⚠ CRITICAL ANALYSIS · 심층 분석

Claude Code 내부 유출의
심층 분석

빌드 도구의 설정 오류 하나가 브랜드 신뢰 붕괴, 규제 폭풍, 정치적 대립, 사업 존립 위기를 동시에 촉발한 전 과정 — 기술 사고에서 시스템적 리스크로의 완전한 전개

이조글로벌인공지능연구소

LEECHO Global AI Research Lab

& Claude Opus 4.6

2026.04.02

요 약 · ABSTRACT

2026년 3월 31일, Anthropic은 npm 패키지 설정 오류로 인해 Claude Code의 전체 소스코드를 우발적으로 유출했다 — TypeScript 파일 1,906개, 총 512,000줄의 코드. 본 논문은 표면적인 ‘보안 사고’ 서사를 넘어, 기술 아키텍처·비즈니스 모델·고객 신뢰·정부 갈등·경쟁 구도·규제 준수의 6개 차원에서 이번 유출의 심대한 영향을 체계적으로 분석한다. 연구 결과, 유출이 드러낸 것은 단순한 엔지니어링 프로세스 결함이 아니라 Anthropic의 ‘안전 최우선’ 브랜드 서사와 실제 사업 행태 사이의 구조적 모순이었다 — 비공개 텔레메트리 전송, 원격 제어 기능, 다크 패턴 동의 인터페이스, 그리고 인지하고 있었으나 수정하지 않은 과금 버그를 포함한다. 본 논문은 이러한 문제들이 고객 감사, 유럽 규제, 미국 정치 공방, 시장 경쟁의 4개 차원에서 동시에 확대되어 연쇄 반응을 형성하며, Anthropic의 IPO 계획과 장기적 사업 존속에 실질적 위협이 될 것으로 판단한다.

SECTION 01 · 사건 개요

5일간 두 번의 자폭: ‘안전 최우선’ 기업의 시스템적 통제 실패

CMS 설정 오류에서 npm source map 유출까지, 같은 회사가 5일 만에 내부 정보를 두 번 노출하다

2026년 2월 9일

Anthropic, 슈퍼볼에서 “광고가 AI에 들어오고 있지만, Claude에는 들어오지 않습니다”라는 풍자 광고를 집행하며 OpenAI의 비즈니스 모델을 공격, 도덕적 고지를 선점

2026년 2월 27일

트럼프, Truth Social에서 연방 기관에 Anthropic 기술 “즉시 사용 중단” 명령; 헤그세스 국방장관, Anthropic을 ‘공급망 위험’으로 지정

2026년 3월 9일

Anthropic, 트럼프 행정부를 상대로 소송 제기 — 공급망 위험 지정을 “전례 없고 위법”이라 주장

2026년 3월 26일 · 1차 유출

CMS 설정 오류로 내부 파일 약 3,000건 노출 — 미공개 모델 Claude Mythos(코드네임 Capybara)의 상세 정보 포함. 같은 날 연방 판사가 Anthropic 측에 유리한 예비적 금지명령 발부

2026년 3월 31일 · 2차 유출

npm 패키지 @anthropic-ai/claude-code v2.1.88에 59.8MB source map 파일이 우발적으로 포함되어 전체 512,000줄 TypeScript 소스코드 노출. 보안 연구원 Chaofan Shou가 UTC 04:23에 X에서 공개

두 차례 유출의 근본 원인은 각각 다르다 — 첫 번째는 CMS 권한 설정 오류, 두 번째는 빌드 파이프라인에서 .npmignore 규칙 누락 — 그러나 동일한 시스템적 문제를 가리킨다: 엔지니어링 실무에서 보안의 실제 우선순위가 Anthropic이 대외적으로 표방하는 수준에 훨씬 미치지 못한다는 것이다. 더욱 주목할 점은 2차 유출이 같은 유형의 오류의 반복이라는 것이다: 2025년 2월에도 source map 잔존으로 코드가 노출된 적이 있었다. Anthropic은 당시 문제 패키지를 삭제했지만 수정 조치를 자동화 규칙으로 정착시키지 않았음이 분명하다.

SECTION 02 · 발견자

블랙스완과 전문 사냥꾼의 조우: Chaofan Shou

190만 달러의 버그 바운티 실적을 보유한 보안 연구원이, 프로덕션 환경에 있어서는 안 될 .map 파일과 마주치다

이번 유출을 발견한 보안 연구원 Chaofan Shou(寿超凡)는 결코 무명이 아니다. 그는 Fuzzland의 공동 창업자 겸 CTO이며, UC 버클리에서 컴퓨터 과학 박사 과정을 밟다 중퇴했고, 연구 분야는 스마트 컨트랙트 퍼징, 웹 보안, 분산 시스템을 포괄한다. 그의 취약점 발견 이력에는 Twitter(XSS + CSRF로 전체 계정 탈취 가능), Etherscan(XSS + Cloudflare 우회), Devin.ai(SSRF로 시스템 장악), Google Nest 등 유명 플랫폼이 포함되며, 누적 버그 바운티는 약 190만 달러에 달한다.

이번 발견의 기술적 난이도는 매우 낮았다: npm pack @anthropic-ai/[email protected]을 실행하고, 압축을 풀고, .map 파일을 열면 완전한 소스코드가 그대로 드러났다. Source map은 Anthropic 자체 Cloudflare R2 스토리지 버킷의 ZIP 아카이브까지 참조하고 있어 URL만 있으면 누구나 다운로드할 수 있었다. 이것은 정교한 해킹이 아니라, 보안 연구원의 일상적 ‘직업적 습관’이 존재해서는 안 될 빌드 산출물과 마주친 것이다.

핵심 통찰

AI 보안 크롤러가 사람보다 먼저 이 문제를 발견하지 못한 이유는, npm 패키지에 추가된 .map 파일이 기존의 어떤 취약점 패턴 경보도 트리거하지 않기 때문이다. 이것은 인간의 판단력이 필요했다: 비정상적 패키지 크기(59.8MB) 인지 → 호기심에 압축 해제 → 전체 소스코드임을 깨달음. 자동화 도구는 알려진 패턴을 탐지하고, 보안 연구원은 ‘뭔가 이상하다’는 감각을 탐지한다.

SECTION 03 · 핵심 노출

소스코드가 드러낸 ‘어두운 이면’: 말과 행동이 다른 기술적 증거

보안 기업들의 유출 코드 분석이 공중의 기대를 훨씬 뛰어넘는 데이터 수집·원격 제어·경쟁 공격 능력을 폭로하다

노출 내용	기술적 세부사항	브랜드 서사와의 모순
지속적 텔레메트리 전송	실행 즉시 사용자 ID, 세션 ID, 이메일, 조직 UUID, 기능 플래그 상태를 전송; 오프라인 시 ~/.claude/telemetry/에 저장	“우리는 가장 개인정보를 중시하는 AI 회사입니다”
원격 킬 스위치	매시간 원격 서버를 폴링; 6개 이상의 원격 스위치가 사용자 동의 없이 도구 동작 변경 가능; ‘위험한’ 설정 업데이트 거부 시 앱 강제 종료	“사용자가 도구를 완전히 제어합니다”
언더커버 모드	일방향 설계(강제 비활성화 옵션 없음); 오픈소스 프로젝트에서 AI 작성 사실을 자동 은폐; 모든 내부 명칭 언급 금지	“투명성과 정직은 우리의 핵심 가치입니다”
Anti-Distillation	시스템 프롬프트에 가짜 도구 정의(fake_tools) 주입 — 경쟁사의 학습 데이터를 오염시키기 위한 목적	“우리는 기술력으로 경쟁하지, 부정한 수단으로 경쟁하지 않습니다”
KAIROS 백그라운드 데몬	미공개 자율 백그라운드 에이전트 모드 — 사용자 부재 시에도 실행, autoDream ‘기억 강화’ 기능 포함	“AI는 인간의 감독 하에 운영되어야 합니다”
다크 패턴 동의	사전 체크된 데이터 공유 토글 + 눈에 띄는 ‘수락’ 버튼 + 시각적으로 약화된 ‘나중에’ 옵션	“사용자 동의는 자유롭고, 충분한 정보에 기반하며, 명시적이어야 합니다”

The Register 평가

“Anthropic의 Claude Code는 루트킷의 영구적 커널 접근 능력은 없지만, 코드 분석 결과 이 에이전트가 사용자의 컴퓨터에 대해 행사할 수 있는 제어력은 아무리 꼼꼼히 약관을 읽는 사용자라도 예상할 수 없는 수준을 훨씬 넘어선다.”

SECTION 04 · 과금 폭탄

하루 25만 건의 무효 API 호출: B2B 고객을 위한 시한폭탄

유출 코드 내부 주석이 인지하고 있었으나 수정하지 않은 과금 관련 버그를 폭로하다

소스코드 내부 주석 · autoCompact.ts

“BQ 2026-03-10: 1,279 sessions had 50+ consecutive failures (up to 3,272) in a single session, wasting ~250K API calls/day globally.”

수정 방법: MAX_CONSECUTIVE_AUTOCOMPACT_FAILURES = 3. 코드 세 줄.

Anthropic의 기업 과금 모델은 좌석 요금 + 토큰 소비량 기반 과금이다. 기업용 좌석 요금에는 사용량이 전혀 포함되어 있지 않으며, 모든 토큰은 표준 API 요금으로 별도 과금된다. auto-compact 기능이 단일 세션에서 3,272회 연속 실패했을 때, 이러한 API 호출들은 압축 목적에서는 ‘실패’했지만 API 호출 자체는 성공적으로 완료되었다 — 결과가 반환되었으며 고객 청구서에 포함되었을 가능성이 매우 높다.

더욱 우려되는 것은 코드에서 발견된 promptCacheBreakDetection.ts로, 14가지 캐시 무효화 벡터를 추적하고 있으며 그 중 하나는 DANGEROUS_uncachedSystemPromptSection()으로 표시되어 있다. 모든 캐시 무효화는 고객이 90% 캐시 할인을 받아야 할 토큰에 대해 정가를 지불했음을 의미한다. Anthropic은 내부적으로 이를 완전히 인지하고 있었다 — 코드 주석에 명확한 날짜가 기재되어 있다 — 그러나 고객에게 한 번도 공개하지 않았다.

250K

일일 무효 API 호출

1,279

영향받은 세션 수

3,272

단일 세션 최대 연속 실패

3줄

수정에 필요한 코드량

이것은 피할 수 없는 삼중 딜레마를 만들어낸다: Anthropic이 “몰랐다”고 하면 날짜가 찍힌 코드 주석이 반박하고, “알았지만 아직 미처 못 고쳤다”고 하면 세 줄짜리 수정량이 반박하고, “이 호출들은 과금되지 않았다”고 하면 이를 증명하기 위한 공개 감사가 필요한데 — 감사가 시작되면 다른 과금 관련 코드도 전부 드러나게 된다.

한편 유출 10일 전, Anthropic은 서드파티 도구 OpenCode에 적극적으로 법적 위협을 보내 Claude Code 내부 API를 통해 구독 가격으로 Opus에 접근하는 기능을 차단했다. ‘무임승차’ 차단은 즉각 대응이고, 고객에게 과다 과금하는 버그 수정은 수주일 지연 — 우선순위 선택 자체가 입장을 드러낸다.

SECTION 05 · 정치적 대립

트럼프 행정부를 위한 완벽한 탄약

유출 코드가 국방부의 ‘공급망 위험’ 지정에 새로운 사실적 근거를 제공하다

소스코드 유출 이전부터 Anthropic과 트럼프 행정부의 갈등은 이미 백열 상태였다. 국방부는 계약 협상에서 Claude 모델의 “모든 합법적 용도”에 대한 무제한 접근권을 요구했고, Anthropic은 두 가지 레드라인을 고수했다: 미국 시민에 대한 대규모 감시에 사용하지 않을 것, 완전 자율 무기에 사용하지 않을 것. 협상 결렬 후 헤그세스 국방장관은 Anthropic을 ‘공급망 위험’으로 지정했다 — 이 지정은 역사적으로 외국 적대국에만 적용되어 온 것이다.

트럼프는 공개적으로 Anthropic을 “극좌 광신자들”이라 불렀고, 헤그세스는 “오만하고 배신적”이라 했으며, 국방부 최고기술책임자 Emil Michael은 CEO Dario Amodei를 “신 콤플렉스를 가진 사기꾼”이라 칭했다. 연방 판사 Rita Lin이 3월 26일 Anthropic 측에 유리한 판결을 내렸고 — 국방부의 행위를 “Anthropic을 파괴하려는 시도로 보인다”고 했지만 — 항소는 계속 진행 중이다.

이제 유출 코드가 국방부 주장의 새로운 증거를 직접 제공한다:

국방부 주장	유출 코드의 증거
“Anthropic이 IT 시스템을 방해하거나 전복시킬 수 있다”	6개 이상의 원격 킬 스위치 — 앱 강제 종료 또는 권한 프롬프트 우회 가능
“공급망 보안 위험이 존재한다”	매시간 원격 서버 폴링; 사용자 인지 없이 설정 변경 가능
“신뢰할 수 없는 공급업체”	언더커버 모드로 신원 능동적 은폐; Anti-Distillation으로 경쟁사 데이터 오염
“보안 관리 부실”	같은 유형의 오류 반복; 5일간 두 번의 자폭

SECTION 06 · 규제 폭풍

유럽 규제기관을 위한 완벽한 표적

EU AI Act가 2026년 8월 2일 전면 시행 — 불과 4개월 앞으로

유출 코드에서 드러난 다수의 행위가 곧 전면 시행될 유럽 규제 프레임워크와 직접 충돌한다:

법규 조항	요구사항	Claude Code의 위반 행위
GDPR Art.5(1)(c)	데이터 최소화	실행 즉시 사용자 ID, 이메일, 조직 UUID 등 비필수 데이터 전송
GDPR 동의 요건	자유롭고, 충분한 정보에 기반하며, 명시적일 것	사전 체크된 데이터 공유 토글; 다크 패턴 동의 인터페이스
EU AI Act Art.50	투명성: 사용자가 AI와 상호작용 중임을 알아야 함	언더커버 모드가 AI 신원을 은폐하도록 특별 설계됨
EU AI Act 인간 감독	고위험 AI 시스템은 인간 감독 필요	KAIROS 백그라운드 에이전트가 사용자 부재 시 자율 실행

처벌 강도는 무시할 수 없다: 금지된 AI 관행 배치 시 최대 3,500만 유로 또는 글로벌 연간 매출의 7%에 달하는 벌금이 부과될 수 있다. Anthropic의 연환산 매출 190억 달러 기준으로 7%는 약 13.3억 달러이다. 그리고 가장 역설적인 점: 규제기관은 이제 조사를 위한 증거 수집조차 필요 없다 — 완전한 소스코드가 이미 GitHub에 공개되어 있기 때문이다.

SECTION 07 · 경쟁 공격

슈퍼볼 서사의 완벽한 역전

도덕적 고지에서 추락하면, 평지에서 넘어지는 것보다 훨씬 더 아프다

2026년 2월 슈퍼볼 광고전에서 Anthropic은 수백만 달러를 투입해 “기만”, “배신”, “반역”, “침해”라는 제목의 풍자 광고를 집행하며, ChatGPT에 광고를 도입하기로 한 OpenAI의 결정을 직접 공격했다. OpenAI CEO Sam Altman은 이 광고들을 “오도적”이고 “명백히 부정직하다”고 했다.

이제 소스코드 유출은 경쟁사에 완벽한 반격 서사를 제공한다:

경쟁사의 잠재적 공격 각도

OpenAI가 할 수 있는 말: “ChatGPT에 광고 넣는다고 비웃었죠? 광고는 적어도 사용자가 볼 수 있습니다. 당신들의 텔레메트리 전송, 원격 킬 스위치, 백그라운드 에이전트 — 이것들이야말로 진짜 ‘침해’이고, 사용자는 전혀 모릅니다.”

더 치명적인 공격

과금에 대해: “그들은 우리 광고를 비즈니스 모델이라고 조롱했습니다 — 적어도 우리 광고는 눈에 보입니다. 그들의 요금은? 보이지도 않습니다.” — 이 서사의 파괴력은 핵무기급이다.

Gartner는 또한 대부분의 보도가 놓친 세부사항을 지적했다: Anthropic 자체 공개 자료에 따르면, Claude Code는 90%가 AI 생성이다. 인간 저작을 요구하는 현행 미국 저작권법 하에서 유출 코드의 지적재산 보호 강도는 크게 약화된다. 경쟁사는 유출 코드의 아키텍처 패턴을 합법적으로 참고할 수도 있다.

SECTION 08 · 연쇄 반응

전면적 위기의 연쇄 폭발 경로

모든 고리의 폭발이 다음 고리를 가속시킨다

소스코드 유출

→

보안 분석이 개인정보/과금 문제 폭로

→

기업 고객 감사 요구

→

감사가 더 많은 문제 노출

→

유럽 규제기관 개입

→

미디어 증폭

→

경쟁사 공격

→

추가 고객 이탈

→

국방부 항소 새 증거

→

IPO 밸류에이션 압박

Anthropic이 직면한 궁극적 역설은 이것이다: ‘안전 최우선’과 ‘신뢰할 수 있는 기업’을 강조할수록, 유출로 인한 역풍은 더 파괴적이 된다. 처음부터 Meta처럼 순수 상업 기업으로 포지셔닝했다면 대중의 기대가 이렇게 높지 않았을 것이고, 그 격차도 이렇게 크지 않았을 것이다. 그러나 Anthropic은 ‘안전’과 ‘신뢰’를 핵심 브랜드 서사로 선택했고, 슈퍼볼에서 경쟁사의 비즈니스 모델을 조롱했고, 자신의 ‘원칙’을 증명하기 위해 국방부와 싸웠다 — 그리고 자사의 코드가 말하는 것과 정반대의 행동을 하고 있었음을 증명해버렸다.

핵심 판단

도덕적 고지는 세상에서 가장 위험한 위치다 — 거기서 추락하면 평지에서 넘어지는 것보다 훨씬 더 아프기 때문이다. Anthropic은 도덕적 고지를 이용해 가장 눈에 띄는 위치에 자신을 밀어올렸고, 이제 모든 스포트라이트가 균열 위를 비추고 있다.

SECTION 09 · 리스크 확률

각 차원별 문제 촉발 확률 평가

기존 증거와 신호에 기반한 6~12개월 내 촉발 확률 예측

경쟁사가 유출을 활용한 공격
90–95%

내부 보안 거버넌스 전면 개편
95%+

기업 고객 과금 감사 / 신뢰 위기
85–90%

유럽 규제 개입 (GDPR + EU AI Act)
80–85%

IPO 계획 연기 또는 밸류에이션 하향
75–80%

트럼프 행정부/국방부의 유출 코드 활용
70–75%

집단 소송 (과금 관련)
60–70%

종합 평가: 상기 전면적 위기가 향후 6~12개월 내에 어떤 형태로든 실질적으로 전개될 확률은 80% 이상이다. 모든 문제는 병렬적이 아니라 연쇄적이다 — 모든 고리의 폭발이 다음 고리를 가속시킨다.

SECTION 10 · 결론

단순한 실수가 아니다: 시스템적 리스크의 전면 노출

Claude Code 소스코드 유출은 단순한 엔지니어링 실수가 아니다. 그것은 Anthropic이 브랜드 서사와 실제 행동 사이에서 오랫동안 축적해 온 구조적 모순을 드러내는 균열이다. 이 모순은 다섯 개 차원에서 동시에 폭발했다:

고객

과금 신뢰 붕괴 / 감사 압력

정부

국방부 항소 새 탄약 / 트럼프 적대

규제

GDPR + EU AI Act 4개월 카운트다운

경쟁

브랜드 서사 역전 / 아키텍처 청사진 공개

자본

IPO 밸류에이션 압박 / 투자자 신뢰

이 모든 차원에서 과금 신뢰가 가장 치명적인 고리다. 기술적 버그는 고칠 수 있고, 보안 프로세스는 보완할 수 있고, PR 위기는 관리할 수 있다 — 그러나 “이 회사가 과다 청구하고 있을 수 있다”는 의심이 한번 자리 잡으면, 모든 청구서가 면밀히 검토될 것이다. SaaS가 AI 사용량 기반 과금으로 전환하는 지금, 미터링의 검증 가능성은 전체 비즈니스 모델의 신뢰 기반이다. 이 기반이 흔들리면 이것은 Anthropic 한 회사만의 문제가 아니라, AI 종량제 모델 전체의 신뢰 위기가 된다.

다른 회사들의 데이터 수집은 공개적이고 투명하다 — 처음부터 이용 약관에 명시된 공개 행위다. 유출 코드가 증명한 Anthropic의 방식은 달랐다: 먼저 ‘안전’과 ‘프라이버시’라는 브랜드 서사로 사용자를 끌어들이고, 그 후 사용자 모르게 클라이언트 도구에 사용자 기대를 훨씬 넘어서는 데이터 수집 및 원격 제어 기능을 심어 놓았다. 이것은 일반적인 프라이버시 문제가 아니다 — 이것은 신뢰에 대한 배신이다. 비즈니스 윤리에서 공개적으로 인정된 ‘악’은 ‘선’으로 위장한 ‘악’보다 훨씬 용서받기 쉽다.

최종 판단

Anthropic이 앞으로 어떤 시정 정책을 채택하든, 고객 신뢰를 회복하기는 극히 어려울 것이다. 모든 고객에게 — B2B든 B2C든 — 과다 과금은 소비자의 절대적 마지노선이기 때문이다. 의심이 시작되는 순간이 폭발적 연쇄 반응의 기점이다. 코드는 GitHub에 있고, 증거 체인은 완전하며, 피해자 집단은 명확하다. 누군가 법적 무기를 동원한다면, Anthropic은 극도로 불리한 위치에 놓이게 될 것이다. 이것은 ‘인적 오류’라는 네 글자로 치부할 수 있는 사건이 아니다 — 이것은 한 기업의 시스템적 리스크의 전면 노출이다.

참고 출처 · References

The Register, “Claude Code’s source reveals extent of system access,” April 1, 2026
VentureBeat, “Claude Code’s source code appears to have leaked: here’s what we know,” March 31, 2026
VentureBeat, “5 actions enterprise security leaders should take now,” April 1, 2026
Fortune, “Anthropic leaks its own AI coding tool’s source code in second major security breach,” March 31, 2026
CNBC, “Anthropic wins preliminary injunction in Trump DOD fight,” March 26, 2026
CNN, “Anthropic sues the Trump administration after it was designated a supply chain risk,” March 9, 2026
Help Net Security, “Does Anthropic deserve the trust of the cybersecurity community?” March 12, 2026
The Decoder, “Anthropic uses a questionable dark pattern to obtain user consent,” August 29, 2025
AI-Buzz, “Anthropic’s Claude Deploys Dark Pattern That Defies GDPR Guidelines,” August 31, 2025
CNBC, “Anthropic got an 11% user boost from its OpenAI-bashing Super Bowl ad,” February 13, 2026
Layer5, “The Claude Code Source Leak: 512,000 Lines, a Missing .npmignore,” April 1, 2026
Alex Kim’s Blog, “The Claude Code Source Leak: fake tools, frustration regexes, undercover mode,” March 31, 2026
Cybernews, “Leaked Claude Code source spawns fastest growing repository in GitHub’s history,” April 1, 2026
WaveSpeedAI, “What Is claw-code? The Claude Code Rewrite Explained,” April 1, 2026
GitGuardian, “State of Secrets Sprawl 2026 Report,” March 17, 2026
EU AI Act official documentation, digital-strategy.ec.europa.eu
Anthropic Responsible Scaling Policy, anthropic.com
LessWrong, “Anthropic Responsible Scaling Policy v3: A Matter of Trust,” April 1, 2026
Atlantic Council, “The Anthropic standoff reveals a larger crisis of trust over AI,” March 2026
Breaking Defense, “Trump admin’s comments could undermine case against Anthropic in court,” March 23, 2026