AI 기반 코딩 도구인 Anthropic의 Claude Code에서 심각한 보안 취약점이 발견되었습니다. 체크포인트 연구팀이 공개한 이 취약점은 원격 코드 실행과 API 자격 증명 탈취까지 가능하게 합니다.
보안 연구자들에 따르면 Claude Code의 다양한 설정 메커니즘에서 취약점이 발견되었습니다. 바로 Hooks, Model Context Protocol(MCP) 서버, 환경 변수를 악용하여 임의의 셸 명령을 실행하고 Anthropic API 키를 탈취할 수 있습니다.
사용자가 신뢰할 수 없는 저장소를 클론하고 열면, 자동으로 악성 코드가 실행되어 개발자의 시스템에 침투할 수 있습니다.
발견된 취약점은 크게 세 가지 범주로 나뉩니다.
1. 첫 번째(CVSS 8.7): 사용자 동의 우회 관련 코드 주입 취약점으로, 새로운 디렉토리에서 Claude Code를 시작할 때 신뢰할 수 없는 프로젝트 hooks가 정의되어 있으면 추가 확인 없이 임의 코드가 실행됩니다. 9월 버전 1.0.87에서 수정되었습니다.
2. 두 번째, CVE-2025-59536(CVSS 8.7): 사용자가 신뢰할 수 없는 디렉토리에서 Claude Code를 실행할 때 도구 초기화 중 임의의 셸 명령이 자동으로 실행되는 취약점입니다. 10월 버전 1.0.111에서 수정되었습니다.
3. 세 번째, CVE-2026-21852(CVSS 5.3): 프로젝트 로드 과정의 정보 유출 취약점으로, 악성 저장소가 Anthropic API 키 같은 민감한 데이터를 탈취할 수 있습니다. 1월 버전 2.0.65에서 수정되었습니다.
Anthropic의 설명에 따르면, 사용자가 공격자가 통제하는 저장소에서 Claude Code를 시작하면 신뢰 프롬프트를 표시하기 전에 API 요청이 발생합니다. 이 과정에서 사용자의 API 키가 유출될 수 있습니다.
요약하면, 조작된 저장소를 여는 것만으로도 개발자의 활성 API 키가 탈취되고, 인증된 API 트래픽이 외부 인프라로 리다이렉션되어 자격 증명이 노출될 수 있습니다.
성공적으로 악용될 경우 공격자는 피해자의 AI 인프라에 더 깊이 침투할 수 있습니다. 공유 프로젝트 파일에 접근하거나, 클라우드에 저장된 데이터를 수정하거나 삭제하거나, 악성 콘텐츠를 업로드하거나, 예상치 못한 API 비용이 발생等现象 등이 가능하게 됩니다.
첫 번째 취약점 악용은 프로젝트 실행만으로 추가 상호작용 없이 은밀하게 명령을 실행할 수 있습니다.
업계 반응:
“AI 기반 도구가 명령을 실행하고, 외부 통합을 초기화하고, 네트워크 통신을 자율적으로 시작하는 능력을 얻게 되면서, 설정 파일이 사실상 실행 레이어의 일부가 되었습니다. 한때 운영 환경 설정 정도로만 여겨지던 것이 이제 직접적으로 시스템 행동에 영향을 미치게 되었습니다.”
“이는 위협 모델을 근본적으로 뒤바꿉니다. 위험은 더 이상 신뢰할 수 없는 코드를 실행하는 것에 국한되지 않습니다. 신뢰할 수 없는 프로젝트를 열 때도 위험이 발생합니다. AI 기반 개발 환경에서는 공급망이 소스 코드뿐 아니라 주변의 자동화 레이어부터 시작됩니다.”
개발자들은 어떻게 대응해야 하나:
– AI 코딩 도구 사용 시에도 보안은 필수입니다. 신뢰할 수 없는 저장소를 함부로 열지 말고, 항상 최신 버전을 유지하세요.
– API 키 관리에 각별히 주의해야 합니다. 환경 변수에 민감 정보를 저장하는 것은 위험합니다.
– 프로젝트 설정 파일(.claude/settings.json, .mcp.json 등)의 출처를 반드시 확인하세요.