공신부 NVDB 경고: Claude Code 백도어 위험(2.1.91–2.1.196) 기술 분석과 개발자 조치 가이드
누가, 어떤 문제에 직면했나요? Claude Code를 쓰는 Mac·iOS 개발자와 기업 IT·보안 담당자가 2026년 7월 8일 중국 공신부 NVDB의 「위해 심각」 정성을 받았습니다. 본문이 제공하는 것: 2월~7월 전체 타임라인, 스테가노그래피 3단계 분해, NVDB·Anthropic·알리바바 삼자 입장 대조, 버전 점검 터미널 명령, 7단계 컴플라이언스 조치·개인 6항·기업 7항 체크리스트, FAQ 10문, 격리 Mac 검증 경로입니다.
📋 목차
⚠️ 본문은 NVDB 2026년 7월 8일 공고, IT之家·新京报·人民网·36氪 등 공개 보도, thereallo.dev 역어셈블리 보고를 교차 정리했습니다. Anthropic의 동기는 커뮤니티·언론 추론이며 규제 기관의 확인 사실이 아닙니다. 데이터 기준일: 2026년 7월 9일. 기술 역분석 세부는 Claude Code 스테가노그래피 사건 전면 해설을 참고하세요. 본편은 규제 서사와 기업 컴플라이언스 조치에 초점을 둡니다.
01 · NVDB 경고 핵심 요약
2026년 7월 8일, 중국 공업정보화부(MIIT) 산하 국가정보안전 취약점 라이브러리(NVDB)가 위험 통보를 발표했습니다. 미국 Anthropic이 개발한 AI 프로그래밍 도구 Claude Code에 보안 백도어 위험이 있으며 위해가 심각하다고 정성했습니다. 영향 버전은 v2.1.91~v2.1.196이며, 내장 감시 메커니즘이 사용자 동의 없이 원격 서버로 지역·신원 식별자 등 민감 정보를 전송할 수 있다고 명시했습니다.
| 차원 | 핵심 |
|---|---|
| 규제 정성 | NVDB가 Claude Code에 대해 「위해 심각」 공식 정성을 최초 부여 (2026-07-08) |
| 영향 버전 | 2.1.91 (2026-04-02 배포) ~ 2.1.196 (2026-06-29 배포), 총 106개 패치 버전 |
| 수정 버전 | Anthropic이 7월 1~2일 2.1.197 배포·제거; 7월 8일 기준 최신 2.1.204 |
| 기술 메커니즘 | 시스템 프롬프트 스테가노그래피: 날짜 구분자 + Unicode 아포스트로피 인코딩 + 147건 XOR+base64 블랙리스트 |
| 미공개 기간 | 2026년 3월 도입~6월 30일 공개까지 약 3개월 changelog·개인정보처리방침에 미기재 |
| 트리거 조건 | ANTHROPIC_BASE_URL이 비공식 엔드포인트(프록시·게이트웨이·재판매)를 가리킬 때만 작동 |
| 기업 연쇄 반응 | 알리바바 7월 10일부터 Claude Code 전면 금지, 자사 Qoder 전환 권고 |
| 핵심 수치 | HN 토론 350+ points; 증류 분쟁 약 25,000 허위 계정·2,880만 회 대화 (Anthropic 주장) |
02 · 3대 핵심 과제: 개발자·기업이 즉시 움직여야 하는 이유
- 규제 정성 확정, 컴플라이언스 비용 급증. NVDB의 「위해 심각」은 언론 과장이 아닙니다. 국내 기업이 등급 보호·공급망 심사·소프트웨어 화이트리스트를 수행할 때 개발 단말에 2.1.91~2.1.196이 설치되지 않았음을 증명하고 외부 연결 트래픽 모니터링을 강화해야 합니다. 알리바바 7월 10일 금지는 선례일 뿐이며, 더 많은 테크 기업이 후속 조치를 취할 수 있습니다.
- 은닉 채널은 평문 유출보다 탐지가 어렵다. 역어셈블리에 따르면 감시 신호는 시스템 프롬프트의 구두점에 숨겨집니다—날짜 구분자가
-에서/로 바뀌고,Today's의 아포스트로피가 4종 Unicode 문자로 전환됩니다. 방화벽·DLP는 payload 키워드만 스캔하므로 이런 스테가노그래피 마커를 가로챌 수 없습니다. 바이너리 역분석이나 A/B 시스템 프롬프트 대조만이 발견 경로입니다. - 주력 Mac에 다중 CLI가 섞이면 검증 지옥. 격리 환경에서 공식 엔드포인트 vs 프록시 엔드포인트의 시스템 프롬프트 차이를 비교하고
ANTHROPIC_BASE_URL·shell 설정 잔여물을 감사하려면, 주력 Mac에서 회사 VPN·Homebrew 다중 Node·일상 Keychain을 함께 돌리면 한 번의 실험이 수주간 트러블슈팅 기선을 오염시킵니다. Claude Code 스테가노그래피 기술 역분석에서 다룬 고통과 동일하지만, 본편은 규제 대응·기업 컴플라이언스에 초점을 둡니다.
03 · 전체 타임라인 (2026년 2월–7월)
| 시점 | 사건 |
|---|---|
| 2026년 2월 | Anthropic과 중국 AI 업체 간 모델 접근·수출 통제(Fable 5) 마찰 지속; 일부 기업이 프록시 게이트웨이로 Claude API 접근 시작 |
| 2026년 3월 | Thariq Shihipar 사후 설명에 따르면 Claude Code 팀이 무허가 재판매·증류 방지 목적의 「실험적」감시 메커니즘 도입 |
| 2026년 4월 초 | Anthropic, 알리바바 Qwen 팀의 산업 규모 모델 증류 공격 공개 비난; 약 25,000 허위 계정·2,880만 회 대화 (4~6월) |
| 2026년 4월 2일 | Claude Code v2.1.91 배포, 스테가노그래피 감시 로직 내장; changelog 미언급 |
| 2026년 4월 18일 전후 | 프라이버시 컨설턴트 Alexander Hanff, Claude Desktop 브라우저 Native Messaging 무단 기록 공개 (사건 A, The Register) |
| 2026년 4월 | 독립 컨설턴트 Noah Kenney 사건 A 재현 확인; 안천실험실(Antiy Labs) Claude Desktop 고권한 채널 위험 보고서 발표 |
| 2026년 4~6월 | Claude Code 2.1.92~2.1.196 지속 배포, 스테가노그래피 로직 유지·release notes 미공개 |
| 2026년 6월 30일 | 개발자 thereallo.dev에서 Claude Code 역어셈블리 보고 공개, Reddit → Hacker News 확산 (350+ points) |
| 2026년 7월 1일 | Anthropic v2.1.197 배포, 언론 보도상 스테가노그래피 코드 제거; changelog 미명시 |
| 2026년 7월 2일 | Thariq Shihipar SNS에서 「실험적」조치 인정·삭제 발표; 보안 연구원 Adnane Khan 독립 검증으로 메커니즘 확인 |
| 2026년 7월 3~4일 | 알리바바 내부 공지: 7월 10일부터 Claude Code·Anthropic 전 제품 금지, Qoder 권고; 华尔街见闻·36氪·第一财经 후속 보도 |
| 2026년 7월 8일 | NVDB 위험 통보 발표, 「위해 심각」정성; IT之家·新京报·人民网·China Daily·CNBC 등 보도 |
| 2026년 7월 10일 | 알리바바 금지령 공식 발효; 직원은 Claude Code·Sonnet·Opus·Fable 등 Anthropic 제품 제거 의무 |
04 · NVDB 공고 요점과 조치 권고
NVDB 공고 핵심 표현 (IT之家·新京报·人民网 인용): Claude Code는 텍스트 요구에 따라 코드 작성·수정을 자율 수행하지만, 내장 감시 메커니즘이 사용자 동의 없이 원격 서버로 지역·신원 식별자 등 민감 정보를 전송할 수 있다고 명시했습니다.
NVDB는 두 층위의 조치를 권고합니다:
- 단말 점검: 개발 단말 전수 조사로 2.1.91~2.1.196 설치 여부 확인; 설치된 경우 즉시 제거 또는 백도어 코드가 제거된 최신 안전 버전으로 업그레이드.
- 네트워크 통제: 핵심 업무 망 내 개발 도구의 외부 연결 권한 통제와 트래픽 모니터링 강화로 민감 데이터 무단 외부 전송 방지.
이는 공신부가 NVDB를 통해 해외 AI 개발 도구에 대해 내린 최초의 명확한 규제 경고로, Claude Code가 「커뮤니티 논쟁」에서 「기업 컴플라이언스 필수 과제」로 전환되었음을 의미합니다.
05 · 트리거 조건: 비공식 ANTHROPIC_BASE_URL에서만 작동
이 사건에서 가장 중요하고 언론 헤드라인이 오해하기 쉬운 기술 세부입니다. thereallo.dev 역어셈블리 보고와 Adnane Khan 독립 검증에 따르면:
스테가노그래피 감시 로직은 ANTHROPIC_BASE_URL이 api.anthropic.com 이외의 엔드포인트를 가리킬 때만 트리거됩니다. 전형적 시나리오:
- 기업 API 게이트웨이·리버스 프록시 (Anthropic으로 요청 전달)
- 제3자 API 재판매 서비스 (OpenAI 호환 레이어, 국내 중계 노드)
- 개발자가
.zshrc·.bashrc·CI 환경 변수에 Base URL 커스터마이즈
https://api.anthropic.com에 직접 연결하면 시스템 프롬프트의 Today's date is... 행이 변경되지 않습니다. 사실 검증에서 반드시 강조할 경계—「모든 Claude Code 사용자가 감시된다」는 사실이 아닙니다.
06 · 스테가노그래피 3단계 기술 분해
트리거 조건이 충족되면 Claude Code는 매 API 요청의 시스템 프롬프트에 3층 은닉 신호를 삽입합니다. Unicode 대조표 등 상세 역분석은 Claude Code 스테가노그래피 사건 전면 해설을 참고하세요. 본절은 NVDB 경고 맥락에서 핵심 메커니즘만 재서술합니다:
1단계: 날짜 구분자 전환 (지역 신호)
시스템 타임존이 Asia/Shanghai 또는 Asia/Urumqi이면 날짜 형식이 2026-07-08에서 2026/07/08로 바뀝니다. 사람 눈과 LLM 모두 차이를 감지하기 어렵지만 Anthropic 서버는 판독 가능합니다.
2단계: Unicode 아포스트로피 인코딩 (신원 분류)
Today's의 아포스트로피가 4종 Unicode 문자로 전환되어 서로 다른 히트 상태를 인코딩합니다:
| 히트 조건 | 아포스트로피 문자 | Unicode |
|---|---|---|
| 기본 (미히트) | ' ASCII 아포스트로피 | U+0027 |
| 중국 기관·딜러 도메인 히트 | ' 오른쪽 작은따옴표 | U+2019 |
| AI 랩 키워드 히트 | ʼ 수식어 아포스트로피 | U+02BC |
| 도메인·랩 동시 히트 | ʹ 수식어 각분음 | U+02B9 |
3단계: 147건 XOR+base64 블랙리스트 규칙
도메인·키워드 목록은 base64 + XOR(91) 경량 난독화로 약 147건 규칙을 구성합니다. deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai 등 중국 AI 랩 관련 문자열을 포함합니다. 프로그램이 사용자 환경의 프록시 호스트명·DNS 해석 결과와 대조해 Unicode 인코딩 조합을 결정합니다.
요약: 전통적 의미의 「소스 코드를 낯선 서버에 업로드」가 아니라, 매 API 요청 시스템 프롬프트에 육안으로 보이지 않는 분류 마커를 삽입해 Anthropic 백엔드가 「이 요청이 중국 관련 프록시를 거쳤는지·증류 의심 시나리오인지」를 식별하게 합니다.
07 · 정상 텔레메트리와의 경계: 4가지 구분
Anthropic과 일부 언론은 이를 「남용 방지 텔레메트리」라고 변명합니다. 규제·기업 컴플라이언스 관점에서 NVDB가 「백도어 위험」으로 정성한 기술 근거는 다음 4가지입니다:
- 공시·동의 부재. 정상 제품 텔레메트리는 개인정보처리방침·이용약관·설정 패널에 수집 항목을 명시하고 종종 비활성화 스위치를 제공합니다. Claude Code 스테가노그래피는 2026년 3월 도입~6월 30일 공개까지 약 3개월 changelog·릴리스 노트·사용자 문서에 없었습니다.
- 캐리어·프로토콜 이상. 일반 텔레메트리는 독립 analytics 필드·HTTP 헤더·표준 telemetry SDK를 사용합니다. 본 사건은 분류 신호를 시스템 프롬프트의 구두점 Unicode 코드 포인트에 숨겨 은닉 채널(covert channel)을 구성—방화벽·DLP가 통상 규칙으로 가로채기 어렵습니다.
- 선택적 은밀 트리거. 정상 텔레메트리는 전 사용자에게 일관 적용(또는 구독 등급별)됩니다. 본 사건은 비공식
ANTHROPIC_BASE_URL을 설정한 사용자에게만 프롬프트를 변조—같은 버전이라도 사용자별 비대칭 감시가 발생합니다. - 코드 난독화·역분석 대응. 도메인 블랙리스트는 base64+XOR(91) 난독화, 아포스트로피는 시각적으로 유사한 문자로 인코딩—정적 분석·사용자 검토 회피 의도가 분명합니다. 「투명·감사 가능한 남용 탐지」와 정반대이며 malware-adjacent 구현에 가깝습니다.
08 · 삼자 입장 대조: NVDB · Anthropic · 알리바바
| 주체 | 시점 | 핵심 표현 | 조치 |
|---|---|---|---|
| NVDB (공신부) | 2026-07-08 | 「보안 백도어 위험 존재, 위해 심각」; 동의 없이 지역·신원 식별자 전송 가능 | 즉시 점검·제거·업그레이드 권고; 외부 연결 통제·트래픽 모니터링 강화 |
| Anthropic Thariq Shihipar |
2026-07-02 | 2026년 3월 도입 「실험적」조치 인정; 무허가 계정 재판매·모델 증류 방지 목적 | 7월 2일 신규 버전에서 삭제; changelog에 제거 사실 미명시 |
| 알리바바 | 공지 07-03 발효 07-10 |
백도어 위험 종합 평가 후 고위험 소프트웨어 등재; 사무 환경 Claude Code·Anthropic 전 제품 금지 | 전 직원 기한 내 제거; 자사 Qoder를 Agent 프로그래밍 대안으로 권고 |
09 · 미중 모델 증류 전쟁 배경: Anthropic이 「태깅」한 이유
Claude Code 스테가노그래피 동기를 이해하려면 2026년 초 미중 AI 대립 맥락이 필요합니다. 공개 보도의 핵심 사실 연쇄:
- Anthropic 공개 비난: 알리바바 Qwen 팀이 약 25,000개 허위 계정으로 2026년 4~6월 약 2,880만 회 Claude 대화를 생성해 사상 최대 규모 모델 증류 공격 수행 (CNBC·南华早报·TechCrunch).
- 알리 반격: 알리바바는 미 국방부를 상대로 「중국 군사 기업 명단」제외 소송; 동시에 내부에서 Claude·GPT 등 외부 모델 사용·대액 경비 환급을 장려—일부 개발자는 주당 수백 달러 한도를 소진.
- 수출 통제 마찰: Anthropic Fable 5 등 모델이 미국 수출 통제 대상이 되면서 중국 개발자가 프록시 게이트웨이로 Claude API에 접근하는 구조적 원인이 커짐—
ANTHROPIC_BASE_URL비공식 엔드포인트 다발의 배경. - 커뮤니티 주류 판단 (비공식): Claude Code 스테가노그래피는 증류·재판매에 대한 반제 수단—목적은 이해 가능하나 미공개·의도적 난독화·구두점 은닉 구현이 개발자 도구 신뢰 경계를 넘어 NVDB 규제 정성을 촉발.
AI 코딩 도구 대안 비교는 Cursor·Claude·Copilot·Gemini 프로그래밍 어시스턴트 비교를 함께 검토하세요. Agent 오케스트레이션 보안은 JADEPUFFER Langflow 랜섬웨어 사건의 격리 배포 사례와 병행 점검하는 것이 좋습니다.
10 · 사실 검증과 위험 경계: 맞는 것·아닌 것
규제 경고와 커뮤니티 공포 사이에서 기술 독자는 다음 6가지를 정확히 구분해야 합니다:
| 흔한 주장 | 검증 결과 |
|---|---|
| 「모든 Claude Code 사용자가 감시된다」 | 부정확. ANTHROPIC_BASE_URL ≠ api.anthropic.com일 때만 트리거; 공식 엔드포인트 직결은 영향 없음 |
| 「소스 코드가 낯선 서버에 업로드된다」 | 공개 증거 없음. 확인된 것은 시스템 프롬프트 분류 마커가 정상 API 요청과 함께 Anthropic 서버로 전달 |
| 「전통적 악성 백도어다」 | 부분적으로 맞음. NVDB는 「백도어」정성; 기술 커뮤니티는 covert channel·은닉 채널 선호. 원격 코드 실행·C2 지속화 특징 없음 |
| 「웹 Claude(브라우저 버전)도 영향받는다」 | 해당 없음. 스테가노그래피는 Claude Code CLI 바이너리에 존재, 웹 Claude(브라우저 버전) 아님 |
| 「2.1.197이 완전히 수정됐다」 | Anthropic은 제거했다고 하나 changelog 미확인. 2.1.204+ 업그레이드·격리 환경 검증 권장 |
| 「알리 금지는 API만, 클라이언트 아님」 | 금지는 Claude Code 클라이언트·Anthropic 전 모델 제품 포함; API 접근은 사내 네트워크 정책에 따라 달라질 수 있음 |
11 · 버전 대조표: 처리 대상 vs 안전
| 버전 | 배포일 | 스테가노그래피 | 권장 조치 |
|---|---|---|---|
< 2.1.91 | 2026-04-02 이전 | 없음 | 최신판 업그레이드 권장 |
| 2.1.91 – 2.1.196 | 04-02 ~ 06-29 | 있음 (NVDB 경고 범위) | 즉시 업그레이드 또는 제거 |
| 2.1.197 | 2026-07-01 | 보도상 제거 (changelog 미확인) | 업그레이드 후 검증 |
| 2.1.198 – 2.1.203 | 2026-07-02 ~ 07-07 | 보도상 없음 | 사용 권장 |
| 2.1.204+ | 2026-07-08~ | 보도상 없음 | 권장 버전 |
12 · 언론 표현 대조표
| 매체·출처 | 핵심 표현 | 초점 |
|---|---|---|
| NVDB / 人民网 | 「보안 백도어 위험」「위해 심각」 | 규제 컴플라이언스·기업 점검 |
| IT之家 / 新京报 | 「감시 메커니즘」「동의 없는 민감 정보 전송」 | 기술 메커니즘 + 알리 금지 타임라인 |
| 36氪 / 智东西 | 「공신부 최초 정조」 | 산업 영향·국산 대체 (Qoder) |
| CNBC / China Daily | 「backdoor risk」「unauthorized data transmission」 | 국제 시각·지정학적 갈등 |
| Ars Technica | 「covert tracking」「prompt steganography」 | 기술 심층·개발자 신뢰 경계 |
| The Register | 「changes software permissions without consent」(사건 A) | Claude Desktop 고권한 채널 |
| TechCrunch | 「distillation attack」「Alibaba ban」 | 증류 전쟁·알리 금지 산업 영향 |
| Hacker News | 「prompt steganography」「malware-adjacent」 | 개발자 커뮤니티 윤리 논쟁 |
| thereallo.dev | 「covert information channel」 | 바이너리 역분석·함수 수준 코드 복원 |
13 · 위험 평가 매트릭스
| 사용자 상황 | 스테가노그래피? | 규제 위험 | 우선순위 |
|---|---|---|---|
| 공식 API + 최신 2.1.204+ | 아니오 | 낮음 | 정기 업데이트 |
| 공식 API + 2.1.91–2.1.196 | 아니오 | 중 (버전 컴플라이언스) | 2.1.204+ 업그레이드 |
| 프록시 Base URL + 2.1.91–2.1.196 | 예 | 높음 | 즉시 업그레이드 또는 제거 |
| 프록시 Base URL + 2.1.197+ | 보도상 아니오 | 중 | 격리 환경 검증 후 사용 |
| 국내 기업 사무 네트워크 (모든 버전) | Base URL에 따라 | 높음 (컴플라이언스) | NVDB+사내 규정 준수; Qoder·Cursor 등 대안 검토 |
| 알리바바 직원 (7/10 이후) | — | 금지 | 전면 제거, Qoder로 이전 |
14 · 터미널 명령: 버전 점검·업그레이드·완전 제거
아래 명령은 macOS 터미널용입니다. 제거 전 ~/.claude에서 필요한 설정을 백업하세요 (API Key 평문 제외).
14.1 현재 버전 확인
14.2 ANTHROPIC_BASE_URL 감사
14.3 최신 안전 버전으로 업그레이드
14.4 완전 제거
15 · 7단계 컴플라이언스 조치
- 단말·버전 인벤토리: 모든 개발자 Mac·CI Runner·원격 빌드 노드에서
claude --version실행, 버전 목록을추출하고 2.1.91~2.1.196 노드를 표시합니다. - ANTHROPIC_BASE_URL 감사: shell 설정·CI 시크릿·Docker Compose·Kubernetes ConfigMap의 Base URL을 점검해 비공식 프록시 경유 여부를 확인합니다.
- 즉시 업그레이드 또는 제거: 영향 버전에
npm install -g @anthropic-ai/claude-code@latest또는 상기 완전 제거 절차를 실행합니다. - 외부 연결 통제 강화: 핵심 업무 망에 개발 도구 아웃바운드 화이트리스트를 배포하고, 미승인 API 엔드포인트를 차단·TLS 트래픽 모니터링·이상 알림을 활성화합니다.
- 대안 평가: 기업은 Qoder(알리 계열)·Cursor·GitHub Copilot 등을 평가합니다. 비교표는 AI 코딩 어시스턴트 비교를 참고하세요.
- 격리 환경에서 수정 검증: 깨끗한 macOS 노드에 Claude Code를 재설치하고 공식 vs 프록시 엔드포인트 A/B 테스트로 시스템 프롬프트 diff를 캡처해 스테가노그래피 잔여가 없음을 확인합니다.
- 보안 정책·직원 통보 갱신: NVDB 경고를 내부 소프트웨어 화이트리스트 심사에 반영하고, 영향 버전 설치 직원에게 기한 내 시정 통지·감사 기록을 보존합니다.
16 · 개인 개발자 자가 점검 (6항)
독립 개발자·프리랜서·소규모 팀 기술 책임자용—30분 내 1차 점검 가능:
- 버전 확인:
claude --version실행, 2.1.91~2.1.196이면 즉시 2.1.204+ 업그레이드 또는 제거. - Base URL 감사:
echo $ANTHROPIC_BASE_URL실행 후 모든 shell 설정·프로젝트.env를 grep; 비공식 엔드포인트 사용 이유·데이터 흐름을 기록. - 타임존·프록시 경로: 시스템 타임존이
Asia/Shanghai/Asia/Urumqi인지 확인하고 날짜 구분자 인코딩과의 중첩을 이해. - 제거 잔여물 정리: 중단 시
npm uninstall -g @anthropic-ai/claude-code후~/.claude삭제. - 대안 도구 평가: Cursor·Copilot·Gemini 비교로 개인 워크플로에 맞는 방안 선택.
- 격리 검증 (권장): 임대·예비 Mac에서 「공식 vs 프록시」A/B 테스트를 재현하고 스크린샷을 자가 점검 기록으로 보존.
17 · 기업 IT 컴플라이언스 (7항)
보안팀·IT 운영·컴플라이언스 책임자용—NVDB 통보·공급망 감사 요구에 대응:
- 자산 인벤토리: MDM·단말 관리·Ansible 스크립트로
claude --version·ANTHROPIC_BASE_URL을 일괄 수집해 영향 단말 목록 생성. - 소프트웨어 화이트리스트 갱신: Claude Code 2.1.91~2.1.196을 설치 금지 버전에 등재; 알리 7월 10일 금지를 참고해 Anthropic 클라이언트 전면 금지 여부 평가.
- 네트워크 egress 정책: 개발 VLAN에 API 아웃바운드 화이트리스트 적용;
api.anthropic.com이외 TLS 연결·이상 DNS 해석 모니터링. - 키·설정 로테이션: 프록시 경유 Claude API 사용 이력이 있으면 API Key 유출 위험 평가·정책에 따른 로테이션; CI/CD Base URL 환경 변수 정리.
- 직원 통보·시정 기한: NVDB 정성·시정 마감일·컴플라이언스 책임자를 명시한 내부 보안 공지 발행·수신 기록 보존.
- 대안 PoC 착수: Qoder·Cursor·Copilot 또는 프라이빗 모델 PoC를 시작하고 감사용 선정 근거를 문서화.
- 검수·아카이브: 격리 환경 업그레이드 검증 후 버전 스크린샷·제거 로그·네트워크 정책 변경서를 등급보호·ISO 27001 증거 저장소에 보관.
18 · FAQ (10문)
공신부 NVDB 경고의 영향 버전은 무엇인가요?
Claude Code v2.1.91~v2.1.196입니다. 2.1.91은 2026년 4월 2일, 2.1.196은 6월 29일에 배포되었습니다. Anthropic은 7월 1~2일 2.1.197에서 관련 코드를 제거했습니다.
모든 Claude Code 사용자가 감시 대상인가요?
아닙니다. 역어셈블리에 따르면 ANTHROPIC_BASE_URL이 api.anthropic.com 이외를 가리킬 때만 스테가노그래피가 작동합니다. 공식 API 직결 사용자는 영향이 없습니다.
이것은 데이터 유출인가요?
현재 공개 증거 없음—소스 코드·대화 내용 직접 업로드는 확인되지 않았습니다. 확인된 것은 시스템 프롬프트에 지역·신원 분류 마커가 삽입되는 은닉 채널이며, NVDB는 이를 심각한 백도어 위험으로 정성했습니다.
알리바바는 왜 Claude Code를 금지했나요?
알리바바는 7월 초 내부 공지로 백도어 위험을 종합 평가해 고위험 소프트웨어로 분류했고, 7월 10일부터 사무 환경 사용을 금지하며 자사 Qoder를 권고했습니다.
Anthropic 공식 입장은 무엇인가요?
Claude Code 팀원 Thariq Shihipar가 3월 도입 실험적 조치임을 인정했습니다. 무허가 재판매·증류 방지 목적이며 7월 2일 신규 버전에서 삭제했으나 changelog에는 명시되지 않았습니다.
스테가노그래피 기술 원리는 무엇인가요?
Today's date is... 행에서 날짜 구분자와 Unicode 아포스트로피(U+0027/U+2019/U+02BC/U+02B9)를 전환하고, 147건 base64+XOR(91) 블랙리스트로 사용자 분류를 인코딩합니다.
Claude Desktop 브라우저 주입과 관련이 있나요?
별개 사건입니다. 4월 Hanff가 공개한 Claude Desktop Native Messaging 주입이 사건 A, 6월 thereallo.dev의 Claude Code 시스템 프롬프트 스테가노그래피가 사건 B입니다. NVDB 경고는 주로 사건 B를 대상으로 합니다.
기업은 어떻게 컴플라이언스 조치를 해야 하나요?
NVDB 권고를 따릅니다: 버전 점검, 업그레이드·제거, 외부 연결 통제·트래픽 모니터링 강화. 본문 15~17절의 7단계·개인 6항·기업 7항 체크리스트를 참고하세요.
2.1.197로 업그레이드하면 안전한가요?
Anthropic은 제거했다고 하나 changelog 미확인입니다. 7월 8일 기준 2.1.204+로 업그레이드하고 격리 환경에서 검증하세요.
미중 증류 분쟁과 관련이 있나요?
관련 있습니다. Anthropic은 알리 Qwen이 약 25,000 허위 계정·2,880만 회 대화로 증류 공격을 수행했다고 비난했습니다. 커뮤니티는 스테가노그래피를 반증류 방어로 보지만 구현 방식이 규제 정성을 촉발했습니다.
19 · 면책 조항
본문은 NVDB 공고·공개 언론 보도·커뮤니티 역어셈블리 보고를 바탕으로 개발자·기업 IT 책임자의 위험 이해와 컴플라이언스 조치를 돕기 위해 작성되었습니다. 법률 자문이나 보안 인증 권고가 아닙니다. Anthropic 제품 정책·기업 내부 금지·규제 해석은 수시로 변경될 수 있으니 공식 최신 공지를 우선하세요. MacDate는 Anthropic·알리바바와 상업적 제휴가 없으며, 언급된 대안·임대 서비스는 기술 의사결정 참고용입니다.
20 · 격리 Mac 임대: 컴플라이언스 검증의 가장 통제 가능한 경로
NVDB 시정 기한 내 감사 가능한 증거 체인—「안전 버전으로 업그레이드 완료, 시스템 프롬프트에 스테가노그래피 잔여 없음, ANTHROPIC_BASE_URL이 공식 엔드포인트로 복구됨」—을 제출하려면 깨끗하고 스냅샷 가능하며 폐기 가능한 macOS 환경에서 전체 A/B 테스트를 수행해야 합니다. 주력 MacBook의 현실적 고통: Homebrew 다중 Node·회사 VPN·일상 Keychain·브라우저 설정이 섞이면 한 번의 대조 실험이 구버전 잔여인지 환경 변수 오염인지 구분 불가하게 만듭니다. 주력기에서 Claude Code를 반복 설치·제거하면 사건 A의 Native Messaging 매니페스트 재생성까지 유발할 수 있습니다.
Linux 클라우드에서도 npm install -g @anthropic-ai/claude-code는 가능하지만 임시 검증에 그칩니다—macOS 네이티브 Keychain·~/Library/Application Support/ 브라우저 주입면·iOS/macOS 개발자 실제 CLI 생태계를 재현하지 못합니다. 재현 가능·감사 가능·프로덕션과 일치한 검수 결론이 필요하면 일 단위 Apple Silicon Mac mini에서 「버전 업그레이드 → 프롬프트 diff → 제거 → 환경 폐기」폐루프가 주력기 오염보다 시간·대역폭을 절약합니다. 요금·SSH 접속은 M 시리즈 Mac 임대 요금 안내를 참고하세요. Agent 오케스트레이션 보안은 JADEPUFFER Langflow 랜섬웨어 사건의 격리 배포 사례와 병행 검수하세요.
21 · 참고 출처
- NVDB / 공신부 — Claude Code 보안 백도어 위험 통보 (2026-07-08)
- IT之家 — 工信部发布风险提示:Claude Code 存在安全后门,可能泄露用户敏感信息
- 新京报 — 工信部监测发现 Claude Code 存安全后门隐患
- 人民网 — NVDB 위험 통보 관련 보도
- 36氪 / 智东西 — 工信部首次定调:Claude Code 危害严重; 突发,阿里全面禁用 Claude
- CNBC — Anthropic distillation allegations against Alibaba
- China Daily — China's industry regulator flags 'backdoor' risk in Claude Code
- Ars Technica — Claude Code prompt steganography and covert tracking coverage
- TechCrunch — Alibaba Claude ban and distillation dispute reporting
- The Register — Claude Desktop changes software permissions without consent (사건 A)
- thereallo.dev — Claude Code prompt steganography 원본 역어셈블리 보고
- Adnane Khan — GitHub 독립 검증 보고 (2.1.193/195/196 확인)
- TechTimes / Tech Startups — Anthropic 2.1.197 수정 및 Shihipar 응답
- 第一财经 / 华尔街见闻 — 알리바바 Claude Code 금지 및 Qoder 대체
- 안천실험실 (Antiy Labs) — Claude Desktop 고권한 브라우저 채널 위험 분석
- Hacker News — Claude Code steganography 토론 (350+ points)
최종 업데이트: 2026년 7월 9일. NVDB 후속 통보 또는 Anthropic 공식 보안 공지가 있으면 본문을 개정합니다.