Codex가 Workday 앱을 만든다, MCP 뒤에 붙은 Agent Passport

AI 요약

• 무슨 일: Workday가 Developer Agent, Agent-Ready Tools, Agent Passport를 DevCon 2026에서 공개했습니다.
  • Developer Agent는 Claude Code, Cline, Codex, Cursor, Google Antigravity 안에서 Workday 앱과 에이전트를 만들게 합니다.
• 권한 구조: Agent-Ready Tools는 MCP로 HR·Finance 데이터에 접근하되 Workday의 보안, 위임, 감사 모델을 상속합니다.
• 검증 장치: Agent Passport는 OWASP LLM Top 10, NIST AI RMF, MITRE ATLAS 기준의 signed attestation을 붙입니다.
  • Cisco가 첫 attestation partner로 참여하며, production 전 검증과 runtime allow/block/routing을 맡습니다.
• 주의점: early access와 Extend Professional 조건, licensing, 외부 agent tool의 권한 경계는 실제 도입 전에 따로 확인해야 합니다.

Workday가 2026년 6월 2일 DevCon 공식 보도자료에서 Developer Agent, Agent-Ready Tools, Agent Passport를 공개했습니다. 발표문에서 Workday는 Developer Agent가 Claude Code, Cline, Codex, Cursor, Google Antigravity 같은 agentic development tool 안에서 Workday 앱과 에이전트를 자연어로 만들 수 있게 한다고 설명했습니다. 이 뉴스는 Workday가 AI coding assistant를 자사 개발 도구로 흡수했다는 이야기보다, HR·급여·재무 원장에 닿는 에이전트의 권한과 검증을 제품 표면에 올렸다는 사건에 가깝습니다.

Workday가 든 예시는 "이번 분기 특정 부서가 예산을 초과할 추세이면 finance에 알리는 에이전트를 만들어 달라"는 요청입니다. Developer Agent는 이 요청에서 필요한 Workday Agent-Ready Tools를 고르고, 데이터와 서비스를 연결하며, 문서와 예제를 끌어와 설정에 걸리던 시간을 줄인다고 소개됐습니다. 사용자에게 보이는 표면은 Codex나 Cursor일 수 있지만, 실제 행동은 Workday Build, Agent-Ready Tools, Workday의 security and delegation model 뒤에서 제한됩니다.

발표가 나온 배경은 Workday가 2025년부터 쌓아 온 agent stack입니다. Workday는 2025년 Agent Gateway와 Agent Partner Network를 발표했고, 같은 해 Workday Build를 전면에 세웠습니다. 2025년 11월에는 Pipedream 인수 계약을 발표하며 3,000개 이상 connector와 10,000개 이상 pre-built tools를 Workday agent vision에 붙이겠다고 설명했습니다. Sana와 Flowise 인수까지 더하면 Workday가 모으는 조각은 지식, 오케스트레이션, 외부 앱 연결, 그리고 이번에 공개한 검증 기록입니다.

DevCon 2026 행사 페이지도 같은 방향을 보입니다. Workday는 DevCon을 "모든 개발자가 에이전트를 만드는" hands-on event로 소개했고, 2026년 6월 1일부터 4일까지 keynote, Express Labs, Guided Workshops, DevHub, Hackathon을 배치했습니다. 발표 시점은 개발자 컨퍼런스의 실습 현장입니다. 그래서 Developer Agent는 일반 사용자용 챗봇이 아니라 Workday Extend 개발자와 SI 파트너가 실제 tenant와 프로세스를 다루는 도구로 읽어야 합니다.

Agent-Ready Tools의 기술적 위치는 기존 API connector와 다릅니다. Workday는 전통적 API가 data integration용이라면 Agent-Ready Tools는 autonomous agent용으로 설계됐다고 설명했습니다. Workday 전반에 걸쳐 작동하는 수백 개 Agent-Ready Tools가 MCP 같은 open standard로 연결되고, agent는 Workday의 보안 모델, 위임 모델, business process control, audit trail을 자동으로 상속한다는 주장입니다. HR과 재무 데이터에서 이 문장은 기능 소개가 아니라 책임 분리입니다.

MCP가 여기서 맡는 일은 도구 목록을 assistant에 붙이는 것만이 아닙니다. Codex나 Claude Code가 Workday 업무를 만들려면 "사용자에게 어떤 권한이 있는가", "이 action은 approval이 필요한가", "agent가 보는 데이터가 직원 PII인가", "수정 기록이 감사 로그에 남는가"를 알아야 합니다. Workday가 Agent-Ready Tools를 별도 계층으로 강조하는 이유는 이 질문을 일반 REST API 호출보다 더 좁은 business action 단위로 묶으려는 데 있습니다.

Agent Passport는 이번 발표에서 가장 민감한 부분입니다. Workday의 Agent Passport 별도 공식 발표는 Workday-built agent와 third-party agent를 production 전에 테스트·검증하고 배포 후에도 지속적으로 모니터링한다고 설명했습니다. 검증 항목은 OWASP LLM Top 10, NIST AI RMF, MITRE ATLAS 같은 공개 표준에 연결됩니다. 기록은 누가 어떤 테스트를 했는지 signed result로 남고, 다른 vendor의 agent도 같은 기준으로 비교할 수 있다는 설명입니다.

Workday가 나열한 위험은 agent 보안 논의에서 반복되는 항목입니다. prompt injection, jailbreak, goal hijacking, system prompt extraction, employee data leakage, unsafe outputs입니다. Agent Passport는 agent가 task를 실행하려 할 때 실시간으로 monitor하고 allow, block, route 중 하나를 적용할 수 있다고 소개됐습니다. 문제가 발견되면 단일 revocation으로 영향받는 agent를 중지하거나 제한할 수 있다는 문장도 있습니다. HR과 finance workflow에서 배포 후 차단 장치가 없으면 "검증 완료" badge는 빠르게 낡습니다.

Cisco는 첫 attestation partner입니다. Workday 발표에 따르면 Cisco AI Defense는 Workday에서 실행되는 agent를 배포 전에 독립적으로 테스트하고, runtime에서 prompt injection, data leakage, jailbreak, unsafe action을 방어합니다. Workday가 직접 만든 "safe" 표시가 아니라 외부 partner의 signed attestation을 붙이겠다는 점이 상품의 차별점입니다. 다만 첫 파트너가 Cisco라는 사실은 시장이 아직 초기라는 뜻도 됩니다. 여러 attestor가 같은 check를 서로 다른 방식으로 측정할 때 비교 가능성을 어떻게 유지하는지는 실제 운영 문서가 더 필요합니다.

availability도 제한적입니다. Developer Agent와 Agent-Ready Tools는 Workday Extend Professional의 early access customer에게 제공되고, general availability는 2026년 하반기로 잡혔습니다. Agent Passport는 2026년 하반기 early access, 2026년 말 전 GA 예정입니다. Workday는 forward-looking statement에서 공개되지 않은 기능이 변경되거나 제공되지 않을 수 있다고 명시했습니다. 지금 기업이 내릴 수 있는 판단은 production 표준 도입보다 pilot 설계와 권한 모델 검토에 가깝습니다.

DevCon 직후 커뮤니티 반응은 Workday 개발자 생태계의 긴장을 보여줍니다. Reddit r/workday의 한 DevCon 후속 글에서는 Developer Agent가 Extend 개발자에게 targeting된 것처럼 보이고, Cursor·Claude·Codex·Cline·Antigravity에서 앱을 몇 분 안에 만들 수 있다는 demo가 있었다고 정리했습니다. 댓글에서는 경험 있는 Extend 개발자에게는 앱·에이전트 빌드를 크게 밀어줄 수 있지만, 이해 없이 vibe coding으로 묶으면 고객 tenant에 문제가 생길 수 있다는 우려가 나왔습니다.

다른 DevCon discussion에서는 Extend Developer Agent가 context-aware라 유용해 보인다는 평가와, 컨설팅 firm Extend developer들의 불안이 보였다는 반응이 함께 나왔습니다. "가장 큰 기술 도약"이라는 긍정적 평가도 있었지만, Extend Pro license와 flex credits가 어디에 붙는지 혼란스럽다는 댓글도 있었습니다. 이 반응은 제품 기능보다 adoption friction을 드러냅니다. Workday 전문가는 자동화로 더 많은 일을 할 수 있지만, 일반 고객은 권한·라이선스·복구 절차를 모르면 위험한 앱을 빠르게 만들 수도 있습니다.

이 발표의 경쟁 상대는 단순히 Salesforce Agentforce나 Microsoft Copilot Studio가 아닙니다. Workday는 HR·Finance system of record에 대한 깊은 권한 모델을 강점으로 내세웁니다. Microsoft는 Agent 365와 M365 tenant governance를, Salesforce는 Agentforce와 CRM data graph를, ServiceNow는 workflow와 ITSM control을 앞세웁니다. Workday의 좁은 장점은 payroll, benefits, ledger, org chart에 있는 민감한 action을 사내 승인 체계와 묶어 실행한다는 점입니다.

Pipedream 인수 계약은 이 경쟁을 Workday 밖으로 넓힙니다. 2025년 11월 발표에서 Workday는 Pipedream이 Asana, HubSpot, Jira, Recurly, Slack 등 외부 시스템에서 데이터를 가져오고 workflow를 실행하게 해 준다고 설명했습니다. 이번 Developer Agent 발표에서도 외부 행동은 Pipedream의 수천 개 pre-built connector library로 custom agent action을 만들고 Agent-Ready Tools로 노출하는 방향입니다. Workday agent가 performance review를 위해 Jira project detail을 읽고 Slack으로 peer feedback을 요청한 뒤 Workday record를 업데이트하는 예시는 그 전략을 보여줍니다.

개발팀이 실험할 때 첫 확인 항목은 데이터 경계입니다. Codex나 Claude Code에서 입력한 prompt, Workday 문서 조회, tool selection log, generated app artifact, tenant metadata가 어느 시스템에 저장되는지 확인해야 합니다. Workday의 delegation model이 적용된다고 해도, 외부 agentic development tool의 telemetry와 local repository context는 별도 문제입니다. 특히 HR·Finance 업무는 employee data, compensation, performance review, vendor payment 같은 민감한 record를 다룹니다.

두 번째 확인 항목은 권한 축소입니다. Agent-Ready Tools가 "hundreds"라고 소개될수록, 모든 도구를 한 agent에게 열어 주면 MCP 도구 목록 자체가 과도한 권한 표면이 됩니다. 부서 예산 알림 agent에는 읽기와 알림 action만 필요할 수 있습니다. benefits update agent에는 approval workflow와 rollback policy가 필요합니다. Workday admin은 agent별 tool allowlist, user delegation, approval policy, audit log retention을 하나의 배포 checklist로 묶어야 합니다.

세 번째 확인 항목은 Agent Passport의 실패 처리입니다. signed attestation은 배포 허가의 근거가 될 수 있지만, runtime에서 prompt injection이나 data leakage가 탐지됐을 때 어떤 action이 block되고 어떤 action이 route되는지 알아야 합니다. payroll run을 중단하는 정책과 employee self-service 질문을 route하는 정책은 운영 영향이 다릅니다. "single revocation"은 강력하지만, affected agents를 제한할 때 business continuity plan이 없으면 장애 대응 문제가 됩니다.

네 번째 확인 항목은 비용과 라이선스입니다. 공식 발표는 Developer Agent와 Agent-Ready Tools가 Workday Extend Professional early access로 제공된다고 밝혔습니다. Reddit 반응에서도 Extend Pro와 flex credits 혼란이 언급됐습니다. AI coding assistant 사용료, Workday Extend Professional license, agent execution credit, Pipedream connector 사용량, Cisco attestation 비용이 분리되면 pilot의 기술 성공과 운영 비용은 다른 결과를 낼 수 있습니다.

이 뉴스가 AI 개발자에게 남기는 실무적 변화는 "enterprise SaaS가 coding agent를 막는 대신 관리 가능한 entry point로 받아들이기 시작했다"는 점입니다. 2025년에는 많은 기업이 Cursor, Claude Code, Codex를 source code 편집 도구로 먼저 봤습니다. Workday의 2026년 발표는 같은 도구가 HR·Finance agent builder의 앞단이 될 수 있다고 전제합니다. 차이는 Workday가 MCP tool, business process control, signed attestation을 그 사이에 끼워 넣으려 한다는 점입니다.

그래서 Workday Developer Agent를 단순한 prompt-to-app 기능으로 보면 핵심을 놓칩니다. 이 발표의 제품적 무게는 "Codex가 Workday 앱을 만든다"보다 "Codex가 만든 agent가 급여와 원장에 닿기 전에 어떤 도구 권한과 검증 기록을 가져야 하는가"에 있습니다. Workday가 이 모델을 실제 고객 tenant에서 안정적으로 운영한다면, enterprise SaaS vendor는 AI coding assistant를 외부 생산성 도구가 아니라 자사 governance plane 안의 개발 표면으로 다루게 됩니다.

당장 도입을 검토하는 팀은 작은 업무부터 시작하는 편이 맞습니다. 읽기 중심의 budget alert, approval status summary, onboarding checklist update처럼 실패 영향이 낮고 감사가 쉬운 workflow를 먼저 고릅니다. 그다음 Agent-Ready Tools의 scope, Agent Passport check, Cisco attestation 결과, rollback path, human approval rule을 기록합니다. 이 pilot에서 얻을 숫자는 demo 생성 속도가 아니라 tool 권한 수, blocked action 수, reviewer 수정 시간, runtime policy violation입니다.

Workday가 제시한 2026년 하반기 GA 일정이 유지된다면, enterprise AI agent 경쟁의 평가 기준은 더 구체적으로 바뀝니다. 모델 이름과 agent builder UI보다 어떤 SaaS가 business process, identity, audit, external connector, signed attestation을 한 배포 단위로 묶는지가 중요해집니다. Workday의 이번 발표는 그 기준을 HR·Finance 영역에서 먼저 시험하는 사례입니다.