공급망 공격

Claude Code 보안 심층 분석 ② — 어디서 무엇이 새는가: 위협과 공격 표면

작성자:

Claude Code의 보안 위협은 API를 통한 소스코드 유출, ANTHROPIC_BASE_URL 변조를 통한 API 키 탈취(CVE-2026-21852), Hooks/MCP 설정을 통한 원격 코드 실행(CVE-2025-59356), 간접 프롬프트 인젝션, MCP 신뢰 체인을 통한 측면 이동 등으로 구성된다. 이 위협들은 Claude Code의 정상적 기능을 악용하며, 설정 파일이 능동적 실행 경로를 제어하는 구조적 특성에서 기인한다.

Claude Code 보안 심층 분석 ① — 왜 지금 이야기해야 하는가

작성자:

Claude Code는 개발자와 동일한 시스템 권한으로 동작하는 AI 에이전트로, 데이터 유출, 공급망 공격, 프롬프트 인젝션, MCP 신뢰 체인 문제, AI 생성 코드 품질 등 다섯 가지 보안 위협 영역을 형성한다. 클라이언트 측 도구라는 구조적 특성으로 인해 완벽한 통제가 불가능하므로, 탐지·정책·교육을 조합한 다층 방어 전략이 필요하다.