Claude Code 백도어 경고 해설
스테가노그래피, 영향 버전 및 대응 가이드 (2026)

TL;DR: 2026년 7월 8일, 중국 공업정보화부(MIIT) 산하 네트워크 위협 및 취약점 정보 공유 플랫폼(NVDB)이 위험 경고를 발표했습니다. 미국 Anthropic의 AI 프로그래밍 도구 Claude Code v2.1.91–v2.1.196 버전에 보안 백도어 위험이 있으며 피해가 심각하다고 밝혔습니다. 내장 모니터링 메커니즘이 사용자 동의 없이 지역·신원 식별 정보 등을 원격 서버로 전송할 수 있습니다. 본문은 Claude Code를 사용 중인 개발자와 기업 IT 팀을 대상으로 사건 타임라인, 스테가노그래피 기술 메커니즘, NVDB·Anthropic·알리바바의 입장, 미중 AI 증류 경쟁 배경을 복원하고 버전 자가 점검·업그레이드·제거·기업 컴플라이언스 대응 6단계 체크리스트를 제공합니다. ANTHROPIC_BASE_URL로 프록시 엔드포인트를 설정했다면 지금 바로 claude --version으로 점검하시기 바랍니다.

01

MIIT NVDB Claude Code 백도어 경고: 전체 타임라인과 사건 흐름

이 뉴스는 단순한 「규제 통보」가 아닙니다. Anthropic이 중국 관련 사용자 식별을 위해 은밀한 탐지 코드를 삽입 → 개발자 리버스 엔지니어링으로 폭로 → 제조사 사과 및 롤백 → 알리바바 금지 → MIIT가 백도어로 분류라는 완전한 사건 사슬이 있습니다. 이 흐름을 이해하는 것이 「Claude Code를 계속 써도 되는가」를 판단하는 전제입니다.

시기사건
2026년 2월Anthropic이 반모델 증류 기술(분류기, 행동 지문, 정보 공유 등)에 투자 중임을 공개했습니다.
2026년 3월Claude Code 내부에 은밀한 탐지 메커니즘이 조용히 도입되었으며, 공개 공시는 없었습니다.
2026-04-02Claude Code v2.1.91 출시, 은밀 탐지 코드가 버전과 함께 배포되기 시작했습니다.
2026-04~06약 20개 버전이 반복 출시되었으나 탐지 로직은 계속 존재했으며, changelog에 한 번도 기록되지 않았습니다.
2026-06-29v2.1.196 출시(영향 구간의 마지막 버전).
2026-06-30Reddit 사용자 LegitMichel777이 스테가노그래피 탐지를 최초 공개했습니다. Thereallo가 기술 분석을 게시했고, Adnane Khan이 GitHub에 리버스 엔지니어링 보고서를 올려 v2.1.193/195/196에 해당 로직이 존재함을 검증했습니다.
2026-07-01엔지니어 Thariq Shihipar가 X에서 3월에 도입된 「실험적」 반남용·반증류 메커니즘임을 인정하고 익일 롤백을 약속했습니다.
2026-07-02v2.1.197(일부 보도는 v2.1.198) 출시, 스테가노그래피 탐지 코드 제거. changelog에는 명시적 언급이 없었습니다.
2026-07-03/04로이터, TechCrunch 보도: 알리바바가 7월 10일부터 Claude Code 및 Anthropic 관련 모델을 전면 금지하고 내부 도구 Qoder로 전환합니다.
2026-07-08MIIT NVDB 공식 위험 경고 발표, 「보안 백도어 위험, 피해 심각」으로 분류했습니다.
2026-07-10알리바바 내부 금지 조치가 공식 시행되었습니다.
warning

핵심 쟁점: Claude Code는 파일 시스템 읽기·쓰기, Shell 명령 실행 등 높은 권한을 갖습니다. 개발자는 「보이지 않는 동작」에 대해 더 낮은 허용치를 가져야 합니다. 이번 메커니즘은 약 3개월간 미공개 상태로 유지되었고, 직접적 결과는 확인된 「데이터 유출 사건」이라기보다 계정 정지 위험과 컴플라이언스 문제입니다. 과장된 표현은 피하고 미공개 모니터링 행위 자체에 집중하는 것이 적절합니다.

02

누가 실제로 영향을 받습니까? Claude Code 모니터링 트리거 조건

가장 오해되기 쉬운 부분입니다. 은밀한 메커니즘은 모든 사용자에게 작동하지 않습니다. 일부 매체가 「Claude Code가 모든 사용자를 감시한다」고 쓰지만 이는 부정확하며 기술적 신뢰도를 해칩니다.

사용자 유형탐지 트리거 여부위험 등급
공식 API 사용자
ANTHROPIC_BASE_URL 미설정, api.anthropic.com 직접 연결
아니오낮음(그래도 v2.1.197+ 업그레이드 권장)
기업 게이트웨이·서드파티 프록시 사용자
ANTHROPIC_BASE_URL이 비공식 엔드포인트를 가리킴
높음(v2.1.91–2.1.196 기간 지문 수집 대상)
중국 시간대 + 프록시 도메인 블랙리스트 적중최고(스테가노그래피가 매 요청마다 전송)
기업 직원(알리바바 등)고위험 소프트웨어로 분류, 7/10부터 전면 금지

트리거 후 코드는 두 가지 환경 정찰을 수행합니다.

  1. 1

    시스템 시간대 탐지: Asia/Shanghai 또는 Asia/Urumqi인지 확인합니다.

  2. 2

    프록시 도메인 블랙리스트 매칭: ANTHROPIC_BASE_URL의 hostname을 내장 147개 규칙과 대조합니다. 알리바바, 바이두, 바이트댄스, DeepSeek, Moonshot, Zhipu, MiniMax 등 중국 기술사·AI 연구소 관련 도메인과 알려진 API 중계·재판매 게이트웨이를 포함합니다.

info

블랙리스트 난독화 방식: 목록은 XOR 암호화(키 91) + Base64 인코딩으로 이중 난독화되어 strings 명령으로는 직접 추출이 불가능합니다. 바이너리 전체 리버스 엔지니어링이 필요합니다. 이것이 이번 사건이 일반 텔레메트리가 아닌 「스테가노그래피」로 불리는 핵심 근거 중 하나입니다.

03

Claude Code 스테가노그래피 모니터링 메커니즘: 기술 3단계 분해

보안 연구원 Adnane Khan은 이를 「a covert information channel embedded in system prompts」(시스템 프롬프트에 삽입된 은밀 정보 채널)로 정의했습니다. 별도 데이터 전송 채널을 쓰지 않고 모델에 보내는 system prompt 자체를 변조합니다.

1단계: 날짜 구분자 변형

중국 시간대에 해당하면 system prompt의 날짜 형식이 2026-06-30(하이픈)에서 2026/06/30(슬래시)로 바뀌며 1비트 환경 정보를 인코딩합니다.

2단계: Unicode 아포스트로피 치환

Today's date is의 표준 아포스트로피 '가 시각적으로 거의 구별 불가하지만 Unicode 코드가 다른 3종의 아포스트로피 문자로 교체됩니다. 각각 「시간대 적중 / 도메인 적중 / AI 랩 키워드 적중」 세 가지 불리언 플래그를 인코딩합니다.

3단계: 요청마다 조용히 전송

3비트의 환경 정보가 평범해 보이는 영문 문장 안에 숨겨져 매 API 요청과 함께 Anthropic 서버로 전송되어 파싱됩니다.

차원이번 스테가노그래피일반 텔레메트리(Datadog/OpenTelemetry 등)
공시 방식약 3개월간 changelog 공시 없음보통 개인정보 처리방침에 포괄적 설명
전송 채널system prompt에 스테가노그래피 삽입독립 telemetry 채널, 감사 가능
대상특정 지역 + 경쟁사 지문 식별일반 사용 통계·오류 로그
도구 권한파일 읽기·쓰기 + Shell 실행 고권한 동시 보유유사 CLI/IDE Agent도 있으나 사용자가 예측 가능

스테가노그래피 메커니즘의 Unicode 매핑과 Claude Desktop 사건과의 구분은 관련 심층 분석 글에서 더 자세히 다룹니다.

영향 버전 vs 안전 버전 빠른 조회

구분버전날짜
최초 은밀 메커니즘 포함v2.1.912026-04-02
마지막 영향 버전v2.1.1962026-06-29
수정 버전v2.1.197(일부 보도 2.1.198)2026-07-01/02
bash
# 현재 버전 확인
claude --version

# 트리거 조건 관련 프록시 엔드포인트 설정 여부 확인
echo $ANTHROPIC_BASE_URL

# npm으로 최신 버전 업그레이드
npm install -g @anthropic-ai/claude-code@latest

# 또는 내장 명령 사용
claude update
04

각 당사자는 어떻게 말했습니까? NVDB·Anthropic·알리바바 입장 대조

MIIT / NVDB

분류: 보안 백도어 위험, 피해 심각. 설명: 내장 모니터링 메커니즘이 사용자 동의 없이 원격 서버로 지역·신원 식별 정보 등을 전송합니다. 조치 권고: 개발 단말 전면 점검 → 제거 또는 업그레이드 → 핵심 업무 네트워크 외부 연결 권한 통제 및 트래픽 모니터링 강화.

Anthropic / Thariq Shihipar(Claude Code 엔지니어)

「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release.」

번역 요지: 「백도어(backdoor)」가 아닌 「실험(experiment)」으로 분류하며, 무단 계정 재판매 남용 방지·모델 증류 방어 목적을 강조합니다. 배경: Anthropic은 미국 상원 은행위원회에 서한을 보내 알리바바 Qwen 팀이 약 2만 5천개의 사기 계정으로 2,880만회 상호작용을 생성해 Claude 모델 능력을 탈취하려 했다고 주장했습니다.

알리바바

내부 통지 문구(SCMP, Ars Technica 인용): 「As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.」 시행 시점 2026년 7월 10일, 범위는 Claude Code 및 Anthropic 관련 모델 제품(Sonnet, Opus, Fable 등) 전체이며, 대체 수단은 내부 프로그래밍 플랫폼 Qoder입니다.

출처핵심 분류 용어서술 초점
NVDB / MIITbackdoor / security backdoor risk / severe threat컴플라이언스·데이터 외부 전송 위험
CNBC / Reuterssecurity backdoor / built-in monitoring mechanism규제 분류 중립 전달 + 기업 연쇄 반응
The Registercovert code / secret steganography system기술적 책임 + 미공개 업데이트
Ars Technicaspyware-like tracking / secret Claude tracker신뢰 위기 + 정책 분석
Cybernews「a nothing burger」(일부 기술 커뮤니티 견해)과잉 반응, 실질은 반증류 엔지니어링 수단
Anthropic 공식experiment / anti-abuse / anti-distillation정당한 방어 목적, 악의적 감시 아님
05

배경 확장: 미중 AI 모델 증류 경쟁

이는 고립된 사건이 아니라 2026년 미중 AI 경쟁의 축소판입니다.

  • Anthropic은 오랫동안 중국 및 「적대 지역」 사용자의 직접 접근을 금지했으나, VPN·해외 휴대폰·신용카드·서드파티 프록시로 우회가 가능했습니다.
  • 2026년 2월, 베이징대·중국과학원 연구진이 논문을 발표해 다수 주류 중국 대형 모델에 해외 모델 증류 흔적이 있다고 보고했습니다.
  • Anthropic은 이전에 DeepSeek, Moonshot AI, MiniMax, 알리바바 등이 Claude 출력을 무단으로 사용해 자사 모델을 훈련했다고 주장했습니다.
  • Claude Opus 4.8이 테스트에서 「자신이 Qwen / DeepSeek」이라고 오인하는 사례가 보도되어 이중 기준 논쟁의 근거로 인용되었습니다.
  • 중국 기업은 DeepSeek, 통의 Qwen, Kimi/Moonshot, Zhipu, MiniMax 등 자체·오픈소스 모델 체계로 전환하고 있으며, 알리바바 내부 도구 Qoder가 이 흐름의 구체적 사례입니다.

이 배경을 이해하면 Anthropic이 「증류」에 왜 민감한지, 그리고 이번 은밀 탐지 사건이 기술 커뮤니티에서 「정당한 방어 vs 경계를 넘은 모니터링」 논쟁을 불렀는지 파악하기 쉽습니다.

06

Claude Code 백도어 파동, 어떻게 대응합니까? 6단계 자가 점검·조치 체크리스트

  1. 01

    버전 자가 점검: claude --version을 실행해 v2.1.91–2.1.196 구간인지 확인합니다.

  2. 02

    엔드포인트 확인: echo $ANTHROPIC_BASE_URL로 비공식 프록시·게이트웨이 경유 여부를 확인합니다.

  3. 03

    즉시 업그레이드: npm install -g @anthropic-ai/claude-code@latest 또는 claude update로 v2.1.197 이상으로 올립니다.

  4. 04

    완전 제거(선택): macOS/Linux 잔여 경로 ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code를 정리합니다.

  5. 05

    기업 아웃바운드 감사: 개발 단말의 아웃바운드 트래픽을 감사해 비인가 AI 서비스 엔드포인트로의 지속 연결을 점검하고, 핵심 업무 네트워크 egress filtering을 강화합니다.

  6. 06

    대안 평가: Qoder, 통의 Lingma, Cursor 등 국산·자체 호스팅 방안을 팀 컴플라이언스 정책과 함께 객관적으로 비교합니다.

인용 가능한 핵심 데이터(E-E-A-T)

  • 영향 버전 구간: v2.1.91(2026-04-02)~v2.1.196(2026-06-29), changelog 미공개 기간 약 3개월
  • 프록시 도메인 블랙리스트: 다수 리버스 분석에 따르면 총 147개 항목(LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach 등 독립 재현)
  • 스테가노그래피 용량: 날짜 형식 1비트 + Unicode 아포스트로피 3종 ≈ 3비트 환경 지문, system prompt에 삽입되어 매 요청 전송
  • 알리 증류 주장 규모: Anthropic 미 상원 서한, Qwen 팀 약 2만 5천 사기 계정·2,880만회 상호작용 주장

국산 대체 도구(통의 Lingma, Qoder 등)로 전환하거나 로컬 Mac에서 Claude Code를 계속 실행할 때는 모델 능력 격차, 기업 컴플라이언스 승인 주기, 다중 Agent 병렬 시 로컬 연산 병목이 흔한 장애물입니다. 안정적인 iOS CI/CD 파이프라인, AI Agent 자동화 오케스트레이션, 고위험 CLI 도구를 통제된 환경에 격리해야 하는 프로덕션 팀에게는 NodeMini Mac Mini 클라우드 대여가 실용적인 선택지입니다. 전용 하드웨어, SSH 접속, 감사 가능한 아웃바운드 트래픽을 갖춘 원격 노드에서 Agent를 실행하면 로컬 데스크톱 권한 위험을 낮출 수 있습니다. 요금과 스펙은 Mac Mini 대여 가격 페이지에서 확인하실 수 있습니다.

면책 조항: 본문은 MIIT NVDB 공고 및 공개 보도를 바탕으로 정리·분석한 것으로, 기술·컴플라이언스 참고용이며 법률 자문이나 보안 감사 결론을 대체하지 않습니다. 제거·금지·트래픽 통제 조치 전에 기관의 보안 정책에 따라 자체 평가하시기 바랍니다.

FAQ

자주 묻는 질문

v2.1.91–2.1.196에서 Anthropic은 미공개 스테가노그래피 탐지 코드를 내장했습니다. MIIT NVDB는 보안 백도어 위험으로 분류했고, Anthropic은 반증류 실험이라 하며 v2.1.197에서 제거했습니다. 기술 커뮤니티에서는 「스테가노그래피 탐지 메커니즘」또는 covert channel이 더 정확한 표현입니다. Unicode 매핑 상세는 스테가노그래피 심층 분석을 참고하세요.

아닙니다. ANTHROPIC_BASE_URL이 비공식 프록시나 게이트웨이를 가리킬 때만 활성화됩니다. api.anthropic.com에 직접 연결하는 일반 사용자는 이 탐지 경로를 트리거하지 않습니다.

npm uninstall -g @anthropic-ai/claude-code를 실행하고 ~/.claude, ~/.claude.json 등 잔여 디렉터리를 정리합니다. 기업 환경에서는 제거 후 아웃바운드 트래픽 감사도 필요합니다. Agent 개발 환경을 격리하려면 NodeMini 대여 방안을 검토해 보세요.

백도어 위험이 폭로된 뒤 알리바바는 Claude Code 및 Anthropic 관련 모델을 고위험 소프트웨어 목록에 올렸고, 2026년 7월 10일부터 전면 금지 후 내부 도구 Qoder로 전환했습니다. Anthropic이 Qwen 팀의 대규모 Claude 증류를 주장한 배경과도 밀접합니다.

아닙니다. 영향 구간의 어떤 changelog에도 해당 메커니즘이 언급되지 않았습니다. v2.1.197에서 제거할 때도 명시적 설명이 없었으며, The Register 등 외신이 이를 미공개 업데이트 문제로 지적했습니다.

Anthropic은 v2.1.197+에서 스테가노그래피 코드를 제거했습니다. 지속 사용 여부는 조직의 위험 허용도와 컴플라이언스 정책에 달려 있습니다. Cybernews 등 일부 기술 매체는 실질이 반증류 엔지니어링 수단이며 반응이 과했다고 봅니다. 기업은 자체 감사 결과에 따라 결정해야 합니다.

증류는 다른 모델의 출력으로 자사 모델을 훈련하는 기법입니다. Anthropic은 이번 메커니즘이 무단 재판매업자와 증류 파이프라인을 겨냥했다고 합니다. Anthropic의 대응 동기와 미중 AI 경쟁 배경을 이해하는 열쇠입니다. Agent 도구 컴플라이언스 실무는 고객센터를 참고하세요.

다수 일차 보도는 v2.1.197(7월 1일)을 가리키고, 일부 중국 기술 매체는 v2.1.198을 언급합니다. 「2.1.197 이상」으로 통일해 표기하고, 업그레이드 전 claude --version으로 확인하는 것을 권장합니다.

국내에서는 Qoder(알리바바 내부), 통의 Lingma, Cursor 등이 있습니다. 해외에서는 Codex CLI, Gemini CLI 등이 논의됩니다. 모델 능력, 컴플라이언스 승인, 연산 수요를 함께 고려해야 합니다. 자세한 비교는 4대 AI 프로그래밍 어시스턴트 비교를 참고하세요.

공개 보도에서 구체적 경제적 피해나 데이터 남용 사례는 확인되지 않았습니다. 직접적 결과는 계정 정지 위험과 컴플라이언스 문제이며, 확인된 「데이터 유출 사고」는 아닙니다. 미공개 모니터링 행위와 컴플라이언스 위험에 초점을 맞추는 것이 적절합니다.