클로드 코드 유출, 앤스로픽 소스 공개 파장

앤스로픽의 AI 개발자 도구인 ‘Claude Code’의 소스 코드가 npm 레지스트리를 통해 유출되는 사고가 발생하며 IT 업계와 규제 산업에 큰 파장이 일고 있습니다.

클로드 코드 유출 사고 원인과 앤스로픽 내부 기밀 노출 분석

이번 유출 사고는 2026년 3월 31일, 앤스로픽이 개발자 도구인 Claude Code를 npm 레지스트리에 배포하는 과정에서 발생했습니다. 사고의 직접적인 원인은 빌드 도구인 ‘Bun’의 설정 오류로, 전체 소스 코드가 포함된 소스 맵 파일이 공개적으로 노출된 것으로 확인되었습니다.

유출된 코드를 통해 앤스로픽 내부에서만 사용되던 언더커버 모드(Undercover Mode)의 실체가 드러났습니다. 이 모드는 AI가 생성한 코드에서 AI의 흔적을 제거하는 기능을 포함하고 있어 윤리적 논란을 불러일으키고 있습니다.

또한, 차세대 자율 에이전트로 알려진 ‘KAIROS’의 흔적과 함께 대규모 API 호출 낭비를 초래한 내부 버그, 그리고 예상외로 부실한 테스트 코드 현황 등이 고스란히 공개되었습니다.

규제 산업에 미치는 영향과 공급망 보안 리스크 관리

법적 관점에서 볼 때 Claude Code는 현재 EU AI법상 ‘고위험 AI 시스템’에 해당하지 않아 직접적인 법 위반으로 이어질 가능성은 낮습니다. 하지만 이번 사건은 벤더의 엔지니어링 성숙도와 공급망 관리 능력에 대한 심각한 의구심을 낳고 있습니다.

특히 금융이나 의료와 같은 규제 산업군에서는 AI 도구 도입 시 발생할 수 있는 공급망 리스크를 재검토해야 하는 상황에 직면했습니다. 내부 기밀 코드뿐만 아니라 보안 취약점까지 외부로 노출될 수 있다는 위험성이 증명되었기 때문입니다.

기업들은 향후 AI 생성 코드를 사용할 때 더욱 엄격한 코드 리뷰와 자체적인 보안 테스트를 거쳐야 합니다. 도구 체인의 버전을 고정하고 체크섬을 확인하는 등 기술적인 통제 장치를 강화하는 노력이 필수적입니다.

핵심 요약.

이번 유출로 인해 기업 내부 보안 정책을 수정해야 할까요?

단기적으로는 앤스로픽 도구를 사용하는 개발 환경의 보안 설정을 전수 점검할 필요가 있습니다. 특히 소스 맵 파일이 외부로 유출되지 않도록 빌드 파이프라인을 재검토하고, AI 도구에 의존하기보다 내부 보안 검수 프로세스를 강화하는 방향으로 정책을 보완하는 것이 현명해 보입니다.

‘언더커버 모드’가 왜 문제가 되는 것인가요?

AI가 만든 결과물임을 숨기려는 시도는 투명성을 강조하는 글로벌 AI 규제 흐름에 정면으로 배치됩니다. 이는 기술적 결함을 넘어 기업의 윤리적 신뢰도에 타격을 줄 수 있는 사안으로, 향후 규제 당국이 생성형 AI 기업들에 더 높은 수준의 투명성을 요구하는 계기가 될 것으로 보입니다.

Bun과 같은 최신 빌드 도구 사용 시 주의할 점은 무엇인가요?

성능이 뛰어난 최신 도구일수록 기본 설정이 보안보다 편의성에 치중되어 있을 수 있습니다. 운영 환경 배포 시에는 소스 맵 생성 여부나 민감 정보 포함 여부를 수동으로 확인하는 단계가 반드시 포함되어야 하며, 자동화된 보안 스캔 도구를 병행 사용하는 것을 권장합니다.

참고자료.

이번 사고를 지켜보며 가장 놀라웠던 점은 업계를 선도하는 앤스로픽조차 아주 기본적인 설정 오류로 무너질 수 있다는 사실이었습니다. 특히 내부 코드에서 발견된 ‘테스트 코드 부족’은 속도 경쟁에 치우친 AI 업계의 단면을 보는 것 같아 씁쓸함이 남네요. 기술의 화려함 뒤에 숨겨진 엔지니어링의 기본기가 얼마나 중요한지 다시금 깨닫게 되는 사건이었습니다. 앞으로 AI 도구를 도입하려는 기업들은 벤더의 네임밸류만 믿기보다, 실질적인 보안 성숙도를 꼼꼼히 따져봐야 할 것 같습니다.