2026년 3월 31일, AI 업계 최대 보안 사고가 발생했습니다

2026년 3월 31일 새벽, AI 업계에서 가장 주목받는 코딩 어시스턴트 중 하나인 Claude Code의 전체 소스코드가 공개 npm 레지스트리를 통해 유출되었습니다. 약 512,000줄의 TypeScript 코드, 1,906개 파일, 59.8MB 규모의 소스맵 파일이 누구나 다운로드할 수 있는 상태로 노출된 것입니다. 'AI 안전'을 최우선 가치로 내세워 온 Anthropic에게 이 사건은 단순한 기술적 실수를 넘어, 회사의 핵심 정체성에 타격을 입힌 사태로 평가받고 있습니다.

이 글에서는 유출 사고의 전말, 드러난 보안 취약점, 그리고 개발자와 기업이 지금 당장 취해야 할 보안 강화 조치를 상세히 분석합니다.

사고의 전말: .npmignore 한 줄의 부재가 만든 재앙

사건의 시작은 놀라울 정도로 단순했습니다. Anthropic 릴리스 팀이 @anthropic-ai/claude-code 패키지의 버전 2.1.88을 npm에 퍼블리시하면서, 내부 디버깅용 소스맵(.map) 파일을 .npmignore에서 제외하는 것을 빠뜨린 것입니다. 소스맵은 압축·난독화된 프로덕션 코드를 원본 소스로 역매핑하는 파일로, 건물 벽 안에 설계 도면 전체를 넣어둔 것과 같습니다.

Solayer Labs 인턴인 Chaofan Shou가 X(구 Twitter)에 이 발견을 공개한 시점은 ET 기준 오전 4시 23분이었습니다. 이후 상황은 걷잡을 수 없이 빠르게 전개되었습니다. Anthropic의 Cloudflare R2 버킷에 저장된 전체 코드베이스가 다운로드되어 GitHub에 미러링되었고, 2시간 만에 50,000 스타를 달성하며 GitHub 역사상 가장 빠르게 성장한 저장소가 되었습니다. 41,500개 이상의 포크가 생성되었으며, 수시간 내에 Python 클린룸 재작성 버전까지 등장했습니다.

유출된 코드에서 드러난 것들

미공개 기능과 전략 로드맵

유출된 코드에는 **44개의 숨겨진 피처 플래그(feature flags)**가 포함되어 있었습니다. 완전히 구현되었지만 아직 출시되지 않은 기능들이 대거 발견되었는데, 여기에는 Claude가 최근 세션을 자체 리뷰하는 기능, 백그라운드 모드로 작동하는 "영구 어시스턴트(persistent assistant)", 휴대폰이나 다른 브라우저에서 Claude를 원격 제어하는 기능 등이 포함되었습니다. 또한 **"Mythos"**라는 코드명의 미공개 AI 모델에 대한 참조도 발견되었습니다.

이는 OpenAI, Google DeepMind, Cursor 등 경쟁사들에게 Anthropic의 기술적 접근 방식과 전략 방향에 대한 전례 없는 인사이트를 제공한 셈입니다.

심각한 보안 취약점 구조

보안 연구자들이 가장 우려한 것은 Claude Code의 내부 아키텍처에서 발견된 공격 경로였습니다.

컨텍스트 포이즈닝(Context Poisoning): Claude Code의 4단계 컨텍스트 관리 시스템(도구 결과 예산 → 마이크로 압축 → 컨텍스트 붕괴 → 자동 압축)에서 MCP 도구 결과와 파일 읽기 내용이 마이크로 압축에서 면제되는 취약점이 확인되었습니다. CLAUDE.md 같은 저장소 파일에 악성 지시를 삽입하면, 이 지시가 압축 과정에서 살아남아 정상적인 "사용자 피드백"으로 세탁될 수 있습니다.

Bash 권한 시스템 허점: Bash 보안 검증 체인에서 세 가지 악용 가능한 패턴이 발견되었습니다. validateGitCommit 같은 검증자가 allow를 반환하면 후속 모든 검증을 우회하는 조기 허용 단축 경로, 세 가지 파싱 시스템 간의 차이를 악용하는 파서 차등(parser differentials), 그리고 위험 패턴을 감지해도 사용자의 허용 규칙이 있으면 경고가 폐기되는 권한 무시 가능성이 그것입니다.

공급망 공격 표면: 유출된 인터페이스 계약을 이용한 악성 MCP 서버 제작, 백도어가 삽입된 npm 포크 생성 등이 용이해졌습니다.

설상가상: Axios 공급망 공격의 동시 발생

유출 사고와 거의 동시에 또 다른 보안 위기가 발생했습니다. 2026년 3월 31일 UTC 기준 00:21~03:29 사이에 Claude Code를 npm을 통해 설치하거나 업데이트한 사용자는 원격 접근 트로이목마(RAT)가 포함된 악성 axios 패키지(버전 1.14.1 또는 0.30.4)를 설치했을 가능성이 있습니다.

Google 위협 인텔리전스 그룹(GTIG)은 이 공격을 북한 연계 위협 행위자 UNC1069의 소행으로 귀결시켰습니다. axios는 주간 다운로드 수 1억 건 이상, 클라우드 환경의 약 80%에 존재하는 핵심 라이브러리입니다. Claude Code 유출과 axios 공급망 공격이 같은 날 발생한 것은 AI 개발 생태계의 보안 취약성을 극명하게 보여주는 사건이었습니다.

Anthropic의 대응과 DMCA 소동

Anthopic은 이 사건이 "인적 오류로 인한 릴리스 패키징 문제이며, 보안 침해가 아니다"라고 공식 입장을 밝혔습니다. 또한 "민감한 고객 데이터나 자격 증명은 노출되지 않았다"고 강조했습니다.

그러나 후속 대응 과정에서 더 큰 논란이 발생했습니다. Anthropic이 미국 디지털 저작권법에 따른 DMCA 게시 중단 요청을 GitHub에 제출했는데, 이 과정에서 유출된 소스코드 포크뿐만 아니라 Anthropic이 직접 공개한 합법적인 Claude Code 저장소의 포크 8,100개 이상이 함께 차단되었습니다. 단순히 공개 문서와 예제만 포함된 저장소를 포크한 개발자들까지 DMCA 통보를 받는 상황이 벌어진 것입니다.

Claude Code 책임자 Boris Cherny는 이를 실수라고 인정하고 대부분의 게시 중단 요청을 철회했지만, 이미 손상된 신뢰를 회복하기에는 역부족이었습니다. 한편, claw-code라는 클린룸 재작성 프로젝트는 GitHub에서 100,000 스타를 돌파하며 역대 가장 빠르게 성장한 저장소 기록을 세웠습니다.

Futurism은 "AI 학습을 위해 타사의 지적 재산권을 자유롭게 활용해 온 Anthropic이 자사 코드가 유출되자 갑자기 지적 재산권에 열정적 관심을 보였다"고 꼬집었고, 이는 AI 기업의 저작권 이중 잣대 논쟁에 새로운 불을 지폈습니다.

유출 이전에 이미 존재했던 취약점들

사실 Claude Code의 보안 문제는 이번 유출 이전부터 지적되어 왔습니다. Check Point Research는 두 가지 심각한 취약점을 발견하여 Anthropic과 협력해 패치한 바 있습니다.

CVE-2025-59536 (CVSS 8.7): 사용자가 신뢰할 수 없는 디렉토리에서 Claude Code를 시작할 때 도구 초기화 과정에서 임의의 셸 명령이 자동 실행되는 코드 인젝션 취약점입니다. 버전 1.0.111(2025년 10월)에서 패치되었습니다.

CVE-2026-21852: 사용자 상호작용 없이 악성 프로젝트 설정을 통해 개발자의 API 키를 탈취할 수 있는 취약점입니다. 버전 2.0.65(2026년 1월)에서 패치되었습니다.

이 취약점들은 패치되었지만, 소스코드 유출로 인해 공격자들이 유사한 새로운 공격 경로를 발견할 가능성이 크게 높아졌습니다. Straiker의 분석에 따르면, 3월 31일 이후 달라진 것은 공격의 가능성이 아니라 공격 연구의 비용이 급격히 감소했다는 점입니다.

지금 당장 해야 할 보안 강화 조치

즉시 실행 사항

1. 패키지 무결성 확인: Claude Code 버전을 고정하고 바이너리 해시를 검증하세요. 2026년 3월 31일에 npm을 통해 Claude Code나 axios를 설치/업데이트했다면, 즉시 npm audit을 실행하고 axios 버전이 1.14.1 또는 0.30.4가 아닌지 확인해야 합니다.

2. API 키 로테이션: Anthropic 개발자 콘솔에서 API 키를 교체하고 사용량에 이상이 없는지 모니터링하세요.

3. CLAUDE.md 감사: 클론한 저장소의 CLAUDE.md 파일과 .claude/config.json을 수동으로 검토하세요. 신뢰할 수 없는 저장소에서는 컨텍스트 포이즈닝 공격 가능성이 있습니다.

4. 권한 규칙 최소화: Bash(git:*) 같은 광범위한 권한 규칙을 사용하지 마세요. Claude Code의 3단계 권한 시스템(허용 목록, 확인 목록, 차단 목록)을 세밀하게 구성해야 합니다.

기업 환경 보안 강화

5. 커밋 출처 검증 도입: 유출된 코드에서 AI 어트리뷰션을 커밋에서 제거하는 "Undercover Mode" 모듈이 발견되었습니다. AI 지원 코드의 커밋 출처 검증을 반드시 구현하세요. 참고로, Claude Code가 지원한 커밋의 시크릿 유출률은 3.2%로 일반 GitHub 커밋의 1.5%보다 두 배 이상 높다는 분석 결과가 있습니다.

6. MCP 서버를 npm 의존성처럼 관리: MCP 서버를 검증, 고정(pin), 모니터링하세요. 유출된 인터페이스 계약 정보를 활용한 악성 MCP 서버가 등장할 가능성이 있습니다.

7. 세션 길이 제한: 민감한 작업에서는 Claude Code 세션 길이를 제한하세요. 긴 대화 이력을 가진 에이전트는 조작에 상당히 더 취약합니다.

8. 제로 트러스트 접근: 관리자 권한이 아닌 표준 사용자로 Claude Code를 실행하는 것이 기본입니다. 관리자 계정으로 실행하면 프롬프트 인젝션이 전체 시스템 침해로 이어질 수 있습니다. 공유 환경에서는 절대 dangerouslyDisableSandbox를 사용하지 마세요.

9. 엔터프라이즈 후크 관리: allowManagedHooksOnly 설정을 활성화하여 관리자가 배포한 후크만 실행되도록 제한하세요.

2026년 AI 에이전트 보안의 새로운 지형

OWASP는 2026년 에이전틱 AI의 주요 보안 위협을 공식 문서화했으며, Microsoft는 Copilot Studio를 통해 OWASP Top 10 리스크 대응 방안을 발표했습니다. 업계 전반적으로 AI 에이전트에 대한 제로 트러스트 원칙, 행동 모니터링, 인간 검토 체크포인트, 불변 감사 추적 등이 표준으로 자리잡고 있습니다.

Claude Code 유출 사태는 불편하지만 중요한 교훈을 남겼습니다. AI 에이전트의 보안은 AI 모델의 안전성과는 별개의 문제이며, 전통적인 소프트웨어 보안 원칙—최소 권한, 공급망 검증, 심층 방어—이 AI 시대에도 여전히 가장 중요한 방어선이라는 것입니다. 미국 하원의원 Josh Gottheimer가 Anthropic에 안전 프로토콜과 소스코드 유출에 대한 공식 설명을 요구한 것은 이 문제가 단순 기술 이슈를 넘어 정책적 차원으로 확대되고 있음을 보여줍니다.

512,000줄의 코드가 영구히 공개된 지금, 방어자들의 과제는 분명합니다. 공격자가 설계도를 가지고 있다고 가정하고, 그에 맞는 보안 체계를 구축해야 합니다.