지루하지만 치명적인 출시 방해 요소 포착하기 — 유출된 키, 누락된 개인정보 처리방침, AI 고지 — Claude Code 내부에서 본 경험

무언가를 출시하려 할 때마다, 항상 똑같이 지루한 문제들이 발목을 잡습니다. 기능의 문제가 아닙니다. 매력적이지 않은 것들이죠. 프론트엔드 번들(bundle)에 포함되어 버린 API 키, AI 채팅 기능이 있지만 고지 사항이 없는 앱, EU 출시를 이틀 앞두고 개인정보 처리방침(privacy policy)이 없는 랜딩 페이지 같은 것들 말입니다.

이 중 어느 것도 어려운 것은 없습니다. 그저 잊어버리기 쉬울 뿐이며, 잊었을 때의 대가는 실질적입니다. App Store 거절, GDPR(개인정보보호법) 불만 제기, 누군가 main.js에서 발견하게 될 유출된 자격 증명(credential) 같은 것들입니다.

그래서 저는 저만의 체크리스트를 만들었습니다. 그러다 수동으로 확인하는 것에 지쳐, 제가 이미 사용 중인 도구인 AI 코딩 에이전트(AI coding agent)에 이를 통합했습니다. 이 포스트는 그 체크리스트(그 자체로도 유용함)와, 이를 MCP를 통해 Claude Code에 연결한 방법에 대한 내용입니다.

실제로 당신을 곤경에 빠뜨리는 지루한 요소들

• 프론트엔드 내의 비밀 정보(Secrets) — "잠시만 쓰려고" 인라인(inline) 처리한 API 키가 번들러(bundler)에 포함됨; 배포된 main.[hash].js 파일에서 sk-, AKIA, sk_live_ 등을 grep으로 검색해 보세요.
• 노출된 .env / .git — 많은 배포 환경에서 /.env 또는 /.git/config를 200 상태 코드로 서빙합니다.
• 보안 헤더(Security headers) — CSP, X-Frame-Options, HSTS, X-Content-Type-Options 누락.
• 개인정보 처리방침(Privacy policy) 및 이용약관 — 스토어에서 요구하며, GDPR도 사실상 요구합니다.
• AI 고지(AI disclosure) — 앱이 AI와 대화한다면 EU AI Act Art. 50, CA SB 243, Apple 5.1.2 규정을 준수해야 합니다.
• 트래커(Trackers) 및 쿠키 동의 — 동의 경로가 없는 픽셀(pixel)은 전형적인 실수 사례입니다.

왜 AI 코딩 도구에 넣었는가 — MCP를 사용하면 AI 클라이언트(Claude Code, Codex, Gemini CLI, Cursor)가 외부 도구를 호출할 수 있으므로, "내 앱을 스캔해줘"라는 말이 실제로 가능해집니다.

60초 설정 방법

claude mcp add --transport http launchtrust https://mcp.launchtrust.co/mcp
(+ Codex config.toml 및 Gemini settings.json 스니펫) → 그 다음: "https://my-app.com의 컴플라이언스(compliance)와 보안을 스캔해줘."라고 명령하세요.

스캔 결과 예시

LaunchTrust 무료 빠른 스캔 — https://my-app.com (HTTP 200)
3개의 격차(gap) · 1개 감지됨 · 9개 감지되지 않음
• [high] 개인정보 처리방침 (Privacy policy) — 발견되지 않음
• [medium] 보안 헤더 (Security headers) — CSP, X-Frame-Options 누락
• [medium] AI 상호작용 고지 (AI interaction disclosure) — 발견되지 않음

두 가지 원칙 — 결코 결과를 지어내지 않습니다 (모든 결과는 페이지의 근거를 추적하며, 결코 "준수함(compliant)"이라고 단정 짓지 않습니다). 이는 컴플라이언스(compliance) 보조 도구이며, 법적 조언이 아닙니다.

직접 시도해 보세요 / 무엇이 누락되었는지 알려주세요 — 피드백 요청 + 오픈 소스(open-source) 링크.