공업정보화부 Claude Code 백도어 경고: 무슨 일이 있었나? 타임라인과 핵심 요약
한 줄 행동 권고: 즉시 claude --version을 실행하십시오. 2.1.91–2.1.196 범위이며 비공식 ANTHROPIC_BASE_URL을 설정했다면 2.1.197 이상으로 업그레이드하거나 제거하십시오.
핵심 요약: ① NVDB 「보안 백도어 위험, 위해 심각」 규정;② 영향 버전 2.1.91–2.1.196(2026/4/2–6/29);③ 비공식 API 엔드포인트 사용 시만 작동;④ Anthropic 7/1 인정 및 롤백;⑤ 알리바바 7/10부터 전사 금지;⑥ 수정판 v2.1.197(일부 보도 2.1.198).
| 항목 | 내용 |
|---|---|
| 위험 성격 | 내장 모니터링 메커니즘, 사용자 동의 없이 민감 정보 전송 가능 |
| 전송 내용 | 사용자 지역, 식별 정보 등 민감 데이터 |
| 영향 버전 | v2.1.91부터 v2.1.196 |
| 릴리스 기간 | 2026년 4월 2일부터 6월 29일 |
| 공식 대응 권고 | 해당 버전 즉시 제거 / 최신 안전 버전으로 업그레이드;개발 단말 외부 연결 통제 및 트래픽 모니터링 강화 |
| 기업 동향 | 알리바바 등 제한·금지, 내부 대체 Qoder로 전환 |
| 벤더 대응 | Anthropic 「실험적」 반남용·반증류 조치 인정, 후속 버전에서 제거 약속 |
표면상 규제 통보이지만, 배경에는 완전한 스토리 체인이 있습니다: Anthropic이 중국 사용자 식별용 코드 삽입 → 개발자 역공학 폭로 → 벤더 사과·롤백 → 알리바바 금지 → 공업정보화부 백도어 규정.
2026년 2월: Anthropic이 반모델 증류 기술(분류기, 행동 지문, 정보 공유 등) 투자를 공개했습니다.
2026년 3월: Claude Code 내부에 은밀한 탐지 메커니즘이 조용히 도입되었습니다(공개 공시 없음).
2026-04-02: Claude Code v2.1.91 릴리스, 은밀 탐지 코드 배포 시작(약 20개 버전, changelog 미기재).
2026-06-29: v2.1.196 릴리스(영향 구간 최종 버전).
2026-06-30: Reddit 사용자 LegitMichel777이 스테가노그래피 폭로;Thereallo 기술 분석 공개;Adnane Khan GitHub 역공학 보고서로 v2.1.193/195/196 모두 해당 로직 확인.
2026-07-01: 엔지니어 Thariq Shihipar X에서 공개 인정, 3월 도입 「실험적」 반남용·반증류 메커니즘이라 하며 다음 날 버전 롤백 약속.
2026-07-02: Claude Code v2.1.197(일부 보도 v2.1.198) 릴리스, 스테가노그래피 탐지 코드 제거, changelog 명시 기재 없음.
2026-07-03/04: Reuters, TechCrunch 보도: 알리바바 7월 10일부터 Claude Code 및 Anthropic 관련 모델 전사 금지, Qoder 전환.
2026-07-08: 공업정보화부 NVDB 공식 위험 경고 발표, 「보안 백도어 위험, 위해 심각」 규정.
2026-07-10: 알리바바 내부 금지령 공식 발효.
전체 사용자 모니터링 오해: 「Claude Code가 모든 사용자를 모니터링」이라는 제목은 부정확하며 신뢰성을 해칩니다.
「백도어」만으로 기술 규정: 기술계에서는 스테가노그래피 탐지 메커니즘이나 covert channel이 더 정확;규제·검색 용도로 「백도어」도 사용됩니다.
데이터 유출 확정 과장: 공개 보도는 구체적 경제 손실을 입증하지 않았습니다;미공개 모니터링 행위와 컴플라이언스 위험에 초점을 맞춰야 합니다.
일반 텔레메트리와의 경계: Claude Code에는 Datadog, OpenTelemetry 등 일반 수집도 있습니다;쟁점은 스테가노그래피, 미공개, 표적형 지문입니다.
수정 버전 번호 구분: 다수 1차 보도는 v2.1.197, 일부 중국 미디어는 v2.1.198;「2.1.197 이상」으로 통일하는 것이 무난합니다.
Claude Code 보안 위험: 누가 실제로 영향받나? 작동 조건과 텔레메트리 경계
핵심 한정: 은밀 메커니즘은 모든 사용자에게 적용되지 않습니다. 환경 변수 ANTHROPIC_BASE_URL로 API 요청을 비공식 엔드포인트(기업 게이트웨이, 제3자 프록시, API 중계·재판매 서비스)로 보낼 때만 작동합니다. 공식 api.anthropic.com을 사용하는 일반 사용자는 이 탐지 경로를 트리거하지 않습니다.
| 사용 시나리오 | 탐지 작동 | 주요 위험 |
|---|---|---|
| 공식 api.anthropic.com 직접 연결 | 아니오 | 일반 텔레메트리(개인정보 처리방침에 개괄 공개) |
| ANTHROPIC_BASE_URL이 제3자 게이트웨이 | 예 | 스테가노그래피 지문 + 계정 정지 위험 |
| 중국 타임존 + 프록시 엔드포인트 | 예(신호 중첩) | 지역·경쟁사 지문 |
| 컴플라이언스 민감 기업 환경 | 설정에 따름 | 미공개 외부 연결 + 핵심 업무 네트워크 컴플라이언스 |
이번 논란의 핵심은 「데이터 수집」 자체가 아닙니다: ① 스테가노그래피를 사용해 사용자가 발견·중단할 수 있는 정규 telemetry 채널이 아님;② 약 3개월간 changelog에 전혀 공개되지 않음;③ 특정 지역과 특정 경쟁사를 표적으로 한 지문;④ 본 도구가 파일 시스템 읽기·쓰기, Shell 명령 실행 등 고권한을 보유——사용자는 「보이지 않는 행위」에 대한 허용도가 원래 낮아야 합니다.
이 메커니즘의 직접 결과는 「계정 정지 위험」이며, 입증된 「데이터 유출 사고」가 아닙니다——과도한 선동은 피해야 합니다.
Claude Code 스테가노그래피 모니터링 메커니즘: 기술 3단계 분해
본문의 기술적 권위성 핵심입니다. 메커니즘은 일반 「텔레메트리(telemetry)」가 아닌 「스테가노그래피(steganography)」로 불립니다——독립 데이터 전송 채널이 아니라 모델에 보내는 system prompt 자체를 조작합니다.
1단계: 환경 정찰. 작동 후 코드는 두 가지 판단을 수행합니다: ① 시스템 타임존이 Asia/Shanghai 또는 Asia/Urumqi인지;② ANTHROPIC_BASE_URL의 hostname을 내장 블랙리스트와 대조. 블랙리스트는 LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach 등 역공학으로 147개 항목, 중국 대형 테크 기업 도메인(阿里, 百度, 字节 등), 중국 AI 랩 키워드(DeepSeek, Moonshot, 智谱, MiniMax, Baichuan, StepFun, 01.AI 등) 및 알려진 API 프록시·재판매 게이트웨이를 포함합니다. 목록은 XOR 암호화(키 91) + Base64 인코딩으로 이중 난독화됩니다.
2단계: 스테가노그래피 인코딩. 중국 타임존 적중 시 system prompt 날짜 형식이 2026-06-30(하이픈)에서 2026/06/30(슬래시)로 바뀝니다. Today's date is의 표준 아포스트로피 '가 시각적으로 구분하기 어려운 3종 Unicode 아포스트로피로 교체되어 「타임존 적중 / 도메인 적중 / AI 랩 키워드 적중」 3비트 플래그를 인코딩합니다.
3단계: 은밀 채널 전송. 1비트 날짜 형식 + 3종 아포스트로피 변형으로 약 3bit 환경 정보를 겉보기 정상적인 영문 문장에 숨겨 요청마다 Anthropic 서버로 전송·해석됩니다. 보안 연구자 Adnane Khan은 a covert information channel embedded in system prompts(system prompt에 내장된 은밀 정보 채널)로 정의했습니다.
| 유형 | 버전 | 날짜 |
|---|---|---|
| 최초 은밀 메커니즘 포함판 | v2.1.91 | 2026-04-02 |
| 최종 영향판 | v2.1.196 | 2026-06-29 |
| 수정판 | v2.1.197(일부 구분 2.1.198) | 2026-07-01/02 |
claude --version echo $ANTHROPIC_BASE_URL npm install -g @anthropic-ai/claude-code@latest claude update
완전 제거 시 정리: macOS/Linux: ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code;Windows: %USERPROFILE%\.claude 및 관련 캐시. 기업 환경에서는 제거 후 개발 단말 아웃바운드 트래픽 감사도 수행하십시오.
Claude Code 백도어 논란: NVDB, Anthropic, 알리바바 발언과 미디어 용어·증류전 배경
공업정보화부 / NVDB: 「보안 백도어 위험, 위해 심각」 규정;내장 모니터링 메커니즘이 사용자 동의 없이 원격 서버로 지역·식별 정보 등을 전송한다고 기술;대응은 개발 단말 전면 점검 → 제거 또는 업그레이드 → 핵심 업무 네트워크 외부 연결 권한 통제 및 트래픽 모니터링 강화.
Anthropic / Thariq Shihipar(X 원문): 「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.」——「백도어(backdoor)」가 아닌 「실험(experiment)」으로 규정, 반계정 재판매 남용·반모델 증류 강조. 배경으로 Anthropic은 미 상원 은행위원회에 서한을 보내 알리바바 Qwen 팀이 약 2.5만 개의 부정 계정으로 2880만 회 대화를 통해 Claude 모델 역량 탈취를 시도했다고 고발했습니다.
알리바바: SCMP, Ars Technica 인용에 따르면 내부 통보에서 Claude Code를 「고위험 소프트웨어」로 지정;2026년 7월 10일부터 Claude Code 및 Anthropic 관련 모델 제품(Sonnet, Opus, Fable 등) 전사 금지, 내부 프로그래밍 플랫폼 Qoder로 전환.
| 출처 | 주요 규정 용어 | 서사 초점 |
|---|---|---|
| NVDB / 공업정보화부 | backdoor code / security backdoor risk / severe threat | 컴플라이언스와 데이터 외부 전송 위험 |
| CNBC / Reuters / CBS | security backdoor / built-in monitoring mechanism | 규제 규정 중립 전달 + 기업 연쇄 반응 |
| The Register | covert code / secret steganography system | 기술적 풍자 + 미공개 업데이트 책임 |
| Ars Technica | spyware-like tracking / secret Claude tracker | 신뢰 위기 + 정책 분석 |
| Cybernews | a nothing burger(일부 기술계 견해) | 과잉 반응론, 실질은 반증류 엔지니어링 수단 |
| Anthropic 공식 | experiment / anti-abuse / anti-distillation measure | 정당한 방어 목적, 악의적 모니터링 아님 강조 |
확장 배경: 미중 AI 증류전. 고립된 사건이 아닙니다. Anthropic은 장기간 중국 및 「적대 지역」 사용자의 직접 접근을 금지했지만 VPN, 해외 SIM/신용카드, 제3자 프록시로 우회 가능합니다. 2026년 2월 베이징대와 중국과학원 연구자가 논문을 발표해 다수 중국 대형 모델에 해외 모델 증류 흔적이 있다고 보고했습니다. Anthropic은 DeepSeek, Moonshot AI, MiniMax, 알리바바 등이 Claude 출력을 무단으로 자사 모델 훈련에 이용했다고 이전부터 고발했습니다. Claude Opus 4.8은 테스트에서 「자신을 Qwen / DeepSeek으로 오인」한 사례도 있어 이번 「중국 사용자 식별 코드 삽입」은 더욱 당혹스럽습니다. 중국 기업은 자체 개발·오픈소스 모델 체계(DeepSeek, 通义 Qwen, Kimi/Moonshot, 智谱, MiniMax 등)로 전환 중이며 알리 Qoder는 그 구체적 사례입니다.
Claude Code 제거 및 업그레이드: 개인 개발자와 기업 IT 컴플라이언스 대응 목록
개인 개발자 checklist:
버전 확인: claude --version을 실행해 2.1.91–2.1.196인지 확인합니다.
프록시 엔드포인트 확인: echo $ANTHROPIC_BASE_URL로 비공식 게이트웨이를 가리키는지 확인합니다.
업그레이드: npm install -g @anthropic-ai/claude-code@latest 또는 claude update로 ≥ 2.1.197을 확보합니다.
제거(선택): 전역 제거 후 ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code를 정리합니다.
대안 평가: Qoder, 通义灵码, Cursor 등 국산 AI 프로그래밍 도구를 객관 비교합니다.
교차 검증: 4대 AI 코딩 어시스턴트 비교를 읽고 선정 판단을 합니다.
기업 IT checklist:
개발 단말 전면 점검: Claude Code가 설치된 모든 워크스테이션과 CI 노드를 파악합니다.
제거 또는 강제 업그레이드: NVDB 권고에 따라 해당 버전을 즉시 조치합니다.
아웃바운드 트래픽 감사: 비인가 AI 서비스 엔드포인트로의 지속 외부 연결이 없는지 확인합니다.
147개 블랙리스트: XOR(91)+Base64 난독화, 역공학자가 2.1.193–2.1.196 3개 버전 모두 확인(Thereallo, Adnane Khan).
2880만 회 대화 고발: Anthropic은 상원에 알리 Qwen 팀이 약 2.5만 부정 계정으로 대규모 증류를 했다고 서한했습니다.
7/10 알리바바 금지 발효: 2차 주목 시점, 기업은 소프트웨어 화이트리스트와 조달 정책을 동기화 업데이트해야 합니다.
참고 출처: IT之家, 新京报, 36氪, 腾讯云开发者社区(중국어);CNBC, The Register, TechCrunch, Ars Technica, Thereallo, Vincent Schmalbach, Cybernews(영어).
면책 조항: 본문은 공업정보화부 NVDB 공고 및 공개 미디어 보도를 바탕으로 정리·분석한 것으로, 법률 자문이나 보안 감사 결론을 구성하지 않습니다.
대안을 정리하면: 개인 Mac에서 해당 버전 Claude Code를 계속 사용하는 것은 미공개 지문 로직과 컴플라이언스 위험 감사의 어려움을 의미합니다;제3자 Claude 재판매 게이트웨이에 완전 의존하면 장기적으로 지역·경쟁사 지문에 노출됩니다;VM에서 macOS Agent 실행은 EULA 위반이며 Xcode 서명 제한이 있습니다. iOS CI/CD, 완전 Root, 7×24 안정성이 필요한 AI Agent 프로덕션 환경에는 KVMNODE 전용 Mac Mini M4 클라우드 대여가 보통 더 나은 선택입니다: 100% 정품 물리 머신, sudo 개방, 일/주/월 유연 과금, Agent 워크플로를 격리 환경에서 감사 실행, 아웃바운드 트래픽 통제 가능. 자세한 내용은 요금 페이지, 고객 센터, 주문 페이지를 확인하십시오.