MCP로 AI 에이전트와 SQL Server 관리하기: 자연어 질의와 안전 가드레일까지

핵심 메시지

• MCP(Model Context Protocol)는 내가 직접 작성하고 통제하는 코드를 에이전트에 노출해, 에이전트가 그 도구를 골라 실행하게 하는 방식이다.
• 발표자는 커뮤니티의 DMV 진단 쿼리 28개를 MCP 서버로 감싸 DBA가 자연어로 SQL Server를 점검하도록 만들었다.
• 에이전트에 시스템 직접 접근을 허용하는 대신 MCP로 '실행될 쿼리'를 미리 고정해 통제권을 확보하는 것이 핵심이다.
• Data API Builder는 테이블·뷰·저장 프로시저 단위로 읽기/쓰기 권한을 세밀하게 제한해 노출 범위를 좁힌다.
• 강력한 자동화일수록 가드레일과 안전이 가장 중요하며, 권한이 높은 맥락에서 에이전트를 돌리면 의도치 않은 위험이 생길 수 있다.

쉽게 이해하기

마이크로소프트의 Data Exposed MVP 에디션에서 진행자 Anna Hoffman과 게스트 Anthony Nocentino가 SQL Server를 AI 에이전트로 다루는 방법을 시연한다. 핵심 도구는 MCP, 즉 모델 컨텍스트 프로토콜이다. 발표자는 MCP를 '내가 작성하고 통제할 수 있는 코드를 에이전트가 발견하고 실행하도록 노출하는 방법'이라고 정의한다.

그는 두 종류의 MCP 서버를 보여준다. 하나는 DBA를 위한 것으로 커뮤니티가 만든 DMV(동적 관리 뷰) 쿼리 28개를 도구로 노출한다. 다른 하나는 Data API Builder를 통해 샘플 데이터베이스(제품·주문 등)를 노출한다. 모든 구성은 Docker로 패키징돼 있어 Docker Compose 한 줄이면 SQL Server 컨테이너 두 개를 포함한 전체 환경이 뜬다.

클라이언트로는 VS Code 안의 GitHub Copilot을 쓰고, 실제 추론은 Claude 모델이 담당한다. JSON 파일에 MCP 서버를 등록하면 채팅창에서 '내 모든 인스턴스의 마지막 백업 시각을 알려줘' 같은 자연어 질의를 던질 수 있고, 에이전트는 도구 설명을 읽고 적절한 도구를 골라 여러 인스턴스에 병렬로 실행한다. 다만 폭주를 막기 위해 병렬 질의는 다섯 개씩 묶어 처리하도록 제한했다.

데모에서 에이전트는 SQL Server의 버전·가동 시간·구성을 요약하고 cost threshold for parallelism나 max server memory가 기본값이라는 점, 특정 데이터베이스의 로그 파일이 비대하다는 점 같은 개선 포인트를 스스로 짚어낸다. Data API Builder 쪽에서는 '재고 50개 미만 제품을 보여주고 어떤 카테고리가 품절 위험이 큰지 알려줘'처럼 의견을 묻는 질의에도 답하고, 허용하면 데이터 수정(가구 제품 15% 할인)까지 수행한다.

마지막으로 두 사람은 안전을 강조한다. 발표자는 권한이 높은 맥락에서 에이전트를 실행했다가 에이전트가 스토리지 장치의 REST 엔드포인트를 직접 호출하려 해 황급히 멈춘 경험을 소개한다. 진행자는 '큰 힘에는 큰 책임이 따른다', '회사 데이터베이스를 통째로 지운 헤드라인의 주인공이 되지 말라'는 말로 가드레일의 중요성을 정리한다.

주요 인사이트

• MCP의 가치는 '에이전트가 쿼리를 즉석에서 만들게 두지 않고, 실행될 코드를 사람이 미리 고정한다'는 통제 모델에 있다. 결정성과 DBA의 판단을 자동화 안에 끼워 넣는 셈이다.
• 도구의 텍스트 설명이 곧 LLM의 선택 기준이 된다. 같은 코드라도 설명을 어떻게 쓰느냐가 에이전트가 올바른 도구를 고르는지를 좌우한다.
• 에이전트는 만능이 아니다. 데모에서도 LLM이 SQL Server 빌드 버전을 잘못 짚는 등 틀린 부분이 있어, 결과는 여전히 검증이 필요하다.
• 가드레일은 한 곳이 아니라 여러 층에 둘 수 있다 — 코드 자체, VS Code 같은 클라이언트의 도구 승인 버튼, 에이전트 프레임워크 차원, 그리고 '좋은 상태가 무엇인지'를 적은 스킬 파일까지.
• 결과를 알면 빠르게 만들 수 있다. 발표자는 원하는 결과를 알고 있었기에 프롬프트를 엮어 몇 시간 만에 이 MCP 서버를 완성했다고 말한다.

자주 묻는 질문

관련 AI 소식