GitHub Agent Finder: 에이전트 도구 선택은 이제 운영 정책이다
AI 코딩 도구의 다음 병목은 모델 성능이 아니라 “무엇을 연결할 것인가”다. MCP 서버, skills, 커스텀 에이전트, 사내 API가 늘어날수록 개발자는 더 많은 기능을 얻지만, 보안팀과 플랫폼팀은 더 많은 미승인 실행면을 떠안는다. GitHub가 Agent Finder를 공개하고 Microsoft가 Agentic Resource Discovery(ARD)를 소개한 것은 이 문제를 정면으로 다룬 신호다.
무슨 일이 있었나
2026년 6월 17일 GitHub는 Copilot용 Agent Finder를 공개했다. 개발자가 MCP 서버나 skill을 미리 모두 연결해 두지 않아도, Copilot이 사용자가 지정한 카탈로그에서 작업에 맞는 리소스를 검색하고 순위화해 필요할 때 가져오는 방식이다. 같은 발표에서 GitHub는 사내 private registry와 관리형 설정을 통해 어떤 리소스를 발견하고 사용할 수 있는지 제한할 수 있으며, 자동 설치는 하지 않는다고 설명했다. Microsoft의 ARD 글은 이를 더 넓은 사양으로 설명한다. 에이전트 리소스가 너무 많아져 수동 연결과 비공식 목록으로는 더 이상 확장되지 않으니, 리소스가 스스로 발견 가능한 manifest와 색인 표면을 가져야 한다는 주장이다.
왜 중요한가
실무 개발팀에는 이 변화가 꽤 현실적이다. 지금까지 “AI 도구를 붙인다”는 일은 대체로 IDE 확장 설치, MCP 서버 설정, 토큰 입력, 프롬프트 문서 추가처럼 개인 단위로 흩어졌다. Agent Finder 모델에서는 회사가 승인한 레지스트리를 만들고, 에이전트가 그 안에서 필요한 도구만 찾아 쓰게 만들 수 있다. 이는 context window 낭비를 줄이는 문제이기도 하지만, 더 중요한 것은 누가 어떤 도구를 어떤 권한으로 쓰는지 설명 가능한 운영 모델로 바꾸는 일이다.
커뮤니티 신호
커뮤니티 신호도 같은 방향을 가리킨다. GitHub Community에는 Copilot Code Review가 AGENTS.md를 언제 읽는지, 기존 instructions 파일과 중복되는지 묻는 질문이 올라왔고, 6월 18일 GitHub는 Code Review가 repository root의 AGENTS.md를 활용한다고 공지했다. Copilot 사용량 과금 관련 FAQ와 토론에서는 개발자들이 AI Credits, Actions minutes, 예산 한도, 사용자별 소비량을 어떻게 추적할지 묻고 있다. 즉 현장의 질문은 “새 기능이 있나요?”에서 “이 기능을 팀 정책, 리뷰 기준, 비용 통제 안에 어떻게 넣나요?”로 이동했다.
개발·운영 영향
운영 영향은 세 갈래다. 첫째, 도구 카탈로그가 필요하다. MCP 서버와 skills를 개인 설정 파일에만 두면 보안 검토, 소유자, 권한 범위, 장애 대응 문서가 흩어진다. 둘째, 저장소 지침이 제품화된다. AGENTS.md가 리뷰와 코딩 에이전트 양쪽에서 읽히기 시작하면, 이 파일은 단순한 안내문이 아니라 자동 리뷰 품질을 좌우하는 계약서가 된다. 셋째, 비용 관측이 필수가 된다. GitHub의 사용량 metrics API는 사용자별 일일 AI Credits 소비량을 제공하지만, 현재는 기능별·모델별·surface별 분해가 아니라고 설명한다. 따라서 팀은 사용량 신호를 가치·리스크·승인 정책과 함께 해석해야 한다.
팀 체크리스트
• MCP 서버와 skills를 개인 설정이 아니라 승인된 catalog 또는 registry에 등록한다.
• 각 리소스에 owner, 목적, 권한 범위, 입력 데이터 등급, 장애 시 비활성화 방법을 적는다.
• AGENTS.md를 리뷰 규칙, 테스트 기준, 보안 금지사항, 코드 스타일의 단일 계약으로 정리한다.
• 에이전트가 쓴 도구, 승인 흐름, 네트워크 차단, 사용자 요청을 감사 로그로 남길 수 있는지 확인한다.
• AI Credits와 Actions minutes를 팀별로 관측하고, 자동 리뷰와 장시간 에이전트 작업에는 예산 한도를 둔다.
| 예전 방식 | IDE별 수동 연결, 개인 MCP 설정, 중복 instructions |
|---|---|
| 새 흐름 | 작업 설명 → Agent Finder → 승인 catalog → 필요한 리소스만 로드 |
| 운영 포인트 | 도구 발견성, 권한, AGENTS.md 품질, 텔레메트리, 예산 |
지금 할 일
지금 당장 할 일은 모든 것을 자동화하는 것이 아니라 발견 가능한 범위를 좁히는 것이다. 사내 registry 초안을 만들고, MCP 서버별 owner와 권한을 기록하고, AGENTS.md를 실제 리뷰 기준으로 정리하고, 비용 알림을 팀 단위로 붙이는 정도가 첫 단계다. 특히 데이터베이스, 결제, 배포, 고객지원 시스템에 닿는 MCP 서버는 “편리한 도구”가 아니라 운영 권한이다. Agent Finder가 아무리 자동 설치를 하지 않더라도, discoverable 상태로 올리는 순간 사용 후보가 된다.
리스크와 반론
반론도 있다. discovery layer는 도구 선택을 쉽게 만들지만, 잘못된 manifest, 유사 이름 도구, 과도한 권한, 오래된 문서까지 자동으로 좋은 리소스로 만들지는 않는다. ARD 자체도 인증·인가·조직 신뢰 결정을 대체하지 않는다고 설명한다. 또한 사용자별 AI Credits만으로는 어떤 기능이 비용을 만들었는지 충분히 설명하기 어렵다. 그래서 이 글의 결론은 “Agent Finder를 켜라”가 아니라 “에이전트 도구 운영면을 먼저 설계하라”다.
출처와 더 읽을거리
- GitHub Changelog: Agent finder for GitHub Copilot now available
- Microsoft Command Line: Introducing the Agentic Resource Discovery specification
- GitHub Changelog: Copilot code review AGENTS.md support
- GitHub Changelog: AI credits in Copilot usage metrics API
- GitHub Docs: MCP server usage in your company
- Model Context Protocol documentation
- OpenAI: Running Codex safely at OpenAI
- GitHub Community: AGENTS.md in Copilot code reviews
- GitHub Community: Copilot usage-based billing FAQ