Claude Code 배포: 제어 평면(Control Plane)을 먼저 확보하십시오

50만 달러짜리 실수: 대부분의 CTO는 "어떤 개발자에게 Claude Code를 먼저 제공할 것인가?"라고 묻습니다. 올바른 질문은 "에이전트 기반 코딩(agentic coding)이 보이지 않는 프로덕션 동작(production behavior)이 되기 전에 어떤 통제 수단을 확보해야 하는가?"입니다.

Claude Code는 단순한 코딩 도구가 아닙니다. 이는 제어 평면(control-plane)에 관한 결정입니다. Anthropic은 이를 코드베이스를 읽고, 파일을 편집하며, 명령을 실행하고, 관리되는 설정(managed settings) 하에 작동하는 에이전트 시스템(agentic system)으로 정의합니다. 즉, 여러분의 배포 아키텍처(rollout architecture)가 Claude Code를 생산성 증폭기로 만들지, 아니면 컴플라이언스(compliance) 부채로 만들지를 결정합니다.

만약 당신이 CTO, 엔지니어링 부사장(VP of Engineering), 또는 기술 창업자라면, 첫날의 우선순위는 최대의 유연성이 아닙니다. 그것은 **안전한 기본 동작(safe default behavior)**입니다. Anthropic의 자체 보안 가이드라인은 격리(isolation), 최소 권한(least privilege), 그리고 심층 방어(defense in depth)를 권장하며, 이는 여러분이 반신뢰 코드 실행(semi-trusted code execution)에 사용하는 원칙과 동일합니다.

이것이 여러분에게 올바른 배포 순서를 제공합니다. 여러분은 다음 사항들을 먼저 통제해야 합니다:

1. 관리형 정책 (Managed policy)
2. 권한 (Permissions)
3. 훅 (Hooks)
4. MCP 액세스 (MCP access)
5. 플러그인 및 마켓플레이스 소스 (Plugin and marketplace sources)
6. 네트워크 이그레스(Network egress) 및 코드 실행 (code execution)
7. 샌드박싱(Sandboxing), 비밀 정보(secrets), 및 리포지토리 신뢰 (repo trust)

그 외의 모든 것은 그 이후에 이루어집니다.

1. 관리형 설정(managed settings)을 먼저 통제하십시오

이것이 기초입니다.

Anthropic의 설정 문서에 따르면 Claude Code는 관리형 설정(managed settings)을 지원하며, 이러한 관리형 설정은 allowManagedHooksOnly, allowManagedMcpServersOnly, allowManagedPermissionRulesOnly와 같은 통제 수단을 강제할 수 있습니다. 또한 그들은 forceRemoteSettingsRefresh를 문서화하고 있는데, 이는 원격 관리형 설정이 신선하게 가져와질 때까지 CLI 시작을 차단할 수 있으며, 해당 새로고침이 실패할 경우 폐쇄형 실패(fail closed)를 일으킬 수 있습니다.

이것이 CTO가 표준화해야 할 첫 번째 사항입니다.

만약 여러분의 배포가 주로 로컬 개발자의 선호도나 프로젝트 수준의 즉흥적인 대응에 의존한다면, 여러분은 아직 Claude Code 운영 모델을 갖춘 것이 아닙니다. 여러분은 단지 일련의 실험을 하고 있는 것입니다.

해야 할 일

• 관리되는 기준선 (managed baseline)을 정의하십시오.
• 정책 드리프트 (policy drift)가 허용되지 않는 경우, 실패 시 차단 (fail-closed) 방식의 새로고침을 사용하십시오.
• 조직의 정책을 사용자의 편의성과 분리하십시오.
• 프로덕션 사용을 위한 신뢰할 수 있는 단일 원천 (source of truth)으로 관리되는 설정을 지정하십시오.

2. 권한 모드 및 거부 규칙 (deny rules) 잠금

Claude Code의 권한 모델은 많은 팀이 인식하는 것보다 더 강력합니다.

Anthropic은 /permissions를 허용 (allow), 확인 (ask), 거부 (deny) 규칙을 위한 제어 표면 (control surface)으로 문서화하고 있으며, 규칙은 거부 (deny) → 확인 (ask) → 허용 (allow) 순서로 평가됩니다. 또한 default, acceptEdits, plan, auto, dontAsk, bypassPermissions를 포함한 여러 권한 모드도 문서화되어 있습니다.

이는 개인의 선호에 맡겨둘 세부 사항이 아닙니다. 잘못된 권한 기본값은 코딩 어시스턴트를 조직이 의도한 것보다 더 많은 것을 자동 승인하는 워크플로로 조용히 변질시킬 수 있습니다.

해야 할 일

• 배포를 위한 기본 권한 모드를 정의하십시오.
• 명확하게 민감한 작업 및 경로에 대해 거부 규칙 (deny rules)을 사용하십시오.
• bypassPermissions가 허용되는 상황을 제한하십시오.
• auto 모드를 표준화하기 전에 귀하의 환경에 적합한지 검토하십시오.

3. 팀이 표준화하기 전에 훅 (hooks) 잠금

훅 (hooks)은 Claude Code에서 가장 유용한 기능 중 하나입니다. 동시에 가장 민감한 기능 중 하나이기도 합니다.

Anthropic의 훅 문서에 따르면, 훅은 주요 라이프사이클 시점에 셸 명령 (shell commands), HTTP 엔드포인트 (HTTP endpoints), 프롬프트 (prompts) 또는 에이전트 (agents)를 실행할 수 있습니다. 설정 문서에서는 또한 disableAllHooks, allowedHttpHookUrls, 그리고 allowManagedHooksOnly를 통한 관리 전용 훅 동작을 지원합니다.

이는 훅이 단순한 생산성 기능이 아니라, 자동화 표면 (automation surface)임을 의미합니다.

해야 할 일

• 프로젝트 및 플러그인 훅을 허용할지 여부를 결정하십시오.
• 민감한 환경에서는 allowManagedHooksOnly를 사용하십시오.
• allowedHttpHookUrls를 사용하여 HTTP 훅 목적지를 화이트리스트 (allowlist)에 등록하십시오.
• 강제 중단이 필요한 경우 모든 훅을 일시적으로 비활성화하십시오.
• 훅의 소유권과 검토 프로세스를 문서화하십시오.

어떤 훅이 왜 실행되고 있는지 아무도 설명할 수 없다면, 해당 배포는 준비되지 않은 것입니다.

4. MCP 액세스를 허용 목록(Allowlist) 기반의 도달 범위 계층으로 잠금

MCP는 Claude Code가 외부 시스템에 접촉하기 시작하는 지점입니다.

Anthropic의 설정 문서(settings docs)는 MCP 서버에 대한 허용 목록(Allowlists) 및 차단 목록(Denylists)을 지원하며, allowManagedMcpServersOnly 설정을 통해 조직이 관리자가 정의한 허용 목록을 강제할 수 있도록 합니다. 또한 Anthropic의 보안 배포 가이드라인은 네트워크 제어(Network controls)와 신뢰 경계(Trust boundaries)에 대해 신중하게 고려할 것을 권장하는데, 이는 에이전트 시스템(Agentic systems)이 사용자를 대신하여 외부 서비스와 상호작용할 수 있기 때문입니다.

이 지점에서 많은 팀이 너무 빠르게 움직입니다. 그들은 MCP를 이점(Upside)으로만 취급합니다. 하지만 그렇지 않습니다. MCP는 도달 범위(Reach)입니다.

실행할 사항

• 어떤 MCP 서버가 허용되는지 정의하십시오.
• 필요한 경우 위험 요소가 명확한 서버를 명시적으로 차단하십시오.
• 모든 리포지토리(Repo)나 사용자가 각자 자신만의 통합 정책(Integration policy)을 갖게 두지 마십시오.
• MCP 결정을 편의를 위한 토글(Convenience toggles)이 아닌 아키텍처 결정(Architecture decisions)으로 취급하십시오.

5. 플러그인 및 마켓플레이스 정책 잠금

이 사항은 빠르게 중요성이 커지고 있습니다.

Anthropic의 플러그인 문서에 따르면, 공식 Anthropic 마켓플레이스는 Claude Code에서 자동으로 사용할 수 있습니다. 설정 문서 또한 blockedMarketplaces, strictKnownMarketplaces, enabledPlugins, 그리고 pluginTrustMessage를 지원합니다. Anthropic의 공식 플러그인 탐색(Plugin discovery) 문서에서는 사용자가 플러그인을 설치하거나 사용하기 전에 반드시 해당 플러그인을 신뢰할 수 있는지 확인하라고 경고하며, Anthropic이 플러그인에 포함된 MCP 서버, 파일 또는 기타 소프트웨어를 제어하지 않는다고 명시적으로 밝히고 있습니다.

이는 CTO에게 즉각적으로 중요한 문제입니다. 플러그인은 단순한 지름길이 아닙니다. 그것은 기술(Skills), 훅(Hooks), 에이전트(Agents), MCP 서버 및 워크플로 동작(Workflow behavior)의 패키지일 수 있습니다.

실행할 사항

• 승인되지 않은 마켓플레이스를 차단하십시오.
• 플러그인 확산(Plugin sprawl)이 위험 요소인 경우 strictKnownMarketplaces 사용을 고려하십시오.
• 어떤 플러그인 소스가 허용 가능한지 정의하십시오.
• 팀에 더 강력한 설치 경고가 필요한 경우 사용자 정의 신뢰 메시지(Custom trust message)를 추가하십시오.
• 프로덕션 환경에서 사용하기 전에 커뮤니티 플러그인을 검토하십시오.

6. 코드 실행 및 네트워크 이그레스(Egress) 잠금

이것은 Anthropic이 제공하는 가장 명확한 롤아웃 레버(Rollout levers) 중 하나입니다.

Team 및 Enterprise 플랜의 경우, 조직 소유자(Organization owners)가 코드 실행 및 파일 생성을 제어하며, 여러 구성에서 네트워크 액세스는 기본적으로 비활성화되어 있습니다. Anthropic은 또한 이그레스(Egress) 없음, 패키지 매니저 전용 이그레스(Package-manager-only egress), 그리고 패키지 매니저와 특정 도메인 허용 목록(Allowlists)을 포함한 다양한 네트워크 이그레스 모드를 문서화하고 있습니다. 그들은 네트워크 액세스를 비활성화하면 무언가 잘못되더라도 데이터가 Claude의 샌드박스(Sandboxed) 환경을 벗어나는 것을 방지할 수 있다고 명시적으로 밝히고 있습니다.

이것이 바로 CTO가 중앙에서 결정해야 할 통제 방식입니다.

실행 지침

• 워크플로우를 지원하면서도 가장 낮은 수준의 네트워크 설정부터 시작하십시오.
• 팀이 실제로 필요로 하는 도메인만 활성화하십시오.
• 기본값으로 광범위한 인터넷 접속을 허용하는 것을 피하십시오.
• 패키지 설치와 네트워크 이그레스를 코드 생성 자체와는 별개의 결정으로 취급하십시오.

7. 샌드박싱(Sandboxing), 민감한 경로 및 리포지토리 신뢰도 잠금

이 단계에서 롤아웃(Rollout)이 실질적으로 이루어집니다.

Anthropic의 설정 문서에는 관리 전용 읽기 경로(Managed-only read paths)와 같은 파일 시스템 제어를 지원합니다. 그들의 보안 배포 가이드에서는 비밀값(Secrets), 자격 증명 저장소(Credential stores), 민감한 디렉토리에 대한 액세스를 거부할 것과, 가능한 경우 격리(Isolation), 최소 권한(Least privilege), 읽기 전용(Read-only) 액세스 패턴을 사용할 것을 권장합니다. 또한 보안 문서에서는 세션 중에 설정 변경을 감사(Audit)하거나 차단하기 위해 ConfigChange 훅(Hooks)을 사용할 것을 권장합니다.

이는 리포지토리(Repository)를 바라보는 관점도 형성해야 함을 의미합니다. 신뢰할 수 없는 리포지토리는 단순한 코드가 아닙니다. 명령(Instructions), 프로젝트 수준의 설정(Config), 워크플로우를 형성하는 콘텐츠를 포함할 수 있습니다. Claude Code의 전체 위협 모델(Threat model)을 이해하는 것이 매우 중요합니다.

실행 지침

• .env, 비밀값(Secrets), 자격 증명 파일 및 기타 민감한 경로에 대한 액세스를 거부하십시오.
• 기본적으로 샌드박싱(Sandboxing)과 최소 권한(Least privilege) 원칙을 적용하십시오.
• 신뢰할 수 없는 리포지토리를 반신뢰(Semi-trusted) 실행 환경으로 취급하십시오.
• 환경이 민감한 세션 중에는 설정 변경 사항을 감사(Audit)하십시오.

단계별 롤아웃 계획

엔지니어링 조직 전체에 Claude Code를 배포하는 경우, 편의성을 확장하기 전에 안정적인 기반을 구축할 수 있도록 다음 순서에 따라 제어 권한을 잠가야 합니다. 이는 AI 개발 스택(AI dev stack)에서 무엇을 먼저 표준화할지 결정하는 핵심적인 부분입니다.

1단계: 타협 불가능한 기준선 (Non-Negotiable Baseline)

• 관리형 설정 (Managed settings)
• 기본 권한 모드 (Default permission mode)
• 민감한 파일 및 작업에 대한 거부 규칙 (Deny rules)
• 네트워크 송신 정책 (Network egress policy)
• 플러그인 마켓플레이스 정책 (Plugin marketplace policy)

2단계: 동작 제어 (Behavior Control)

• 필요한 경우에만 관리형 훅 (Managed hooks) 사용
• HTTP 훅 허용 목록 (HTTP hook allowlists)
• MCP 서버 허용 목록 및 거부 목록 (MCP server allowlists and denylists)
• 설정 변경 모니터링 (Settings change monitoring)

3단계: 워크플로우 성숙도 (Workflow Maturity)

• 승인된 CLAUDE.md 컨벤션
• 승인된 사용자 정의 명령 (Custom commands)
• 승인된 스킬 및 플러그인
• 무엇을 언제 사용할지에 대한 팀 교육

핵심 요점은 이것입니다: CTO가 Claude Code 배포 시 가장 먼저 잠가야 할 것은 개발자 명단이 아닙니다. 바로 **제어 평면 (Control plane)**입니다. Claude Code로부터 가장 큰 이익을 얻는 조직은, 로컬 실험이 보이지 않는 프로덕션 동작(production behavior)으로 변하기 전에 이러한 제어 사항들을 표준화하는 조직이 될 것입니다.

FAQ

CTO가 Claude Code에서 가장 먼저 잠가야 할 것은 무엇인가요?

관리형 설정 (Managed settings)을 가장 먼저 수행한 다음, 권한, 훅 (hooks), MCP 액세스, 플러그인 소스, 네트워크 송신(network egress), 그리고 민감한 경로 제어 순으로 진행하십시오. Anthropic의 문서는 이 모든 것들을 공식적인 제어 표면 (control surfaces)으로 지원합니다.

왜 관리형 설정부터 시작해야 하나요?

관리형 설정을 통해 조직은 사용자나 리포지토리(repo) 수준의 동작에 의존하는 대신, 중앙에서 정책을 정의할 수 있기 때문입니다. Anthropic은 또한 forceRemoteSettingsRefresh를 통해 실패 시 차단(fail-closed) 방식의 관리형 설정 새로고침을 지원합니다.

훅 (Hooks)이 중앙에서 관리할 만큼 중요한가요?

네, 그렇습니다. 훅은 셸 명령(shell commands), HTTP 엔드포인트, 프롬프트(prompts) 또는 에이전트(agents)를 실행할 수 있으며, Anthropic은 관리형 전용 훅과 HTTP 훅 허용 목록을 지원합니다.

MCP를 기본적으로 널리 활성화해야 하나요?

일반적으로는 아닙니다. MCP는 외부 시스템으로의 도달 범위를 확장하므로, 통합 계층(integration layer)처럼 허용 목록에 추가하고 관리해야 합니다. Anthropic은 이를 위한 관리형 제어 기능을 제공합니다.

플러그인과 커뮤니티 확장 프로그램(extensions)은 어떻게 해야 하나요?

이를 해롭지 않은 부가 기능(add-ons)이 아니라, 설치 가능한 워크플로 소프트웨어(workflow software)로 취급하십시오. Anthropic의 자체 마켓플레이스 문서에서도 사용자가 플러그인을 설치하거나 업데이트하기 전에 반드시 신뢰할 수 있는지 확인하라고 경고하고 있습니다.

팀은 네트워크 이그레스(network egress)에 대해 얼마나 주의를 기울여야 하나요?

매우 주의해야 합니다. Anthropic은 네트워크 액세스를 비활성화하면 데이터가 Claude의 샌드박스 환경(sandboxed environment)을 벗어나는 것을 방지할 수 있다고 밝히고 있으며, Team 및 Enterprise 소유자는 이그레스 정책(egress policy)을 중앙에서 구성할 수 있습니다.

작성자: Dr Hernani Costa | 제공: Core Ventures

원문 게시처: First AI Movers.

기술은 쉽습니다. 하지만 이를 손익(P&L)에 매핑하는 것은 어렵습니다. First AI Movers에서 우리는 단순히 코드를 작성하는 것에 그치지 않고, EU 중소기업(SMEs)을 위한 '경영 신경계(Executive Nervous System)'를 구축합니다.

귀하의 아키텍처는 기술 부채(technical debt)를 만들고 있습니까, 아니면 비즈니스 자산(business equity)을 만들고 있습니까?

👉 AI 준비도 점수 확인하기 (무료 기업 진단)