Claude Code 보안 심층 분석 ① — 왜 지금 이야기해야 하는가
Claude Code는 개발자와 동일한 시스템 권한으로 동작하는 AI 에이전트로, 데이터 유출, 공급망 공격, 프롬프트 인젝션, MCP 신뢰 체인 문제, AI 생성 코드 품질 등 다섯 가지 보안 위협 영역을 형성한다. 클라이언트 측 도구라는 구조적 특성으로 인해 완벽한 통제가 불가능하므로, 탐지·정책·교육을 조합한 다층 방어 전략이 필요하다.
에이전트 보안
AI 보안 하네스 – 구축과 운영
AI 보안 하네스의 실제 구축과 운영 가이드. Phase별 로드맵 4단계(Phase 1: 가시성 & 정책 1~2개월, Phase 2: 코어 파이프라인 2~4개월, Phase 3: 에이전트 보안 4~6개월, Phase 4: 지속 운영 상시)의 구체적 활동과 산출물. Level 1~4별 최소 구성과 풀 구성 매핑. 핵심 KPI 8개(AI 자산 가시성·Shadow AI 비율·정책 현행화율·가드레일 오탐률·미탐률·HITL 응답 시간·인시던트 대응 시간·엔트로피 점수). 흔한 실패 패턴 5가지와 대응(“완벽 준비 후 시작”·”보안팀 단독”·”도구만 도입”·”Level 4부터”·”구축하고 끝”). 시리즈 전체 메시지 3가지를 다룬 시리즈 마지막 글.
AI 보안 하네스 – 실행과 출력 보안
AI 보안 하네스 코어 파이프라인의 실행·출력 측 레이어 상세. 오케스트레이션에서는 에이전트의 계획-실행-관찰 루프, HITL 설계의 4단계 영역(자동 승인·사용자 확인·관리자 승인·이중 승인), HITL 피로 방지, 에이전트 신뢰도 기반 동적 HITL, 명령 체계 우선순위, 서킷 브레이커를 다룸. 도구 격리에서는 보안 경계 5단계 패턴(경계 없음→완전 격리), 시크릿 인젝션 프록시 상세 작동 방식, 도구 화이트리스트(읽기·쓰기·실행), 입출력 스키마 검증을 다룸. 출력 가드레일에서는 출력 검사가 필요한 3가지 이유, 민감정보 탐지 & 마스킹, 환각 탐지, AI 생성 코드 보안 검증을 다룬 시리즈 여섯 번째 글.
AI 보안 하네스 – 아키텍처 전체 그림
AI 보안 하네스의 4개 영역(횡단·기반·코어 파이프라인·진화)과 10개 레이어 아키텍처 전체 구성도. 각 영역의 역할과 성격, 10개 레이어의 요약, Level 1~4별 활성 레이어 매핑, Level 3 기준 데이터 흐름 8단계 추적, 아키텍처의 실무적 함의를 다룬 시리즈 두 번째 글.
AI 보안 하네스 – 정의와 설계 원칙
AI 보안 하네스의 정의, “하네스” 비유의 의미, 유사 개념(가드레일·AI Gateway·Agent Framework)과의 차이, 5대 설계 원칙(자율성 비례 통제·허용과 통제의 양면 설계·계층 방어·기존 인프라 위 구축·지속 적응), Level 1~4 자율성 등급 모델, 기존 보안 표준(OWASP·NIST·MITRE ATLAS·SANS·EU AI Act)과의 관계를 다룬 시리즈 첫 번째 글.