Claude Code 거버넌스: 팀들이 놓치고 있는 200만 달러 규모의 배포 리스크

운영자(operator) 문제는 실재합니다. 거버넌스 프레임워크(governance frameworks) 없이 Claude Code 확장을 설치하는 팀들은 생산성으로 위장된 기술 부채(technical debt)를 쌓고 있습니다.

Claude Code는 더 이상 단순한 스마트 터미널이 아닙니다. Anthropic은 이제 이를 코드베이스를 읽고, 여러 파일에 걸쳐 변경을 수행하며, 테스트를 실행하고, 개발 도구를 사용하며, 구성 가능한 권한 및 안전 제어(safety controls)와 함께 작동할 수 있는 **에이전트 기반 코딩 시스템 (agentic coding system)**으로 제시하고 있습니다. 또한 Anthropic은 이제 훅(hooks), 스킬(Skills), 플러그인(plugins), MCP, 그리고 관리형 설정(managed settings)을 중심으로 확장되는 확장 영역(extension surface)을 지원합니다.

이는 팀들이 문서화(documentation)로부터 필요로 하는 것을 변화시킵니다. 이제 설정 가이드(setup guide)만으로는 충분하지 않습니다. 현재 팀들에게 필요한 것은 운영자 핸드북(operator handbook)입니다.

2026년의 올바른 Claude Code 질문은 "무엇을 설치할 수 있는가?"가 아닙니다. "어떤 것을, 어떤 제어 하에, 배포(rollout)의 어느 단계에서 신뢰해야 하는가?"입니다.

이것이 운영자 문제의 핵심입니다. Anthropic의 현재 문서들은 이미 이러한 변화를 암시하고 있습니다. 스킬(Skills)은 Claude 플랜 전반에 걸쳐 사용할 수 있으며 Claude Code 사용자들에게 베타 버전으로 제공됩니다. 훅(Hooks)은 명령어나 HTTP 엔드포인트를 실행할 수 있으며 관리형 설정(managed settings)을 통해 제한될 수 있습니다. MCP는 Claude Code를 외부 도구 및 시스템으로 확장합니다. 플러그인(Plugins)은 스킬, 에이전트, 훅, MCP 서버 및 기타 구성 요소를 하나의 설치 가능한 단위로 패키징할 수 있습니다. Anthropic의 보안 배포 가이드(secure deployment guidance)는 운영적 프레임워크를 추가합니다: 이러한 에이전트들은 코드를 실행하고, 파일에 접근하며, 파일, 웹페이지 또는 사용자 입력에 의해 영향을 받을 수 있으므로, 팀들은 격리(isolation), 최소 권한(least privilege), 그리고 심층 방어(defense in depth)를 사용해야 합니다.

즉, 운영자 핸드북은 다음 네 가지 질문에 명확히 답해야 합니다:

1. 무엇이 동작을 형성하는가
2. 무엇이 범위를 확장하는가
3. 무엇이 작업을 실행하는가
4. 무엇이 운영 환경의 신뢰를 받을 가치가 있는가

Claude Code의 네 가지 신뢰 표면 (trust surfaces)

1. 동작 형성 표면 (Behavior-shaping surfaces)

이것은 Claude에게 어떻게 작동할지를 알려주는 계층들입니다.

다음이 포함됩니다:

• CLAUDE.md
• 커스텀 명령 (custom commands)
• 스킬 (Skills)
• 훅 (hooks)
• 플러그인에 포함된 스킬 또는 에이전트 (plugin-shipped skills or agents)

Anthropic은 스킬 (Skills)을 워크플로우 및 지식 패키지 (workflow and knowledge packages)로 설명하며, 이는 Claude Code 사용자들을 위해 베타 버전으로 제공됩니다. Anthropic의 플러그인 참조 문서에 따르면, 플러그인은 Claude가 자동으로 발견하고 호출할 수 있는 스킬과 에이전트 (agents)를 추가할 수 있습니다. 훅 (Hooks) 또한 라이프사이클 이벤트 (lifecycle events)에서 자동화를 실행함으로써 동작을 형성할 수 있습니다.

이것이 첫 번째 운영자 교훈입니다:

동작 형성 (Behavior shaping)은 이제 실질적인 제어 표면 (control surface)입니다.

재사용 가능한 지침 (instructions)을 해롭지 않은 프롬프트 조각 (prompt snippets)처럼 취급하는 것은 더 이상 안전하지 않습니다.

2. 액세스 표면 (Access surfaces)

이것은 Claude가 어디까지 접근할 수 있는지를 결정하는 계층입니다.

다음 항목들이 포함됩니다:

• MCP 서버 (MCP servers)
• MCP를 기반으로 구축된 커넥터 (connectors)
• 플러그인 패키지 형태의 MCP 서버 (plugin-packaged MCP servers)
• HTTP 훅 (HTTP hooks)에 의해 사용되는 외부 엔드포인트 (external endpoints)

Anthropic의 설정 문서 (Settings docs)는 allowedMcpServers 및 allowManagedMcpServersOnly를 노출하며, 이는 기업이 필요할 때 MCP 액세스를 중앙에서 거버넌스 (govern)할 것을 기대하고 있음을 명확히 합니다. Anthropic의 보안 배포 가이드 (secure deployment guide) 또한 네트워크 제어 및 프록시 패턴 (proxy patterns)을 권장하는데, 이는 환경이 너무 개방적일 경우 액세스가 데이터 유출 (exfiltration) 리스크가 될 수 있기 때문입니다.

이것이 두 번째 운영자 교훈입니다:

모든 새로운 통합 (integration)은 단순한 기능 확장이 아닙니다. 그것은 도달 범위 (reach)입니다.

3. 실행 표면 (Execution surfaces)

이것은 환경 내에서 실제로 무언가를 수행할 수 있는 계층입니다.

다음 항목들이 포함됩니다:

• bash 명령 (bash commands)
• 파일 쓰기 (file writes)
• 코드 실행 (code execution)
• 네트워크 이그레스 (network egress)
• 훅에 의해 트리거되는 셸 또는 HTTP 액션 (hook-triggered shell or HTTP actions)

Anthropic의 권한 문서 (Permissions docs)는 파일 읽기, bash 명령, 파일 수정이 서로 다른 승인 동작을 갖는 계층형 모델을 설명하며, 명시적인 허용 (allow), 요청 (ask), 거부 (deny) 규칙과 다중 권한 모드 (permission modes)를 제공합니다. Anthropic의 보안 배포 가이드와 내장된 보안 기능 또한 위험한 작업에 대한 샌드박싱 (sandboxing), 정적 분석 (static analysis), 그리고 승인 제어 (approval controls)를 강조합니다.

이것이 세 번째 운영자 교훈입니다:

실행 (Execution)은 결코 습관만으로 거버넌스 되어서는 안 됩니다.

4. 소스 및 업데이트 표면 (Source and update surfaces)

이것은 확장 기능 (extensions)이 어디에서 오는지, 그리고 시간이 지남에 따라 어떻게 변하는지를 결정하는 계층입니다.

다음 항목들이 포함됩니다:

• 공식 마켓플레이스 (official marketplaces)
• 제3자 마켓플레이스 (third-party marketplaces)
• 로컬 개발 마켓플레이스 (local development marketplaces)
• 저장소에 포함된 플러그인 또는 마켓플레이스 설정 (repo-shipped plugin or marketplace configs)
• 플러그인 자동 업데이트 설정 (plugin auto-update settings)

AnthropicPlugin 탐색 문서에 따르면, 공식 Anthropic 마켓플레이스는 기본적으로 자동 업데이트가 활성화되어 있는 반면, 제3자 및 로컬 개발 마켓플레이스는 기본적으로 자동 업데이트가 비활성화되어 있습니다. 또한 해당 문서는 프로젝트 설정을 통한 팀 마켓플레이스 설치 방법을 설명하며, 사용자가 저장소 폴더를 신뢰할 때 해당 마켓플레이스를 설치하도록 권장합니다. Anthropic의 공식 플러그인 디렉토리는 사용자가 플러그인을 설치, 업데이트 또는 사용하기 전에 반드시 해당 플러그인을 신뢰할 수 있는지 확인해야 한다고 경고하며, Anthropic은 플러그인에 포함된 MCP 서버, 파일 또는 기타 소프트웨어를 제어하지 않는다고 명시하고 있습니다.

이것이 네 번째 운영자 교훈입니다:

소스 신뢰(Source trust)와 업데이트 신뢰(update trust)는 동일한 프로덕션 결정의 일부입니다.

기본적으로 무엇을 신뢰할 것인가

많은 팀이 모든 것을 동일하게 신뢰하기 때문에 문제에 직면합니다. 이 표면(surface)은 그런 방식으로 운영되어서는 안 됩니다.

제가 권장하는 신뢰 순서는 다음과 같습니다.

가장 높은 기본 신뢰 (Highest default trust)

• 조직이 소유한 관리형 설정 (managed settings)
• 승인된 퍼스트 파티 (first-party) Claude Code 제어 항목
• 팀이 이미 잘 이해하고 있는 좁은 범위의 내부 워크플로우 (internal workflows)

AnthropicSettings 모델은 명확하게 이를 지원하도록 설계되었습니다. 여기에는 훅 (hooks), MCP, 권한 규칙에 대한 관리 전용 제어 기능과 더불어 마켓플레이스 제한 및 채널-플러그인 허용 목록 (allowlists)이 포함됩니다.

중간 신뢰 (Medium trust)

• 검토된 내부 스킬 (internal skills)
• 검토된 내부 명령 (internal commands)
• 승인된 내부 훅 (internal hooks)
• 명확한 소유권이 있는 승인된 내부 플러그인

이러한 항목들은 지정된 팀이 워크플로우를 소유하고 있으며, 동작 범위가 검토 가능할 정도로 충분히 좁을 때 허용됩니다.

가장 낮은 기본 신뢰 (Lowest default trust)

• 커뮤니티 훅 (community hooks)
• 커뮤니티 플러그인 (community plugins)
• 커뮤니티 MCP 패키지 (community MCP packages)
• 저장소에 의해 트리거되는 마켓플레이스 확장 (repo-triggered marketplace expansion)
• 동작과 도달 범위(reach)를 동시에 변경하는 모든 것

Anthropic의 마켓플레이스 경고 또한 이러한 신중한 태도를 뒷받침합니다. 커뮤니티 패키지에는 스킬 (skills), 에이전트 (agents), 훅 (hooks), MCP 서버 (MCP servers) 등이 포함될 수 있으므로, 가벼운 코드 조각 (snippets)이 아닌 설치 가능한 워크플로우 소프트웨어 (workflow software)처럼 취급해야 합니다.

실제로 작동하는 배포 모델

대부분의 팀은 숙련된 사용자 (power user) 단계에서 조직 전체의 확장 자유 단계로 곧장 뛰어들어서는 안 됩니다.

더 안전한 배포 방식은 다음과 같습니다.

1단계: 개인별 실험 (individual experimentation)

이 단계는 무엇이 실제로 유용한지 배우는 데 사용하십시오.

숙련된 운영자 (strong operators)들이 다음 항목들을 테스트하도록 합니다:

• 좁은 범위의 내부 스킬 (internal skills)
• 선택적인 커스텀 명령 (custom commands)
• 제한된 MCP 액세스 (MCP access)
• 민감하지 않은 리포지토리 (repos)에서의 선택적 훅 (hooks)

아직 표준화하지 마십시오.

2단계: 팀 차원의 표준화 (team-lane standardization)

이 단계에서는 이미 이해된 것들만 표준화합니다.

이 단계에서 선택된 제어 항목들을 다음으로 이동시킵니다:

• 관리형 설정 (managed settings)
• 승인된 MCP 허용 목록 (allowlists)
• 승인된 워크플로우 스킬 (workflow skills)
• 문서화된 명령 (documented commands)
• 팀 소유의 훅 정책 (hook policy)

이 단계에서는 Anthropic의 관리형 설정 (managed settings)이 중요해집니다. allowManagedHooksOnly, allowManagedMcpServersOnly, allowManagedPermissionRulesOnly와 같은 설정이 존재하는 이유는 조직이 결국 하나의 신뢰할 수 있는 정책 소스를 필요로 하기 때문입니다.

3단계: 프로덕션 신뢰 (production trust)

이 단계에서는 더 어려운 질문들을 던지게 됩니다:

• 누가 업데이트를 승인하는가?
• 어떤 마켓플레이스가 허용되는가?
• 어떤 리포지토리 (repos)가 새로운 플러그인 소스를 제안할 수 있는가?
• 어떤 워크플로우가 여전히 실험적인 단계인가?
• 기본적으로 무엇이 차단되는가?

프로덕션 신뢰 (production trust)는 단순히 "도구가 작동한다"는 것과 같지 않습니다. 프로덕션 신뢰란 도구가 조직에 예기치 않은 놀람을 주지 않고 변경될 수 있음을 의미합니다.

염두에 두어야 할 클린 아키텍처 (clean architecture)

가장 단순한 사고 모델은 여전히 3계층 구조입니다:

계층 1: Claude Code 네이티브 제어 (native controls)

다음 항목들을 담당해야 합니다:

• 권한 (permissions)
• 샌드박싱 (sandboxing)
• 설정 (settings)
• 정책 (policy)
• 핵심 워크플로우 경계 (core workflow boundaries)

계층 2: MCP 액세스 (MCP access)

다음 항목들을 담당해야 합니다:

• 외부 시스템 (external systems)
• 외부 데이터 (external data)
• 제어된 도달 범위 (controlled reach)

계층 3: 엣지 최적화 (edge optimization)

이 계층은 다음을 소유해야 합니다:

• 협소한 효율성 도구 (narrow efficiency tools)
• 훅 기반 출력 최적화 (hook-based output optimization)
• 선택적 프록시 또는 셸 압축 레이어 (optional proxies or shell compression layers)

이러한 아키텍처가 중요한 이유는 확장 인터페이스 (extension surfaces)가 하나의 엉망진창인 자동화 더미로 무너지는 것을 방지하기 때문입니다. 이 모델의 더 심층적인 버전은 Agentic Coding Without Chaos: A 3-Layer Architecture를 참조하십시오.

CTO가 프로덕션 배포 전에 요구해야 할 사항

팀이 Claude Code를 진지하게 사용하고자 한다면, 저는 배포를 프로덕션 준비 완료(production-ready)라고 부르기 전에 다음 일곱 가지 사항을 요구할 것입니다:

1. 관리형 설정 (managed settings) 정의
2. 권한 모드 (permission modes) 명시
3. 훅 (hooks) 검토 또는 차단
4. MCP 서버 화이트리스트 등록 (allowlisted)
5. 마켓플레이스 정책 (marketplace policy) 문서화
6. 민감한 경로 및 네트워크 규칙 제한
7. 모든 재사용 가능한 워크플로우 자산에 대한 소유자 지정

Anthropic의 현재 제어 인터페이스 (control surface)는 설정, 권한, 샌드박싱 (sandboxing), 보안 배포 가이드라인 및 마켓플레이스 제어를 통해 이러한 요구 사항을 직접적 또는 간접적으로 모두 지원합니다.

이것이 바로 이 운영 핸드북 (operator handbook)이 중요한 이유입니다. 플랫폼은 이제 취약한 정책이 병목 현상이 될 정도로 충분히 강력해졌습니다.

전략적 시사점

Claude Code는 팀을 위한 진정한 운영 인터페이스 (operating surface)로 성숙해 가고 있습니다. 이는 좋은 소식입니다. 가치가 실재한다는 의미이기 때문입니다. 또한 신뢰 모델 (trust model) 역시 동시에 성숙해야 함을 의미합니다.

Claude Code로부터 가장 많은 이득을 얻는 팀은 가장 많은 확장을 가장 빠르게 설치하는 팀이 아닐 것입니다.

그들은 다음과 같은 팀이 될 것입니다:

• 동작 (behavior)과 액세스 (access)를 분리하는 팀
• 실행 (execution)과 실험 (experimentation)을 분리하는 팀
• 정책을 관리형 제어 (managed controls)로 이동시키는 팀
• 커뮤니티 패키지를 공급망 입력값 (supply-chain inputs)처럼 취급하는 팀
• 프로덕션 신뢰를 명시적으로 만드는 팀

이것이 바로 운영자 마인드셋 (operator mindset)입니다. 그리고 2026년에는 그 마인드셋이 또 다른 영리한 프롬프트보다 더 중요해질 것입니다.

실험에서 관리된 배포로의 전환

Claude Code와 같은 도구의 제어 표면 (control surfaces)을 이해하는 것이 첫 번째 단계입니다. 그다음 단계는 팀이 이를 안전하고 효과적으로 사용할 수 있도록 하는 운영 모델 (operating model)을 구축하는 것입니다.

만약 AI 개발 스택을 정의하고 있으며, 흩어진 도구들로부터 거버넌스가 갖춰진 생산적인 워크플로 (workflow)로 나아가는 명확한 경로가 필요하다면, 당사의 AI 준비도 평가 (AI Readiness Assessment)가 도움이 될 수 있습니다. 당사는 귀사의 현재 상태를 매핑하고, 리스크를 식별하며, 성공적인 배포에 필요한 운영적 명확성을 구축할 수 있도록 지원합니다.

FAQ

팀들이 Claude Code 확장 기능 (extensions)을 사용할 때 저지르는 가장 큰 실수는 무엇인가요?

기술 (skills), 훅 (hooks), 플러그인 (plugins)을 행동을 형성하는 소프트웨어 표면 (software surfaces)이 아닌, 해롭지 않은 생산성 업그레이드로 취급하는 것입니다. Anthropic의 현재 문서에 따르면 플러그인은 기술 (skills), 에이전트 (agents), 훅 (hooks), 그리고 MCP 서버를 하나로 묶을 수 있다고 명시되어 있습니다.

기술 (Skills)을 프로덕션 환경에서 사용해도 안전한가요?

일부는 안전합니다. 특히 명확한 소유권이 있는 좁은 범위의 내부 기술 (internal skills)이 그러합니다. Anthropic은 기술 (Skills)을 재사용 가능한 워크플로 및 지식 패키지로 정의하며, 현재 Claude Code 사용자들을 대상으로 베타 서비스 중입니다. 진짜 문제는 기술 (Skills)의 존재 여부가 아니라, 그 이면에 있는 워크플로가 검토되고 소유되고 있는지 여부입니다.

훅 (hooks)이 기술 (skills)보다 더 위험한가요?

일반적으로 그렇습니다. 훅 (hooks)은 라이프사이클 이벤트 (lifecycle events) 발생 시 셸 명령 (shell commands)이나 HTTP 엔드포인트 (HTTP endpoints)를 실행할 수 있으므로, 재사용 가능한 문서보다는 권한이 부여된 자동화 (privileged automation)에 더 가깝습니다.

커뮤니티 플러그인을 기본적으로 허용해야 하나요?

아니요. Anthropic의 공식 플러그인 디렉토리는 사용자가 플러그인을 설치, 업데이트 또는 사용하기 전에 반드시 신뢰할 수 있는지 확인하라고 명시적으로 경고하고 있으며, Anthropic은 플러그인에 포함된 MCP 서버, 파일 또는 기타 소프트웨어를 제어하지 않는다고 밝히고 있습니다.

무엇을 가장 먼저 중앙에서 관리해야 하나요?

훅 (hooks), MCP 허용 목록 (allowlists), 권한 규칙 (permission rules), 마켓플레이스 제한 (marketplace restrictions), 그리고 민감한 경로 보호 (sensitive-path protections)가 중앙 관리의 가장 강력한 첫 번째 후보들입니다. Anthropic의 관리형 설정 모델 (managed settings model)은 이 모든 것을 지원합니다.

이것이 더 광범위한 팀 배포 가이드를 대체하는 것인가요?

아니요. 이 가이드는 더 좁은 범위의 신뢰 및 제어 핸드북 (trust-and-controls handbook)입니다. 더 광범위한 운영 모델 (operating model)에 대해서는 Claude Code for Teams in 2026: The Risk-Aware Operating Model부터 시작하세요.

추가 읽을거리

• The Claude Code Threat Model: Hooks, MCP, Skills, and Untrusted Repos
• What CTOs Should Lock Down First in a Claude Code Rollout
• Should You Trust Community Claude Skills and Hooks in Production Yet?

작성자: Dr Hernani Costa | 제공: Core Ventures