"웹 개발부터 배포, 운영까지 (3/8) — API, MCP, 바이브 코딩을 어디까지 믿어야 할까"

-

기능을 빨리 붙이는 능력은 점점 쉬워지고 있다. 대신 무엇을 직접 만들고, 무엇을 외부 API에 맡기고, 어떤 도구 계층으로 통제할지 판단하는 능력이 더 중요해졌다.

핵심 요약

  • API는 기능 연결의 기본 단위이고, MCP는 도구 접근을 더 구조화해 주는 중간 계층으로 이해할 수 있다.
  • 바이브 코딩은 속도를 크게 올려 주지만, 속도가 곧 운영 가능성을 보장하지는 않는다.
  • 외부 기능을 붙일수록 인증, 비용, 실패 처리, 권한, 데이터 경계가 더 중요해진다.
  • 좋은 개발은 "빨리 연결한다"에서 끝나지 않고, "무엇을 누구에게 맡기고 무엇은 내가 검증할지"까지 정한다.

API는 왜 웹 개발의 기본 연결 단위인가

현대 웹 서비스는 대부분 모든 기능을 직접 구현하지 않는다. 결제, 인증, 지도, 이메일, 검색, AI 모델 호출처럼 많은 기능이 외부 서비스와의 연결 위에서 돌아간다. 이 연결의 가장 보편적인 형식이 API다.

API는 단순히 데이터를 주고받는 통로가 아니라 책임 분리의 경계이기도 하다. 내 애플리케이션은 어떤 입력을 보낼지, 어떤 응답을 기대할지, 실패했을 때 어떻게 처리할지를 정한다. 외부 서비스는 그 계약 안에서 기능을 제공한다.

즉 API를 쓴다는 것은 기능을 빌리는 동시에, 경계를 명시적으로 받아들이는 일이다.

MCP는 어떤 문제를 줄이려는가

도구와 외부 시스템이 많아질수록 단순 API 호출만으로는 관리가 어려워질 수 있다. 어떤 도구를 언제 써야 하는지, 어떤 권한으로 접근하는지, 입력과 출력 형식을 어떻게 통일할지 같은 문제가 생긴다.

이때 MCP는 도구 접근을 좀 더 구조화하는 층으로 이해할 수 있다. 모델이나 에이전트가 사용할 도구를 일정한 인터페이스와 제약 아래에 두면, 개별 연결을 제멋대로 붙이는 것보다 통제선이 선명해진다. 특히 여러 도구를 고르는 상황에서는 "도구 표면을 어떻게 설계할 것인가"가 중요해진다.

입문자 관점에서는 MCP를 거대한 표준 이름으로 받아들이기보다, 외부 도구 연결을 무질서하게 두지 않기 위한 운영 레이어로 이해하는 편이 실용적이다.

바이브 코딩은 왜 강력하면서도 위험한가

바이브 코딩의 장점은 분명하다. 빠르게 붙여 보고, 돌아가는 형태를 만든 뒤, 학습 속도를 올릴 수 있다. 특히 초기 프로토타입에서는 직접 문서를 다 읽지 않고도 기능 흐름을 짧은 시간 안에 경험할 수 있다.

하지만 운영 관점에서는 한계도 명확하다. 빠르게 나온 코드는 왜 그렇게 구성됐는지 설명이 약할 수 있고, 인증이나 예외 처리, 비용 통제, 권한 분리가 빠질 수 있다. 무엇보다 "동작한다"와 "신뢰할 수 있다"는 다른 말이다.

그래서 바이브 코딩은 금지할 대상이 아니라, 검증 책임을 더 선명하게 만들어 주는 신호로 보는 편이 맞다. 빠르게 만들수록 더 엄격히 경계를 확인해야 한다.

무엇을 직접 만들고 무엇을 맡길 것인가

API와 도구 계층을 다룰 때 핵심 질문은 기술 취향이 아니라 책임 배분이다. 어떤 기능은 외부 서비스에 맡기는 편이 훨씬 낫고, 어떤 것은 내 시스템 안에 남겨야 한다.

예를 들어 모델 추론, 결제, 이메일 발송처럼 직접 운영 비용이 큰 기능은 외부 서비스가 유리할 수 있다. 반면 사용자 권한 결정, 핵심 비즈니스 규칙, 민감한 데이터 후처리처럼 제품 정체성과 보안에 가까운 부분은 내부 통제가 필요하다.

이 판단 기준을 단순화하면 아래처럼 볼 수 있다.

  • 표준화된 공통 기능은 외부 API 활용 여지가 크다.
  • 실패 시 제품 신뢰가 크게 흔들리는 핵심 규칙은 내부에 두는 편이 안전하다.
  • 민감한 데이터는 가능한 한 더 좁은 경계 안에서 처리해야 한다.

즉 좋은 연결 설계는 코드량을 줄이는 데서 끝나지 않고, 책임을 어디에 둘지 결정한다.

운영에서는 속도보다 실패 설계가 더 중요해진다

외부 API를 붙인 순간부터 실패는 예외가 아니라 정상 시나리오가 된다. 응답 지연, 쿼터 초과, 인증 만료, 일시적 장애, 비용 급증이 모두 실제 운영 이슈다. 이 점은 AI API든 일반 SaaS API든 같다.

그래서 운영에서는 다음 질문이 더 중요해진다.

  • 이 호출이 실패하면 사용자에게 무엇을 보여 줄까
  • 재시도는 어디까지 허용할까
  • 호출 비용을 어떻게 제한할까
  • 로그와 추적은 어디에 남길까
  • 권한이 없는 도구 접근을 어떻게 막을까

이 질문 없이 연결만 성공한 상태는 데모에 가깝고, 서비스에 가깝지 않다.

MCP와 API를 배우는 순서에서 중요한 오해 하나

입문자는 가끔 MCP 같은 중간 계층이 API를 대체한다고 오해한다. 실제로는 대체라기보다 정리와 통제에 가깝다. 바닥에는 여전히 실제 서비스 API, 인증 방식, 네트워크 호출, 데이터 형식이 존재한다.

즉 MCP를 배운다고 해서 HTTP, 인증, JSON, 에러 응답, 권한 개념을 건너뛸 수는 없다. 오히려 그 기초를 이해해야 왜 도구 표면을 통일하려는지 의미가 보인다.

결국 순서는 대체로 이렇다. 먼저 API라는 연결 단위를 이해하고, 그 위에서 도구 수가 많아질 때 MCP 같은 계층이 왜 필요한지 보는 편이 자연스럽다.

실무 감각으로 보면 무엇을 검증해야 할까

빠르게 붙인 기능이 운영에 들어가기 전에는 아래 항목을 최소한 확인해야 한다.

  • 입력과 출력 형식이 고정돼 있는가
  • 인증과 권한 경계가 분명한가
  • 실패 시 대체 흐름이 있는가
  • 비용과 호출량이 통제되는가
  • 민감 데이터가 불필요하게 외부로 나가지 않는가

이 다섯 가지는 AI 기능, 검색 도구, 외부 SaaS 연동 모두에 공통으로 적용된다. 결국 운영의 핵심은 "무엇을 연결했는가"보다 "어떻게 통제했는가"다.

다음 단계: 연결 이후에는 데이터 경계가 남는다

API와 도구 연결을 이해하면 다음 질문은 자연스럽게 데이터로 이동한다. 외부 기능을 붙여도 결국 사용자 데이터는 어디엔가 저장되고, 읽히고, 가공되고, 다시 응답으로 나간다. 이때 CRUD만 생각하면 중요한 절반을 놓치기 쉽다.

다음 글에서는 Supabase를 예로 들어, 단순 데이터 저장을 넘어 전처리와 후처리 경계를 어디에 둘지 살펴본다. 운영은 연결 다음에 항상 데이터 문제로 이어진다.

참고 자료

  • docs/blog_series_webdev_ops_design.md
  • docs/blog_series_learning_format_v3.md
  • sources/260519_webdev_ops_sources.md
  • Supabase Docs — Overview: https://supabase.com/docs/
  • IETF RFC 6749 — OAuth 2.0 Authorization Framework: https://www.ietf.org/rfc/rfc6749.txt.pdf
  • IETF RFC 9700 — OAuth 2.0 Security BCP: https://www.ietf.org/rfc/rfc9700.pdf

이 글은 웹 개발부터 배포, 운영까지 시리즈의 3/8편이다.

댓글

댓글 쓰기

이 블로그의 인기 게시물

"LLM 핵심 학습 (1/6) — 기본: 토큰화·임베딩·어텐션·위치 인코딩"

-
이미지
(시리즈 시작) 📚 시리즈 목차 2/6 파인튜닝 → 트랜스포머 한 블록의 데이터 흐름을 문자열 → 토큰 → 임베딩 → 어텐션 → 출력 표현 까지 손으로 풀어 본다. 이번 편이 끝나면 "왜 \(\sqrt{d_k}\)로 나누는가", "RoPE는 무엇을 회전시키는가", "한국어가 영어보다 토큰이 많은 까닭은 무엇인가"가 한 줄로 설명될 수 있다. 0. 학습 목표 이 편을 마치면 다음을 직접 할 수 있다. BPE 토크나이저 가 어휘를 어떻게 학습하고 새 문자열을 어떻게 자르는지 종이 위에서 시뮬레이션한다. 임베딩 행렬 의 모양과 초기화, weight tying의 의미를 한 줄로 설명한다. Scaled Dot-Product Attention 의 식을 차원 단위로 추적하고 PyTorch 30줄로 재현한다. Multi-Head Attention 이 한 헤드와 비교해 무엇이 다른지, 헤드 수가 늘면 어디가 비싸지는지 답한다. Sinusoidal·RoPE·ALiBi 세 위치 인코딩의 식과 외삽 성질을 구분한다. 컨텍스트 확장이 왜 \(O(N^2)\)인지, "Lost in the Middle"이 왜 발생하는지 설명한다. 1. 핵심 요약 트랜스포머의 입력은 문자열 이 아니라 정수 ID 시퀀스 다. 토크나이저가 문자열 → ID로 자른다. 임베딩은 정수 ID를 \(d\)차원 벡터로 lookup하는 학습 가능한 테이블이다. Self-Attention은 \(\text{softmax}(QK^\top / \sqrt{d_k}) V\) 한 줄이 핵심이고, 멀티헤드는 같은 연산을 여러 부분 공간에서 병렬화한 것이다. 위치 정보는 임베딩에 직접 더하거나(Sinusoidal), Q·K에 회전을 가하거나(RoPE), 어텐션 스코어에 거리 패널티를 더해서(ALiBi) 주입한다. 컨텍스트 길이 \(N\)에 대해 표준 어텐션은 \(O(N^2)\) 비용을 갖고, 긴 컨텍스트에서는 중간 위...
Read more »

"LLM 핵심 학습 (2/6) — 파인튜닝: LoRA·QLoRA·증류·Adapter"

-
이미지
← 1/6 기본 📚 시리즈 목차 3/6 디코딩과 생성 → 사전학습된 LLM을 내 데이터 에 적응시키는 방법을 비용·메모리·일반화 관점에서 정리한다. Full FT의 한계 → Adapter → LoRA → QLoRA → Distillation 순으로 같은 그림을 점점 확대해 본다. 0. 학습 목표 Full fine-tuning의 메모리 병목을 옵티마이저 상태·그래디언트·가중치·활성화 의 4분할로 설명한다. Adapter(Houlsby 2019)와 LoRA(Hu 2021)의 식 차이를 한 줄로 적는다. LoRA의 \(A, B\) 행렬이 왜 저랭크 이고, rank \(r\) 선택이 무엇을 결정하는지 답한다. QLoRA(Dettmers 2023)의 NF4·double-quant·paged optimizer를 분리해서 설명한다. Catastrophic Forgetting을 분포 시프트 관점에서 정의하고 완화 기법을 두 개 이상 든다. Hinton 2015의 Knowledge Distillation 식을 손으로 유도한다. 1. 핵심 요약 Full FT는 메모리/디스크/시간 모두 비싸다. 7B 모델 full FT는 V100 8장 + A100 1장으로도 큰 부담이다. PEFT(파라미터 효율 파인튜닝) 일가족은 극히 일부 파라미터만 학습 해 같은 효과를 얻는다. LoRA: \(\Delta W = BA\) (rank \(r \ll \min(d_{\text{in}}, d_{\text{out}})\))로 가중치 업데이트를 저랭크 분해. QLoRA: 베이스 모델을 4-bit(NF4)로 양자화한 채 LoRA만 풀-정밀(BF16)으로 학습. Catastrophic Forgetting: 새 분포에 적응하느라 이전 능력이 무너지는 현상. PEFT 자체가 부분 완화책. Distillation: 큰 교사 모델의 soft target 을 학습 신호로 써서 작은 학생 모델 을 만든다. 2. 직관: 왜 사전학습만으로는 부족한가 사전학습은 일반...
Read more »

"ML 기초 학습 (1/9) — 머신러닝과 sklearn: 학습의 좌표계"

-
이미지
(시리즈 시작) 📚 시리즈 목차 2/9 이웃 알고리즘 → 이 시리즈는 신경망과 로컬 LLM으로 가기 전에 손에 익혀 둬야 할 머신러닝 기초 9편이다. 1편은 모든 ML 코드가 공유하는 공통 문법 을 잡는 데 쓴다. sklearn은 그 문법을 가장 일관되게 보여주는 도구다. 이번 편이 끝나면 어떤 모델을 만나도 fit → predict → score → 평가 흐름이 같다는 것이 손에 잡힌다. 0. 학습 목표 이 편을 마치면 다음을 할 수 있어야 한다. 지도학습·비지도학습·강화학습을 한 문장씩 구분해 설명한다. sklearn의 estimator 인터페이스 ( fit , predict , score , transform )를 코드 한 화면 안에서 쓸 수 있다. train/validation/test 분할을 왜 하는지, 어디서 데이터 누수가 생기는지 식과 그림으로 설명한다. 분류·회귀의 핵심 평가 지표(accuracy, precision, recall, F1, MSE, R²)를 정의에서 직접 계산할 수 있다. k-fold 교차검증 을 코드 한 줄로 돌리고, 결과의 평균과 표준편차를 함께 보고할 수 있다. Pipeline 으로 전처리와 모델을 묶어 데이터 누수를 구조적으로 막는 방법을 설명한다. 1. 핵심 요약 머신러닝은 데이터에서 함수 \(f: X \to Y\)를 찾는 작업 이다. 어떤 모델이든 이 본질은 같다. sklearn은 모든 모델을 같은 인터페이스( fit , predict , score )로 통일해, 모델을 바꿀 때 한 줄만 바꾸면 되게 한다. train/val/test 세 분할이 표준이다. 검증으로 하이퍼파라미터를 고르고, 테스트는 마지막에 한 번만 본다. 데이터 누수 (test 정보가 train에 새는 현상)는 ML 입문자가 가장 자주 만드는 실수이며, Pipeline + cross_val_score 조합으로 구조적으로 막을 수 있다. 평가 지표는 문제 유형 (분류/회귀) 과 클래스 불균형...
Read more »