팀 전체에서 Claude Code를 관리하는 방법: 다음 CVE 발생 전 해결해야 할 4가지 격차
요약
Claude Code 사용 시 발생할 수 있는 보안 취약점(CVE)을 분석하고, 팀 단위의 안전한 관리를 위한 4가지 거버넌스 전략을 제시합니다. API 키 관리, 트래픽 가시성 확보, 파일 시스템 제어 및 MCP 서버 감사를 통해 에이전틱 도구의 보안 격차를 해소하는 방법을 다룹니다.
핵심 포인트
- CVE 취약점을 통해 리포지토리 설정이 실행 계층의 보안 위협이 될 수 있음을 경고
- AI 게이트웨이(ANTHROPIC_BASE_URL)를 통한 중앙 집중식 트래픽 제어 권장
- AWS Secrets Manager 등을 활용한 API 키 관리 및 보안 강화
- MDM을 통한 파일 시스템 접근 제어 및 설정 잠금 필요성 강조
ANTHROPIC_BASE_URL을 사용하여 AI 게이트웨이를 통해 라우팅하고, MDM을 통해 설정을 잠그며, 비밀 정보에 대한 파일 시스템 접근을 거부하고, MCP 서버를 감사함으로써 Claude Code를 관리하십시오. 2026년에 발생한 두 건의 CVE는 리포지토리 수준의 설정이 실행 계층(execution layer)임을 증명합니다.
핵심 요약 (Key Takeaways)
ANTHROPIC_BASE_URL을 사용하여 AI 게이트웨이를 통해 라우팅하고, MDM을 통해 설정을 잠그며, 비밀 정보에 대한 파일 시스템 접근을 거부하고, MCP 서버를 감사함으로써 Claude Code를 관리하십시오.- 2026년에 발생한 두 건의 CVE는 리포지토리 수준의 설정이 실행 계층임을 증명합니다.
무엇이 변했는가 — Claude Code의 공격 표면을 노출한 두 건의 CVE
2026년 초, Check Point Research는 보안 팀이 거버넌스(governance)를 재고하게 만든 Claude Code의 두 가지 취약점을 공개했습니다:
- CVE-2025-59536 (CVSS 8.7): 클론된 리포지토리 내의 악성
.claude/settings.json파일이 Claude Code가 신뢰 대화 상자를 표시하기도 전에 임의의 셸 명령을 실행할 수 있었습니다. 훅(Hooks)이 사용자 확인 전에 시작 단계에서 실행되었습니다. - CVE-2026-21852 (CVSS 5.3): 악성 리포지토리가 설정 파일을 통해
ANTHROPIC_BASE_URL을 재정의하여, 모든 API 트래픽(개발자의 API 키가 포함된 인증 헤더 포함)을 공격자가 제어하는 서버로 리다이렉션할 수 있었습니다.
두 취약점 모두 패치되었습니다(각각 v1.0.111 및 v2.0.65). 하지만 근본적인 교훈은 남아 있습니다: 에이전틱 도구(agentic tool)에서의 리포지토리 수준 설정은 악성 package.json의 postinstall 스크립트와 마찬가지로 실행 계층의 일부입니다.
여러분에게 의미하는 바 — 4가지 거버넌스 격차
여러 명의 엔지니어가 Claude Code를 사용하고 있다면, 보안 팀도 다음과 같은 동일한 격차를 겪고 있을 가능성이 높습니다:
격차 1: 관리되지 않는 API 키
개발자들은 키를 .bash_profile, 공유된 .env 파일에 저장하거나 개인 계정을 사용합니다. 중앙 집중식 취소 기능도, 감사 추적(audit trail)도 없습니다.
해결책: Anthropic Admin Console을 통해 명시적인 만료 기간이 있는 키를 발급하고, AWS Secrets Manager 또는 HashiCorp Vault에 저장하며, AI 게이트웨이를 통해 라우팅하여 근본적인 Anthropic 자격 증명이 개발자의 기기에 절대 닿지 않도록 하십시오.
격차 2: 중앙 집중식 트래픽 가시성 부재
개발자가 어떤 모델을 호출하고 있는지, 팀별 비용은 얼마인지, 또는 프로덕션 데이터가 프롬프트로 전송되고 있는지 전혀 알 수 없습니다.
해결책: ANTHROPIC_BASE_URL을 게이트웨이(gateway)를 가리키도록 설정하십시오:
export ANTHROPIC_BASE_URL=https://<your-gateway-url>/api/inference/
이 한 줄의 설정만으로 요청 레벨의 트레이스 (traces), 개발자별 속도 제한 (rate limits), 모델 화이트리스트 (allowlisting), 그리고 예산 상한선 (budget caps)을 확보할 수 있습니다.
격차 3: 파일 시스템 제어 부재
Claude Code는 .env, .ssh, ~/.aws/credentials 및 사용자가 접근할 수 있는 다른 모든 파일을 읽을 수 있으며, 해당 콘텐츠가 네트워크로 전송되기 전 프롬프트에 포함될 수 있습니다.
해결책: MDM (macOS의 Jamf, Linux의 Puppet/Ansible)을 통해 managed-settings.json을 배포하십시오:
{
"permissions": {
"disableBypassPermissionsMode": "disable",
...
다음 경로에 배치하십시오:
- macOS:
/Library/Application Support/ClaudeCode/managed-settings.json - Linux:
/etc/claude-code/managed-settings.json
격차 4: 통제되지 않는 MCP 서버
MCP 서버는 Claude Code와 동일한 파일 시스템 권한으로 실행됩니다. 악의적인 MCP 서버는 데이터를 유출하거나 임의의 명령을 실행할 수 있습니다.
해결책: MCP 서버를 허용하기 전에 모든 서버를 감사 (audit) 하십시오. 관리 설정 (managed settings)을 사용하여 설치 가능한 MCP 서버를 제한하십시오. MCP 서버를 샌드박스 (sandboxed) 환경에서 실행하는 것을 고려하십시오.
지금 바로 시도해 보세요 — 거버넌스 체크리스트
- 게이트웨이를 통해 라우팅하십시오 — MDM으로 관리되는 설정에
ANTHROPIC_BASE_URL을 설정하십시오. - 설정을 잠그십시오 —
managed-settings.json을 사용하여 개발자가ANTHROPIC_BASE_URL을 재정의(override)하는 것을 방지하십시오. - 비밀 정보에 대한 접근을 거부하십시오 —
.env,.ssh및 비밀 정보 디렉토리에 대해 파일 시스템 거부 패턴 (deny patterns)을 추가하십시오. - MCP 서버를 감사하십시오 — 팀에서 사용하는 모든 MCP 서버를 검토하고, 승인된 서버에 대해서만 설치를 제한하십시오.
- 분기별로 키를 교체하십시오 — 만료 기간이 있는 API 키를 발급하고, 퇴사 시 즉시 폐기하십시오.
전문가 팁 (Pro tip): 만약 Claude Admin Console의 서버 관리 설정 (server-managed settings)을 사용 중이라면,
ANTHROPIC_BASE_URL이 설정될 때 해당 설정들이 우회됩니다. MDM (Mobile Device Management)을 사용하여 OS 레벨에서 환경 변수 (environment variable)를 배포하십시오. 이렇게 하면 악의적인settings.json에 의해 설정이 덮어쓰여지는 것을 방지할 수 있습니다.
결론 (The Bottom Line)
Claude Code는 웹 앱이 아닙니다. 이는 파일 시스템 권한 (filesystem permissions)을 완전히 가진 터미널 네이티브 에이전트 (terminal-native agent)입니다. .claude/settings.json을 실행 가능한 코드 (executable code)로 취급하고, 모든 트래픽을 게이트웨이 (gateway)를 통해 라우팅하며, 파일 시스템 액세스 (filesystem access)를 엄격히 제한하십시오. CVE (Common Vulnerabilities and Exposures)는 패치되었지만, 위협 모델 (threat model)은 영구적입니다.
출처: dev.to
원문 게시처: gentic.news
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기