 구조 변화: agent loop는 Anthropic이 관리하고, tool execution과 네트워크 egress는 고객 인프라로 옮길 수 있습니다.
- 개발자 영향: 사내 파일, private API, MCP 서버를 agent에 붙일 때 공개 endpoint 대신 worker와 outbound tunnel 설계를 검토하게 됩니다.
- 모든 Managed Agents API 요청에는
managed-agents-2026-04-01beta header가 필요합니다.
- 모든 Managed Agents API 요청에는
- 주의점: Managed Agents는 상태 저장형이라 현재
Zero Data Retention과 HIPAA BAA 대상이 아닙니다.
Anthropic이 2026년 5월 19일 Claude Managed Agents 업데이트를 공개했습니다. 발표의 두 축은 self-hosted sandboxes와 MCP tunnels입니다. 자체 호스팅 샌드박스는 public beta로 제공되고, MCP tunnels는 access request가 필요한 research preview입니다. 제품 이름보다 실무에 더 직접적인 변화는 에이전트가 도구를 실행하는 위치와 사내 MCP 서버에 닿는 경로를 분리했다는 점입니다.
이번 발표는 "Claude가 더 많은 도구를 쓴다"는 기능 추가가 아닙니다. Anthropic 발표문은 Claude Managed Agents가 기업이 통제하는 sandbox에서 작동하고 private Model Context Protocol 서버에 연결할 수 있다고 설명합니다. agent orchestration, context management, error recovery는 Anthropic 인프라에 남지만, tool execution은 고객 인프라 또는 Cloudflare, Daytona, Modal, Vercel 같은 sandbox provider로 이동할 수 있습니다.
AI 개발팀이 봐야 할 쟁점은 모델 호출이 아니라 실행 경계입니다. 에이전트가 Bash를 실행하고, 파일을 읽고 쓰고, 웹을 가져오고, MCP 서버를 호출하면 보안 질문은 prompt injection 방어만으로 끝나지 않습니다. 어떤 filesystem이 노출되는지, 네트워크 egress를 누가 통제하는지, 내부 API를 public endpoint로 열어야 하는지, 세션 기록과 output을 얼마나 오래 보관하는지가 제품 설계의 일부가 됩니다.
.
Managed Agents가 맡는 것과 넘기는 것
Claude Managed Agents는 Anthropic의 Messages API와 다른 제품면입니다. Claude API 문서는 Messages API를 직접 model prompting에 가깝게 설명하고, Managed Agents를 장시간 실행과 비동기 작업에 맞춘 configurable agent harness로 설명합니다. Agent는 모델, 시스템 프롬프트, 도구, MCP 서버, skills를 담고, Environment는 세션이 Anthropic-managed cloud sandbox에서 도는지 self-hosted sandbox에서 도는지를 정합니다.
문서가 제시한 core concepts는 네 가지입니다. Agent, Environment, Session, Events입니다. Session은 특정 환경에서 실행되는 agent instance이고, Events는 user turns, tool results, status updates 같은 양방향 메시지입니다. session event stream 문서는 user event를 보내고, session event와 span event, agent event를 받아 상태와 진행 상황을 추적한다고 설명합니다. 모든 Managed Agents API 요청에는 managed-agents-2026-04-01 beta header가 필요합니다.
Anthropic이 기본 제공하는 도구 범위도 넓습니다. 문서에는 Bash, file operations, web search와 fetch, MCP servers가 listed tools로 들어갑니다. 이 조합은 agent가 단순 답변자가 아니라 작은 원격 작업자처럼 움직인다는 뜻입니다. 코드베이스를 읽고, 테스트를 실행하고, 패키지를 설치하고, 내부 ticketing MCP 서버에 issue를 만들 수 있다면 실행 위치와 credential handling은 모델 성능만큼 중요합니다.
자체 호스팅 샌드박스의 의미
self-hosted sandboxes 문서는 한 문장으로 핵심을 말합니다. Managed Agents는 기본적으로 Anthropic-managed cloud sandboxes 안에서 tool과 code를 실행하지만, self-hosted sandboxes는 orchestration을 Anthropic 쪽에 두고 tool execution을 고객이 통제하는 인프라로 옮깁니다. 문서의 비교표도 같은 방향입니다. cloud environment에서는 tool이 Anthropic-managed sandboxes에서 실행되고, self-hosted sandbox에서는 고객 인프라에서 실행됩니다.
이 차이는 data residency와 compliance에서 바로 드러납니다. 사내 파일, private package, 내부 API, database client가 들어간 agent 작업은 외부 cloud sandbox에 올리기 어렵습니다. self-hosted sandbox를 쓰면 network reach는 Anthropic의 egress control이 아니라 고객의 network policy를 따릅니다. file과 GitHub repo mounting도 Anthropic이 관리하는 것이 아니라 고객이 sandbox image와 orchestration layer에서 처리합니다.
Anthropic 발표문은 이 구조를 "기업 경계 안에서 실행을 유지한다"는 표현으로 설명합니다. 민감 파일과 서비스는 고객 인프라 또는 관리형 sandbox provider 안에 남고, Anthropic은 agent loop를 맡습니다. 개발자가 직접 agent runtime 전체를 만들지 않아도 된다는 장점은 유지하면서, tool call이 닿는 OS, 패키지, 네트워크, secret injection을 별도 경계로 관리하게 만드는 방식입니다.
| 항목 | Cloud environment | Self-hosted sandbox |
|---|---|---|
| Tool 실행 위치 | Anthropic-managed sandbox | 고객 인프라 또는 sandbox provider |
| 네트워크 정책 | Anthropic egress control | 고객 network policy |
| 파일과 repo mount | Managed Agents가 처리 | sandbox image와 metadata로 고객이 처리 |
| 운영 책임 | Anthropic lifecycle | worker fleet, queue, image, logging 운영 필요 |
worker가 새 운영면이 된다
self-hosted sandbox는 단순히 "컨테이너를 고객 VPC에 둔다"로 끝나지 않습니다. 문서는 environment worker라는 프로세스를 요구합니다. worker는 Anthropic 쪽 queue에서 work item을 claim하고, session별 execution context를 만들고, agent skills를 /workspace/skills/<name>/ 아래로 다운로드하고, tool call을 실행한 뒤 결과를 다시 Anthropic으로 올립니다. work item은 polling 방식으로 가져오거나 webhook-triggered handler가 깨워 처리할 수 있습니다.
이 구조는 개발팀에 새 운영면을 만듭니다. agent가 느려졌을 때 모델 지연인지, Anthropic queue backlog인지, worker fleet capacity인지, sandbox image cold start인지, 내부 package registry 장애인지 나눠 봐야 합니다. 문서에는 work.stats가 queue depth, pending, oldest queued timestamp, 최근 30초 polling worker 수를 반환한다고 적혀 있습니다. 즉 Managed Agents를 쓰더라도 self-hosted 모드에서는 SRE 지표가 agent 제품의 일부가 됩니다.
의존성도 작은 글씨로 끝낼 수 없습니다. 문서는 SDK helper가 /bin/bash를 정확한 경로에서 요구하고, TypeScript SDK helper는 unzip, tar, Node.js 22 이상을 필요로 한다고 설명합니다. 기본 working directory는 /workspace이고, 최종 output 파일은 /mnt/session/outputs에 써야 합니다. sandbox image를 최소화하려는 보안팀과 agent가 다양한 빌드 도구를 써야 하는 개발팀 사이에 구체적인 base image 합의가 필요합니다.
MCP tunnels가 겨냥하는 문제
MCP tunnels는 self-hosted sandbox와 다른 문제를 풉니다. 자체 샌드박스는 tool execution이 어디에서 실행되는가의 문제입니다. MCP tunnels는 Anthropic 또는 agent session이 기업 내부 MCP 서버에 어떻게 도달하는가의 문제입니다. Anthropic 발표문은 lightweight gateway를 고객 네트워크 안에 배포한다고 설명합니다. 이 gateway는 single outbound connection을 만들고, inbound firewall rule이나 public endpoint 없이 end-to-end encrypted traffic을 제공하는 구조입니다.
이 설계는 MCP 서버를 운영해 본 팀이 바로 만나는 부담을 줄입니다. 내부 database, private API, knowledge base, ticketing system을 MCP tool로 제공하려면 보통 접근 경로를 만들어야 합니다. public endpoint를 열면 authentication, IP allowlist, WAF, rate limit, audit log, prompt-injection-triggered tool call 제한을 모두 설계해야 합니다. tunnel 방식은 public exposure를 줄이지만, 호출 기록과 argument redaction을 어떻게 남길지라는 운영 질문은 그대로 남습니다.
Anthropic 문서는 MCP tunnels가 Managed Agents와 Messages API 모두에서 지원된다고 설명합니다. 관리 위치는 Claude Console의 workspace settings이고, organization admin이 다룹니다. 이 지점도 개발팀에 중요합니다. MCP server가 단일 개발자의 로컬 실험에서 조직 workspace 설정으로 올라가면 tool 등록, 승인, 폐기, key rotation, schema change review가 플랫폼 운영 프로세스가 됩니다.
데이터 잔존 조건은 완화되지 않았다
이번 발표를 보안 기능으로만 읽으면 빠지는 문장이 있습니다. Claude Managed Agents overview는 이 제품이 stateful by design이라고 명시합니다. session은 long-running이고 pause 뒤 resume할 수 있으며, conversation history, sandbox state, outputs가 server-side에 저장됩니다. 이 때문에 Managed Agents는 현재 Zero Data Retention이나 HIPAA Business Associate Agreement 대상이 아닙니다.
self-hosted sandbox는 tool execution 위치를 옮기지만 Managed Agents의 stateful nature를 지우지는 않습니다. 고객이 파일과 내부 API를 자기 경계 안에서 실행하더라도 event history, session metadata, tool result 요약, output 처리 방식은 별도 검토가 필요합니다. 문서는 사용자가 session과 uploaded files를 API로 삭제할 수 있다고 설명하지만, 이것은 "저장되지 않는다"가 아니라 "삭제할 수 있다"에 가깝습니다.
의료, 금융, 공공 영역에서 이 차이는 구매 결정에 영향을 줍니다. HIPAA BAA가 필요한 workload는 self-hosted sandbox라는 단어만 보고 Managed Agents에 올릴 수 없습니다. Zero Data Retention을 계약 조건으로 요구하는 팀도 동일합니다. 자체 실행 경계가 생겼다고 해서 데이터 처리 조건이 자동으로 enterprise compliance 요건을 통과하는 것은 아닙니다.
sandbox provider 경쟁도 함께 열린다
Anthropic 발표문은 Cloudflare, Daytona, Modal, Vercel을 supported provider로 언급합니다. Cloudflare는 microVM과 isolate, zero-trust secret injection, proxy 기반 egress 제어를 내세웁니다. Daytona는 long-running, stateful computer와 SSH, authenticated preview URL, pause와 restore를 강조합니다. Modal은 AI workload용 cloud platform, custom container runtime, CPU와 GPU resource를 설명합니다. Vercel은 VM security, VPC peering, bring your own cloud, millisecond startup time을 앞세웁니다.
이 목록은 Anthropic이 agent runtime을 전부 독점하려는 그림과 다릅니다. 모델과 agent loop는 Claude Managed Agents가 가져가고, 실행 격리는 partner sandbox가 가져갑니다. 개발팀 입장에서는 OpenAI Agents SDK, Google Gemini API의 managed agents, 자체 Kubernetes worker, Cloudflare/Vercel/Modal 같은 sandbox primitive를 비교해야 합니다. 비교 기준은 모델 이름보다 startup latency, repo mount 방식, egress control, secret injection, GPU availability, audit export가 됩니다.
동시에 vendor coupling도 생깁니다. Managed Agents의 Agent, Environment, Session, Events 모델에 맞춰 시스템을 만들면 다른 provider로 옮길 때 session state, event schema, tool result format, skill distribution을 다시 매핑해야 합니다. Reddit의 일부 개발자 반응이 이 지점을 짚었습니다. 관리형 harness가 편해질수록 agent 운영의 switch cost도 함께 커집니다.
비용과 rate limit은 별도 설계 항목
Claude Managed Agents overview는 organization 단위 rate limit을 문서화합니다. create 계열 endpoint는 분당 300 requests, read/list/stream 계열 endpoint는 분당 600 requests입니다. spend limits와 tier-based rate limits도 적용됩니다. agent 제품이 내부 직원 수천 명에게 열리면 이 수치는 단순 API 제한이 아니라 product capacity planning 값이 됩니다.
비용도 두 층으로 나뉩니다. 하나는 Anthropic 모델과 Managed Agents 사용 비용입니다. 다른 하나는 self-hosted sandbox worker와 provider 비용입니다. 예를 들어 장시간 build, browser automation, image generation, data analysis가 섞인 agent는 모델 token 비용보다 sandbox compute와 queue 대기 비용이 커질 수 있습니다. 발표문이 resource sizing과 runtime image를 고객 쪽에서 정할 수 있다고 말한 이유도 여기에 있습니다.
개발팀은 billing을 tool call 단위로 나눠 볼 필요가 있습니다. 어떤 session이 모델 비용을 많이 쓰는지, 어떤 session이 worker CPU를 오래 잡는지, 어떤 MCP server 호출이 retry를 유발하는지 분리하지 않으면 agent 운영비를 설명하기 어렵습니다. Managed Agents가 session event와 span event를 제공한다는 점은 observability의 시작점이지만, 조직 내부 비용 배분에는 별도 tag와 trace correlation이 필요합니다.
에이전트 보안 논의가 더 구체화된다
최근 agent security 논의는 prompt injection, tool permission, sandbox escape, secret leakage 같은 넓은 범주로 묶였습니다. Anthropic의 이번 발표는 이 범주를 더 작은 운영 단위로 쪼갭니다. tool execution은 cloud sandbox인가 self-hosted sandbox인가. private MCP server는 public endpoint인가 outbound tunnel인가. session state는 어디에 남고, checkpoint는 얼마나 유지되는가. worker host에 organization-scoped API key를 둘 것인가, environment key만 둘 것인가.
self-hosted sandbox 문서는 특히 credential 배치를 조심스럽게 다룹니다. monitoring과 operations endpoint는 organization API key로 인증하지만, worker host에 ANTHROPIC_API_KEY를 두면 agent tool call에 organization-scoped credential이 노출될 수 있다고 경고합니다. 이 문장은 구현자의 실수 가능성을 그대로 드러냅니다. 보안 경계는 제품이 만들어 주는 것이 아니라, key placement와 process isolation까지 맞아야 작동합니다.
MCP tunnels도 마찬가지입니다. private network 내부의 MCP 서버를 밖에 공개하지 않는 것은 큰 장점입니다. 하지만 agent가 내부 tool을 호출할 때 사용자 identity, tool input, result summary, error message가 어느 로그에 남는지 확인해야 합니다. ticketing system이나 HR database처럼 민감 데이터가 포함된 tool은 "터널 안에 있다"는 사실만으로 충분하지 않습니다. argument redaction, access review, replay prevention, approval step이 함께 필요합니다.
개발팀이 가져갈 체크리스트
첫째, agent 작업을 read-only, write, admin action으로 나눠야 합니다. 파일 검색과 문서 요약은 cloud sandbox로도 충분할 수 있습니다. private repo build, internal API 호출, production ticket 변경은 self-hosted sandbox나 tunnel이 필요할 가능성이 큽니다. action의 위험도를 구분하지 않으면 모든 agent session에 같은 비용과 보안 모델을 씌우게 됩니다.
둘째, worker fleet을 제품 인프라로 다뤄야 합니다. queue depth, pending work, oldest queued timestamp, polling worker count, sandbox startup latency, output upload failure를 모니터링해야 합니다. "Claude가 느리다"는 사용자 신고를 모델 문제로만 처리하면 장애 원인을 놓칩니다. self-hosted 모드는 Anthropic managed product와 고객 managed runtime이 붙은 분산 시스템입니다.
셋째, 데이터 잔존과 계약 조건을 명확히 해야 합니다. Managed Agents는 현재 Zero Data Retention과 HIPAA BAA 대상이 아닙니다. 이 조건은 self-hosted sandbox를 선택해도 자동으로 바뀌지 않습니다. regulated workload를 올릴 계획이라면 session history, sandbox state, outputs, uploaded files 삭제 API, retention policy, audit export를 구매 전에 확인해야 합니다.
넷째, MCP 서버를 조직 자산으로 관리해야 합니다. public endpoint 대신 MCP tunnels를 쓰더라도 tool schema, auth scope, allowed caller, logging, redaction, rate limit은 필요합니다. MCP server가 agent에게 제공하는 권한은 내부 API key 하나보다 더 넓어질 수 있습니다. schema 변경 하나가 agent 행동을 바꿀 수 있으므로 deploy review와 rollback 경로도 있어야 합니다.
이 발표가 남기는 질문
Claude Managed Agents의 새 기능은 기업형 agent runtime이 어느 방향으로 가는지 잘 보여줍니다. 모델 회사는 agent loop, context management, event streaming, tool result handling을 관리형 제품으로 묶습니다. 고객은 실행 위치, 네트워크, 내부 도구, secret, compliance boundary를 더 세밀하게 붙잡으려 합니다. 두 요구가 만나는 곳에 self-hosted sandbox와 MCP tunnel이 있습니다.
다만 이 구조는 만능 해결책이 아닙니다. agent orchestration이 Anthropic에 남는 한 session state와 event history 조건은 계속 검토 대상입니다. tool execution을 고객 인프라로 옮기면 보안 통제권은 커지지만 worker 운영과 비용 책임도 늘어납니다. private MCP server를 tunnel로 연결하면 public exposure는 줄지만 내부 tool 호출의 감사와 승인 문제는 더 중요해집니다.
개발자에게 이 발표의 실무적 결론은 간단합니다. agent를 붙일 때 "어떤 모델을 쓸까"보다 먼저 "어디에서 실행되고, 어떤 네트워크를 지나며, 무엇이 기록되는가"를 묻는 순서가 필요합니다. Claude Managed Agents의 self-hosted sandbox와 MCP tunnels는 그 질문을 제품 옵션으로 만든 업데이트입니다. 선택지는 늘었지만, 안전한 운영은 여전히 환경 설계와 로그 설계, 권한 설계의 품질에 달려 있습니다.