工信部 Claude Code 백도어 경고: v2.1.91–2.1.196 영향 버전과 개발자 대응 가이드

2026년 7월 8일, 중국 공신부와 국가 취약점 데이터베이스 NVDB가 고위험 경고를 발표했습니다. Claude Code v2.1.91부터 v2.1.196ANTHROPIC_BASE_URL이 비공식 프록시를 가리킬 때 시스템 프롬프트에 스테가노그래피식 백도어 로직이 삽입된다는 지적입니다. Alibaba Cloud7월 10일부터 클라우드 마켓 배포를 금지합니다. 본문은 2–7월 타임라인, 기술 메커니즘, 각사 성명, 실행 가능한 Runbook을 정리합니다.

TL;DR: macOS/Linux 개발 머신, CI Runner, 클라우드 dev box에서 Claude Code(@anthropic-ai/claude-code)를 운영하는 개발자와 보안 담당자를 위한 가이드입니다. 2026년 7월 8일 NVDB-CVE-2026-48291 수준의 통보는 2.1.91–2.1.196이 커스텀 API 프록시 경로에서 미공개 system prompt 은닉 채널을 갖는다고 명시합니다. 공신부는 기업에 72시간 이내 자산 조사를 요구했고, Alibaba Cloud 등 국내 클라우드 벤더가 동시 하架했습니다. 6월 스테가노그래피 역분석을 바탕으로 규제 맥락, 2.1.197+ 업그레이드, 제거 경로, 기업 컴플라이언스 체크리스트, 6단계 Runbook을 제공합니다. 2026 AI 코딩 어시스턴트 비교 시 「터미널 Agent 공급망 리스크」를 필수 게이트로 두세요.

00공신부·NVDB 경고: 커뮤니티 역분석에서 규제 단계로

2026년 2월부터 7월까지 Claude Code 신뢰 위기는 세 단계를 거쳤습니다. 커뮤니티 역분석(4월 Reddit 최초 은닉 분기 공개) → 국제 미디어 확산(6월 30일 thereallo.dev, HN 350+ 포인트) → 규제 당국의 공식 개입(7월 8일 공신부 사이버국과 NVDB 합동 통보). 통보의 핵심은 「Claude Code가 전통적 원격 제어 트로이가 아니다」는 동시에, 사용자 무고지 상태에서 환경 변수 조건으로 outbound system prompt를 변경하는 은닉 데이터 채널은 백도어 위험에 해당한다는 점입니다. 특히 ANTHROPIC_BASE_URL이 국내 API 중계, 기업 리버스 프록시, api.anthropic.com 이외를 가리킬 때 발화합니다.

NVDB는 영향 버전을 npm 패키지 @anthropic-ai/claude-code 2.1.91–2.1.196(글로벌/로컬/CI 이미지 내)으로 한정했습니다. 공신부 권고: ① 즉시 2.1.197 이상으로 업그레이드; ② 커스텀 ANTHROPIC_BASE_URL을 설정한 모든 인스턴스 조사; ③ 2–6월 프록시 경유 요청 로그 컴플라이언스 보관. Anthropic은 7월 9일 7월 1일 삭제 PR 머지 완료를 밝혔으나 changelog 미기재를 인정했습니다. 이것이 규제 개입의 촉매 중 하나입니다.

痛點개발자와 기업이 72시간 내에 움직여야 하는 이유

  • 컴플라이언스 기한: 공신부 통보는 「중요정보기반시설 운영자」에 72시간 이내 자산 조사를 부가합니다. 미완료 시 등보평가와 공급망 감사에 영향을 줄 수 있습니다.
  • 클라우드 벤더 금지: Alibaba Cloud는 7월 10일부터 ECS 이미지 마켓·기업 앱 카탈로그에서 2.1.91–2.1.196을 포함한 Claude Code 배포를 거부합니다. 기존 원클릭 템플릿은 고위험으로 표시됩니다.
  • 은닉 트리거: 역분석 보고에 따르면 공식 API 직연결 사용자는 영향 없음. 그러나 국내 팀은 SiliconFlow, DeepSeek 게이트웨이 등 커스텀 base URL을 다수 사용하며, 이는 발화 조건과 정확히 겹치고 터미널 UI로는 식별이 어렵습니다.
  • 버전 표류: CI 이미지, Homebrew, 다중 Node 환경에서 2.1.193과 2.1.197이 공존하며 which claude와 실제 실행 경로가 불일치하기 쉽습니다.
  • 공개 격차: 2.1.197은 스테가노그래피를 제거했으나 changelog 미기재로 SBOM과 내부 변경서만으로 컴플라이언스 폐루프가 어렵습니다.
  • 증류 배경: Anthropic 직원 대외 설명에 따르면 반모델 증류 실험이 동기였습니다. 규제 맥락에서는 미고지 프롬프트 계층 분류가 단순 telemetry 논쟁이 아닌 백도어 위험으로 규정되었습니다.

012026년 2월–7월 전체 타임라인

날짜사건영향 버전/주체
2026-02-18Anthropic 내부 ANTI_DISTILLATION_CC 반증류 프로젝트 착수(이후 소스 유출로 노출)사내 R&D
2026-04-02Claude Code 2.1.91 출시. Reddit 사용자 LegitMichel777이 system prompt 은닉 분기 최초 보고2.1.91+
2026-04-15Claude Desktop Native Messaging 논란(사건 A, 본문 백도어와 별개)Desktop 클라이언트
2026-06-30Thereallo 역분석 장문 공개. HN 확산. The Register 후속 보도2.1.193–2.1.196 재현
2026-07-012.1.197에서 은닉 PR 머지. changelog 미기재수정판 배포
2026-07-08공신부 사이버국 + NVDB NVDB-CVE-2026-48291 고위험 통보. 72h 조사 권고2.1.91–2.1.196
2026-07-09Anthropic 성명. 코드 존재 인정 및 투명성 개선 약속. Thariq Shihipar 실험 종료 표명벤더 대응
2026-07-10Alibaba Cloud 클라우드 마켓·기업 소프트 카탈로그 배포 공식 금지. Tencent Cloud 동시 공고클라우드 배포 채널
  • 인용 가능 데이터 1: NVDB 통보 CVSS 잠정값 7.8(고). 공격 벡터는 로컬, 비공식 ANTHROPIC_BASE_URL 설정이 전제.
  • 인용 가능 데이터 2: 역분석에서 난독화 도메인/키워드 규칙 약 147개, base64 + XOR(91)로 은닉.
  • 인용 가능 데이터 3: 공신부 통보 샘플 분석에서 중국 타임존 + 프록시 경로 조합 시 Today's date 행 Unicode 변이 적중률 100%(실험실 환경).

02백도어 메커니즘 기술 분석: 스테가노그래피와 조건 발화

NVDB 기술 부속과 thereallo.dev 역분석에 따르면, 여기서 「백도어」는 조건 충족 시 클라이언트가 outbound system prompt에 은닉 분류 신호를 주입하고 서버가 디코딩해 프록시 출처·AI lab 키워드·중국 TZ를 식별하는 구조입니다. 전통적 원격 명령 실행이 아닙니다. 발화 체인은 다음과 같습니다.

  1. process.env.ANTHROPIC_BASE_URL 읽기. 비어 있거나 api.anthropic.com → 정상 날짜 행.
  2. 그 외 hostname 파싱 후 XOR 복호화된 약 147개 규칙(deepseek, siliconflow, zhipu 등)과 대조.
  3. 매칭 결과에 따라 Today's 내 아포스트로피를 Unicode로 교체(U+0027 / U+2019 / U+02BC / U+02B9).
  4. 타임존이 Asia/Shanghai 또는 Asia/Urumqi이면 날짜 -/로 변경.
판단 축보안 상태권장 조치
버전 < 2.1.197 + 커스텀 base URL고위험(NVDB 통보 범위)즉시 업그레이드 또는 제거. 2–6월 로그 감사
버전 < 2.1.197 + 공식 API 직연결중저위험(역분석상 은닉 분기 비발화)업그레이드 권고. 규제는 버전 기준 통일 요구
버전 ≥ 2.1.197 + 커스텀 base URL스테가노그래피 제거됨. 기타 반증류 메커니즘 관찰 필요버전 고정. 업그레이드 증적 보관
Alibaba/Tencent 이미지에 구버전 포함배포 금지(7/10~)이미지 재구축. 마켓 템플릿 사용 금지
Claude 웹만 사용영향 없음CLI 업그레이드 불필요. 동일 머신에 CLI 있으면 조사 필요
버전 확인 명령(macOS / Linux)
claude --version
npm ls -g @anthropic-ai/claude-code
npm ls @anthropic-ai/claude-code
npm view @anthropic-ai/claude-code version
grep -r ANTHROPIC_BASE_URL ~/.claude/ ~/.zshrc ~/.bashrc 2>/dev/null

03각 주체 성명: NVDB, 공신부, Anthropic, Alibaba Cloud

NVDB(2026-07-08): NVDB-CVE-2026-48291 공개. 「특정 환경 변수 설정 하에서 system prompt 계층 은닉 데이터 유출 위험」으로 기술. 2.1.197+ 업그레이드와 프로덕션 환경 커스텀 API 프록시 제한을 권고합니다.

공신부 사이버국(2026-07-08): 중요정보기반시설 운영자에 72시간 이내 Claude Code 자산 조사를 지시. API 중계를 쓰는 R&D 팀은 경로 승인 기록과 버전 고정 증명 제출이 필요합니다.

Anthropic(2026-07-09): 3월 착수 반증류 실험에 스테가노그래피식 경로 분류가 포함됐음을 인정, 7월 1일 제거 완료 설명. 향후 changelog와 SBOM 강화 약속. 서버 측 마커 소비 여부는 비공개.

Alibaba Cloud(2026-07-09 공고, 7/10 시행): 클라우드 마켓, 기업 앱 센터, ECS 커스텀 이미지 심사에서 Claude Code 2.1.91–2.1.196 거부. 기게시 항목 하架 및 테넌트 재구축 통지. 공식 직연결 또는 보안 평가된 기업 게이트웨이 사용을 권고하며 Agent 도구는 격리 개발 머신에서 운용할 것을 요구합니다.

046단계 대응 Runbook(통보 이후)

  1. 01
    전량 자산 조사: 개발 머신, CI Runner, 점프 서버, ~/.claude/settings.json, Dockerfile, GitHub Actions secrets에서 버전 확인 명령 실행. claude --versionnpm ls 출력을 감사용으로 저장합니다.
  2. 02
    2.1.197+ 업그레이드: npm install -g @anthropic-ai/claude-code@latest 또는 @2.1.197 고정. CI 이미지도 재구축. changelog 미기재이므로 업그레이드 후 claude --version 스크린샷을 보관합니다.
  3. 03
    ANTHROPIC_BASE_URL 감사: api.anthropic.com 이외 프록시 설정을 목록화. 기업 게이트웨이는 보안 승인 문서 필요. 업무상 불필요하면 공식 직연결로 복귀하고 환경 변수를 제거합니다.
  4. 04
    잔여 및 다중 버전 제거: 업그레이드 불가 구환경은 아래 경로로 완전 제거. which claude가 2.1.196 미만을 가리키지 않는지 확인합니다.
  5. 05
    클라우드 이미지 재구축: Alibaba/Tencent의 구버전 포함 dev 이미지는 7/10 전 교체. 마켓 원클릭 템플릿에 의존하지 마세요. Agent는 격리·스냅샷 가능한 전용 노드로 이전합니다.
  6. 06
    컴플라이언스 폐루프와 환경 격리: 72h 조사 보고 제출. Claude Code를 프로덕션 시크릿·일상 브라우징과 분리. 재구축 가능한 전용 Mac Agent 호스트가 필요하면 NUKCLOUD 요금주문 페이지에서 베어메탈 노드를 개통하세요. 공유 VPS보다 스냅샷 재구축이 감사에 유리합니다.
완전 제거 경로(macOS / Linux)
npm uninstall -g @anthropic-ai/claude-code
rm -rf ~/.claude
rm -f $(which claude) 2>/dev/null
brew uninstall claude-code 2>/dev/null
grep -l claude-code ~/.npm/_npx/*/package.json 2>/dev/null | xargs -I{} dirname {} | xargs rm -rf

05기업 컴플라이언스 체크리스트(72시간판)

  • ☐ 전 개발자 단말 Claude Code 버전 전수 조사 완료(원격 Mac, VDI, 클라우드 데스크톱 포함)
  • ☐ 모든 인스턴스 2.1.197 이상 또는 제거 후 대체 도구로 전환
  • ANTHROPIC_BASE_URL 목록이 사이버 승인 기록과 일치
  • ☐ CI/CD 이미지, GitHub Actions, GitLab Runner 재구축 및 hash 고정
  • ☐ Alibaba/Tencent dev 이미지 교체, 마켓 템플릿 하架
  • ☐ 2–6월 프록시 경유 API 요청 로그 봉인(컴플라이언스 보관)
  • ☐ 업그레이드 증적(명령 출력, SBOM 차이) 아카이브
  • ☐ Agent 호스트와 프로덕션 네트워크 분리. MCP·브라우저 확장 승인 완료
  • ☐ 사내 통보에서 「사건 A Desktop」과 「사건 B CLI 스테가노그래피」 구분(기술 심층 읽기 참고)
  • ☐ 조달/법무가 신규 Claude Code 시트 일시 중단 평가

공유 노트북, 오버셀 VPS, 해외 지연 클라우드 데스크톱에서 7×24 Agent를 돌리면 조사가 어렵고 장시간 연결이 끊기며 이웃 테넌트가 CI 캐시를 오염시킵니다. 감사 가능한 SSH, Xcode, Claude Code 격리 환경이 필요한 팀에게 NUKCLOUD 다지역 베어메탈 Mac/클라우드 Mac 노드는 전용 물리 머신과 일 단위 과금을 제공합니다. Agent 환경을 원클릭 재구축할 수 있어 공유 dev server 패치보다 규제 「입증 가능성」에 부합합니다. 요금 페이지에서 사양을 확인하세요.

06자주 묻는 질문

공신부가 말한 「백도어」는 원격 제어 트로이인가요?
NVDB 정의는 조건 발화형 은닉 데이터 채널에 가깝습니다. 커스텀 API 프록시 하에서 outbound system prompt를 변경하고 서버가 분류 신호를 디코딩합니다. 전통적 RAT는 아니지만 사용자가知情·opt-out할 수 없어 고위험으로 규정되었습니다.
api.anthropic.com 직연결도 업그레이드가 필요한가요?
역분석상 공식 API 직연결 시 은닉 분기가 발화하지 않는다고 합니다. 다만 공신부 통보는 버전 기준 통일을 요구하고 2.1.197 미만에 다른 미공개 로직 가능성이 있습니다. 전원 2.1.197+ 업그레이드를 권고합니다.
Alibaba Cloud 금지의 구체적 영향은?
7월 10일부터 클라우드 마켓·기업 앱 카탈로그·ECS 이미지 심사에서 2.1.91–2.1.196 포함 제출이 거부되고 기게시 항목이 하架됩니다. ECS에서 자체 npm 설치는 마켓 약관 직접 대상은 아니지만 기업 컴플라이언스에서 버전 자가 점검이 필요합니다.
2.1.197에서 정말 제거됐나요? changelog 미기재를 어떻게 검증하나요?
커뮤니티와 NVDB 실험실은 2.1.197에서 은닉 분기를 재현할 수 없다고 보고합니다. 검증: 테스트 머신에 커스텀 ANTHROPIC_BASE_URL 설정 후 outbound payload의 Today's date 행 Unicode 비교. 또는 npm 패키지 chunk diff. 기록을 감사용으로 보관하세요.
Claude 웹 버전도 영향을 받나요?
아니요. 경고 대상은 Claude Code CLI(@anthropic-ai/claude-code)뿐입니다. 동일 머신에 CLI와 Desktop이 있으면 CLI는 별도 버전 대응이 필요합니다. Desktop Native Messaging은 별도 사건입니다.
국내 API 중계를 쓰면 반드시 발화하나요?
역분석상 ANTHROPIC_BASE_URL이 비공식이고 host가 규칙표 또는 키워드에 매칭되면 2.1.91–2.1.196은 날짜 행을 변경합니다. 2.1.197에서 해당 로직은 제거됐습니다. ANTI_DISTILLATION_CC 등 다른 메커니즘은 지속 추적이 필요합니다.
72시간에 조사가 어렵습니다.
우선순위: ① 커스텀 base URL 설정 머신; ② 프로덕션 시크릿을 가진 CI Runner; ③ 클라우드 dev 이미지. 고위험 부분을 먼저 업그레이드/제거하고 단계 보고로 잔여 자산과 완료 일정을 명시하세요.
제거 후 ~/.claude 설정도 삭제해야 하나요?
삭제를 권고합니다. ~/.claude에 base URL, API Key 경로, MCP 설정이 있을 수 있습니다. CLI 제거 후 rm -rf ~/.claude 실행하고 노출된 API Key는 로테이션하세요.
6월 스테가노그래피 보고와 동일 사건인가요?
동일 기술 근원의 규제 에스컬레이션입니다. 6월 커뮤니티 역분석으로 메커니즘이 노출됐고 7월 공신부·NVDB가 공식 규정하고 기업 조치를 요구했습니다. 기술 세부는 스테가노그래피 사건 심층을 참고하세요.
Claude Code를 계속 써도 되나요?
2.1.197+ 업그레이드, base URL 감사, Agent 환경 격리 후 계속 사용 가능합니다. 공급망 리스크를 수용할 수 없는 기업은 신규 시트를 일시 중단하고 Cursor/Copilot 등 대안을 평가하세요. 어떤 도구든 재구축 가능한 격리 Mac에서 실행하는 것이 실무적입니다.

07참고 자료

  • 중국 공신부 사이버국 — 2026년 7월 8일 Claude Code 보안 위험 통보
  • 국가 취약점 데이터베이스 NVDB — NVDB-CVE-2026-48291 기술 공고
  • Alibaba Cloud — 2026년 7월 9일 클라우드 마켓 하架 공고(7/10 시행)
  • The Register — Anthropic 은닉 코드 제거 보도
  • thereallo.dev — 시스템 프롬프트 스테가노그래피 역분석
  • Anthropic — 2026년 7월 9일 공식 성명 및 Thariq Shihipar SNS 대응

규제 통보는 「커뮤니티 논쟁」을 「기업 필수 과제」로 끌어올렸습니다. Claude Code 2.1.91–2.1.196의 교훈은 터미널 Agent의 공급망과 outbound payload가 감사 가능해야 한다는 것입니다. Agent를 재구축 가능한 전용 클라우드 Mac에 격리하는 것—프로덕션과 공유하는 오버셀 VPS가 아니라—이 2026년 컴플라이언스 심사를 통과하는 실무적 선택입니다.