Claude Code 백도어 경고(2.1.91–2.1.196): 은닉술 기술 분석 및 개발자 대응 가이드(2026)
2026년 7월 8일, 중국 공업정보화부 사이버보안 위협·취약점 정보 공유 플랫폼(NVDB)은 Anthropic의 AI 프로그래밍 도구 Claude Code가 v2.1.91–2.1.196에서 심각한 보안 백도어 위험을 안고 있다고 경고했습니다. AI 코딩 도구를 사용 중이라면 지금 claude --version으로 버전을 확인하세요. 본 글은 규제 기관의 정성을 축으로 타임라인, 은닉술 기술 메커니즘, NVDB/Anthropic/알리바바 각사 성명, 미중 모델 증류 배경, 개인·기업 대응 체크리스트, 5단계 Runbook, FAQ 10문항을 포괄합니다.
- 규제 정성: NVDB는 내장 모니터링 메커니즘이 사용자 동의 없이 지역·신원 식별자 등 민감 정보를 전송할 수 있다고 지적.
- 영향 버전: v2.1.91(4월 2일)〜 v2.1.196(6월 29일); 수정 버전은 v2.1.197+.
- 발화 조건:
ANTHROPIC_BASE_URL이 비공식 엔드포인트를 가리킬 때만——공식 API 사용자는 영향 없음. - 기업 연쇄: 알리바바는 7월 10일부터 Claude Code 사용 금지, 내부 도구 Qoder로 전환.
- 즉시 조치: 업그레이드 또는 제거 → 로컬 잔여 파일 정리 → 개발 단말 아웃바운드 트래픽 감사.
목차
1. 과제: 규제 정성과 기술 세부의 혼동——잘못된 표현은 신뢰성을 해칩니다
- 자극적 제목의 오해: 「Claude Code가 모든 사용자를 모니터링」이라는 보도가 흔하지만, 실제로는 비공식
ANTHROPIC_BASE_URL을 설정한 프록시 사용자만 대상. 기술 독자는 이 점에서 글 전체의 신뢰성을 의심합니다. - 「백도어」와 「실험」의 정성 대립: NVDB는 「보안 백도어 위험」, Anthropic은 「반남용/반증류 실험」, 기술계는 「은닉술 기반 은밀 채널」——다방의 긴장 관계를 보여주지 않으면 일방적 선전으로 보입니다.
- 컴플라이언스 긴급성: 7월 8일 공식 정성이 1차 파도, 7월 10일 알리바바 금지가 2차 파도. 기업 IT는 극히 짧은 시간에 버전 점검과 외부 연결 감사를 완료해야 합니다.
이 뉴스는 단순 규제 통보보다 Anthropic이 중국 관련 사용자 식별용 코드를 삽입 → 개발자 역분석 공개 → 벤더 사과·롤백 → 알리바바 금지 → 공信부가 백도어로 정성이라는 연쇄 스토리입니다. 올바른 기술·관리 판단을 위해 이 연쇄를 이해해야 합니다.
2. 사건 조사 요약
2026년 7월 8일, 중국 공업정보화부 사이버보안 위협·취약점 정보 공유 플랫폼(NVDB)은 미국 Anthropic社의 AI 프로그래밍 도구 Claude Code에 심각한 보안 백도어 위험이 존재한다는 위험 경고를 발표했습니다.
| 항목 | 내용 |
|---|---|
| 위험 성격 | 내장 모니터링 메커니즘이 사용자 동의 없이 민감 정보 전송 가능 |
| 전송 내용 | 사용자 지역, 신원 식별자 등 민감 정보 |
| 영향 버전 | v2.1.91 〜 v2.1.196 |
| 버전 배포 기간 | 2026년 4월 2일 〜 6월 29일 |
| 공식 대처 권고 | 영향 버전 즉시 제거/최신 안전 버전으로 업그레이드; 개발 단말 외부 연결 관리·트래픽 모니터링 강화 |
| 기업 동향 | 알리바바 등이 사용 제한·금지, 내부 대체 도구로 전환 |
| 벤더 응답 | Anthropic은 「실험적」 반남용/반모델 증류 조치로 인정, 후속 버전에서 제거 약속 |
3. 완전 타임라인
| 시기 | 사건 |
|---|---|
| 2026년 2월 | Anthropic이 반모델 증류 기술(분류기, 행동 핑거프린트, 정보 공유 등) 투자를 공표 |
| 2026년 3월 | Claude Code 내부에 은밀 탐지 메커니즘 조용히 도입(공개 공시 없음) |
| 2026-04-02 | Claude Code v2.1.91 릴리스, 은밀 탐지 코드 배포 시작 |
| 2026-04 〜 06 | 약 20개 버전에 걸쳐 탐지 로직 지속, changelog에 한 번도 기재 없음 |
| 2026-06-29 | v2.1.196 릴리스(영향 구간 최종 버전) |
| 2026-06-30 | Reddit 사용자 LegitMichel777이 은닉술 탐지 로직 최초 공개; Thereallo 기술 분석 발표; Adnane Khan이 GitHub에 역분석 보고서 공개, v2.1.193/195/196에서 해당 로직 검증 |
| 2026-07-01 | Anthropic 엔지니어 Thariq Shihipar가 X에서 공개 인정, 3월 도입 「실험적」 반남용/반증류 조치라 설명, 다음 날 버전 롤백 약속 |
| 2026-07-02 | Claude Code v2.1.197(일부 보도 v2.1.198) 릴리스, 은닉 탐지 코드 제거, changelog에 명시 기재 없음 |
| 2026-07-03/04 | 로이터, TechCrunch 보도: 알리바바가 7월 10일부터 직원의 Claude Code 및 Anthropic 관련 모델 사용 전면 금지, 내부 도구 Qoder로 전환한다는 내부 통지 |
| 2026-07-08 | 공信부 NVDB가 공식 위험 경고 발표, 「심각한 보안 백도어 위험」으로 정성 |
| 2026-07-10 | 알리바바 내부 금지령 공식 발효 |
4. 실제 영향을 받는 사용자: 발화 조건 설명(오해 방지 핵심)
은밀 메커니즘은 모든 사용자에게 유효하지 않습니다. 환경 변수 ANTHROPIC_BASE_URL을 설정해 API 요청을 비공식 엔드포인트(기업 게이트웨이, 서드파티 프록시, API 중계/재판매 서비스)로 보낼 때만 활성화됩니다. 공식 api.anthropic.com을 사용하는 일반 사용자는 발화하지 않습니다.
직접적 결과는 확인된 「데이터 유출 사고」보다 계정 정지 위험 가능성이 높습니다——공개 보도에서 구체적 경제 손실이나 데이터 악용은 미확인. 서술은 「미공개 모니터링 행위」와 「컴플라이언스 리스크」에 초점을 맞추고 과도한 선동은 피해야 합니다.
5. 기술 메커니즘 상세
5.1 환경 정찰: 「중국 관련 사용자」인지 판별
발화 조건이 성립하면 코드는 두 가지 판별을 수행합니다:
- 시스템 시간대 탐지:
Asia/Shanghai또는Asia/Urumqi여부 - 프록시 도메인 블랙리스트 매칭:
ANTHROPIC_BASE_URL의 hostname을 내장 목록과 대조
블랙리스트는 다방의 역분석(LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach 등)에 따르면 147개 항목. 중국 대형 테크 기업 도메인(알리, 바이두, 바이트댄스 등), 중국 AI 랩 키워드(DeepSeek, Moonshot, 智谱, MiniMax, Baichuan, StepFun, 01.AI 등), 알려진 API 프록시/재판매 게이트웨이 포함. 목록은 XOR 암호화(키 91) + Base64 인코딩으로 이중 난독화되어 표준 strings 검색으로 직접 추출 불가.
5.2 은닉 인코딩: system prompt를 변조해 결과 전송
이번 사건이 「은닉술(steganography)」로 불리는 이유——독립 데이터 전송 채널이 아니라 모델에 보내는 system prompt 자체를 변조하기 때문입니다:
- 날짜 구분자: 중국 시간대 적중 시 날짜 형식이
2026-06-30(하이픈)에서2026/06/30(슬래시)로 변화 - Unicode 아포스트로피 치환:
Today's date is의 표준 아포스트로피'가 시각적으로 거의 구분 불가하나 Unicode 코드포인트가 다른 3종 따옴표로 치환되어 「시간대 적중/도메인 적중/AI 랩 키워드 적중」 3개 불리언 플래그 인코딩
이 메커니즘은 1개 날짜 형식 비트 + 3종 따옴표 변형으로 약 3bit 환경 정보를 겉보기 정상인 영문 한 문장에 숨깁니다. 보안 연구자 Adnane Khan은 이를 "a covert information channel embedded in system prompts"(system prompt에 내장된 은밀 정보 채널)로 정의했습니다.
5.3 「일반 텔레메트리」와의 경계
Claude Code 자체에는 일반 데이터 수집(이벤트 로그, Datadog, OpenTelemetry 등)이 있으며, 유사 CLI/IDE Agent 도구에서 흔합니다. 이번 논점은:
- 은닉술을 사용하고, 사용자가 발견·비활성화할 수 있는 정규 텔레메트리 채널이 아님
- 약 3개월간 changelog에 전혀 공시되지 않음
- 특정 지역과 특정 상업 경쟁 상대를 겨냥한 핑거프린팅
- 파일시스템 읽기/쓰기, Shell 명령 실행 등 고권한을 가진 도구로서 「보이지 않는 동작」에 대한 허용도는 원래 더 낮아야 함
5.4 버전 및 자가 점검 명령 요약표
| 유형 | 버전 | 날짜 |
|---|---|---|
| 은밀 메커니즘 포함 최초 버전 | v2.1.91 | 2026-04-02 |
| 마지막 영향 버전 | v2.1.196 | 2026-06-29 |
| 수정 버전 | v2.1.197(일부 구분 v2.1.198) | 2026-07-01/02 |
완전 제거 시 삭제할 잔여 경로: macOS/Linux — ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code; Windows — %USERPROFILE%\.claude 및 관련 캐시 디렉터리. 기업 환경에서는 제거가 끝이 아니라 개발 단말 아웃바운드 트래픽 감사가 필요합니다.
인용 가능한 하드 데이터: 147개 블랙리스트 도메인 항목; 약 20개 버전에 미공개 로직 지속; 3 bit 은닉 인코딩(1 날짜 비트 + 3 따옴표 변형).
6. 각사 성명 및 용어 대조
6.1 공信부 / NVDB
- 정성: 심각한 보안 백도어 위험
- 서술: 내장 모니터링 메커니즘이 사용자 동의 없이 원격 서버로 사용자 지역, 신원 식별자 등 민감 정보 전송
- 대처 권고: 개발 단말 전면 점검 → 제거 또는 업그레이드 → 핵심 업무 네트워크 외부 연결 권한 관리 및 트래픽 모니터링 강화
6.2 Anthropic / Thariq Shihipar
"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."
번역 요점: 「실험(experiment)」으로 정성하고 「백도어(backdoor)」가 아님. 계정 재판매 남용 방지와 모델 증류 방지가 목적. 보충: Anthropic은 미 상원 은행위원회에 서한을 보내 알리바바 Qwen 팀이 약 2.5만 개의 사기 계정, 2880만 회 상호작용으로 Claude 모델 능력 탈취를 시도했다고 제소.
6.3 알리바바
- 내부 통지 문구(SCMP, Ars Technica 보도): "As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities."
- 발효일: 2026년 7월 10일
- 범위: Claude Code 및 Anthropic 관련 모델 제품(Sonnet, Opus, Fable 등)
- 대안: 내부 프로그래밍 플랫폼 Qoder
6.4 국제 미디어 정성 용어 대조표
| 출처 | 주요 정성 용어 | 내러티브 초점 |
|---|---|---|
| NVDB / 公信부 | backdoor code / security backdoor risk / severe threat | 컴플라이언스 및 데이터 외부 전송 리스크 |
| CNBC / Reuters / CBS | security backdoor / built-in monitoring mechanism | 규제 정성 중립 전달 + 기업 연쇄 반응 |
| The Register | covert code / secret steganography system | 기술적 비판 + 미공개 업데이트에 대한 설명 책임 |
| Ars Technica | spyware-like tracking / secret Claude tracker | 신뢰 위기 + 정책 분석 |
| Cybernews | "a nothing burger"(일부 기술계 견해) | 과잉 반응론, 실질은 반증류 엔지니어링 수단 |
| Anthropic 공식 | experiment / anti-abuse / anti-distillation measure | 정당한 방어 목적, 악의적 모니터링이 아님 강조 |
7. 배경: 미중 AI 증류 경쟁
이는 고립 사건이 아니라 2026년 미중 AI 경쟁의 축소판입니다:
- Anthropic은 장기간 중국 및 「적대 지역」 사용자의 직접 접근을 금지. VPN, 해외 전화번호/신용카드, 서드파티 프록시로 우회 가능
- 2026년 2월, 베이징대와 중국과학원 연구자가 논문 발표, 주요 중국 대형 모델 다수에 해외 모델 증류 흔적 검출 보고
- Anthropic은 이전 DeepSeek, Moonshot AI, MiniMax, 알리바바 등이 Claude 출력을 무허가로 자사 모델 훈련에 이용했다고 제소
- Claude Opus 4.8이 테스트에서 「자신이 Qwen/DeepSeek」이라고 오인한 사례가 이중 기준의 증거로 일부 논의됨
- 중국 기업은 자체 개발/오픈소스 모델 체계(DeepSeek, 통义 Qwen, Kimi/Moonshot, 智谱, MiniMax 등)로 전환. 알리바바 내부 도구 Qoder는 이 트렌드의 구체적 사례
8. 팩트체크 및 서술 리스크
- ⚠️ 모든 사용자가 모니터링되는 것이 아님——
ANTHROPIC_BASE_URL로 비공식 엔드포인트를 경유하는 사용자만 발화 - ⚠️ 수정 버전 번호에 두 가지 구분: 다수 1차 보도는 v2.1.197, 일부 중국 기술 미디어는 v2.1.198——「2.1.197 이상」으로 통일 권장
- ⚠️ 「백도어」는 규제 정성이지 유일한 정성이 아님——기술계는 「은닉술 탐지 메커니즘」 또는 covert channel로 표현
- ⚠️ 직접 결과는 계정 정지 위험이며 확인된 데이터 유출 사고가 아님
- ⚠️ 버전 공개일에 미세한 차이(6월 29일/6월 30일)——공식 GitHub changelog 기준 권장
9. 버전 대조 및 의사결정 매트릭스
| 사용자 시나리오 | 탐지 발화 | 권장 조치 | 리스크 수준 |
|---|---|---|---|
| 공식 api.anthropic.com, BASE_URL 미설정 | 아니오 | 영향 버전이면 2.1.197+ 업그레이드 권장 | 낮음 |
| 기업 게이트웨이/서드파티 프록시(BASE_URL 설정됨) | 예 | 즉시 업그레이드 또는 제거; 아웃바운드 트래픽 감사 | 높음 |
| 중국 시간대 + 프록시 엔드포인트 | 예(이중 신호) | 업그레이드 + 대체 도구 평가(Qoder/Cursor 등) | 높음 |
| 기업 직원(알리바바 등 금지) | — | 내부 금지령 준수, Qoder 또는 컴플라이언트 대안으로 전환 | 컴플라이언스 강제 |
| v2.1.197+ 업그레이드 완료 | 아니오(코드 제거됨) | changelog 투명성 지속 모니터링; 조직 정책에 따라 계속 사용 평가 | 중간 |
10. 개인 개발자와 기업 IT 대응 체크리스트
개인 개발자 Checklist
- ☐
claude --version으로 2.1.91–2.1.196 구간인지 확인 - ☐
echo $ANTHROPIC_BASE_URL이 비공식 엔드포인트를 가리키지 않는지 확인 - ☐ v2.1.197+로 업그레이드, 또는 완전 제거 및 잔여 디렉터리 삭제
- ☐ Claude Code 계속 사용 또는 Cursor 등 대체 도구 전환 평가
기업 IT Checklist
- ☐ 개발 단말 Claude Code 설치 및 버전 분포 전면 점검
- ☐ 핵심 업무 네트워크 외부 연결 권한 관리 및 트래픽 모니터링(egress filtering) 강화
- ☐ Claude Code를 소프트웨어 화이트리스트/블랙리스트 정책에 편입 평가
- ☐ 내부 대안(Qoder, 자체 Agent 플랫폼, Mac 클라우드 격리 노드) 평가
- ☐ 대처 과정을 컴플라이언스 감사용으로 기록
11. 5단계 자가 점검 및 대처 Runbook
- 버전 확인:
claude --version또는npm list -g @anthropic-ai/claude-code실행 후 상표에서 영향 구간 여부 판단. - 엔드포인트 확인:
echo $ANTHROPIC_BASE_URL실행.api.anthropic.com이외를 가리키면 고관심 대상. - 업그레이드 또는 제거:
npm install -g @anthropic-ai/claude-code@latest또는claude update; 완전 삭제 시~/.claude등 잔여 경로 삭제. - 아웃바운드 트래픽 감사(기업): 개발 단말에서 비인가 AI 서비스 엔드포인트로의 지속적 외부 연결 확인; egress filtering 설정.
- 대안 평가: 개인/기업 시나리오에 따라 Qoder, Cursor, 또는 격리 Mac 클라우드 노드에서 Agent 워크플로 실행 옵션 평가.
12. 자주 묻는 질문(FAQ)
Q1: Claude Code에 백도어가 있나요?
v2.1.91–2.1.196에서 Anthropic이 미공개 은닉술 탐지 메커니즘을 내장했습니다. 공信부 NVDB는 보안 백도어 위험으로 정성했고, Anthropic은 반증류 실험이라 설명하며 v2.1.197에서 제거했습니다.
Q2: 영향을 받는 버전은?
v2.1.91(2026년 4월 2일)부터 v2.1.196(2026년 6월 29일)까지. v2.1.197 이상으로 업그레이드하세요.
Q3: 공식 API 사용자도 모니터링되나요?
아니요. ANTHROPIC_BASE_URL이 비공식 프록시/게이트웨이를 가리킬 때만 활성화됩니다.
Q4: 버전 확인 방법은?
터미널에서 claude --version을 실행하세요.
Q5: 제거해야 하나요?
영향 버전이면 즉시 업그레이드. 컴플라이언스 요건이 있는 기업은 추가로 제거 및 아웃바운드 트래픽 감사를 권장합니다.
Q6: 은닉술은 어떻게 작동하나요?
system prompt의 날짜 구분자와 Unicode 아포스트로피 변형을 변경해 시간대/도메인/AI 랩 적중 플래그를 인코딩합니다.
Q7: 알리바바는 왜 금지했나요?
알리바바는 Claude Code를 고위험 소프트웨어로 지정하고 7월 10일부터 직원 사용을 금지, Qoder로 전환했습니다.
Q8: changelog에 공개되었나요?
아니요. 모든 영향 버전 및 제거 버전 changelog에 명시 기재가 없습니다.
Q9: 현재는 안전한가요?
v2.1.197+에서 관련 코드는 제거됨. 계속 사용은 조직 리스크 허용도에 따름.
Q10: 모델 증류와 사건의 관계는?
Anthropic은 미승인 재판매와 증류 방지가 목적이라 설명. 알리바바 Qwen 팀이 약 2.5만 개 사기 계정으로 Claude를 대규모 증류했다고 제소했습니다.
13. 요약 및 면책 조항
본 글의 가치는 규제 뉴스 전달이 아니라 규제 정성 + 기술적 은닉 메커니즘 + 미중 AI 경쟁 배경 세 가지 축을 하나로 엮는 데 있습니다. 개인 개발자든 기업 IT든, 현 시점 가장 실용적인 조치는: 먼저 버전 확인, 다음 엔드포인트 확인, 그다음 업그레이드 또는 제거, 마지막 아웃바운드 트래픽 감사입니다.
개인 PC나 비격리 Linux VPS에서 Claude Code나 유사 AI Agent를 계속 운영하면 기본 개발은 가능하지만, 벤더 투명성 불확실성, 아웃바운드 트래픽 감사 어려움, 프로덕션 코드베이스/시크릿과의 공존이라는 세 가지 장기 리스크가 있습니다. 팀이 컴플라이언스 민감 또는 7×24 Agent 프로덕션 단계에 들어갈 때 VPSMAC M4 Mac 클라우드 노드 임대로 AI 프로그래밍 워크플로를 전용 Apple Silicon 환경에 격리할 수 있습니다——SSH가 유일한 진입점, API 키와 프로덕션 자산의 물리적 분리, launchd 프로세스 안정성, 완전한 Xcode/Apple 툴체인 호환성 유지. Claude Code 대안이 필요하면서 macOS 네이티브 경험을 포기하고 싶지 않은 팀에게 일반 VPS에서 억지로 환경을 맞추는 것보다 감사 가능하고 번거로움이 적은 선택입니다.
면책 조항: 본 글은 공信부 NVDB 공고 및 공개 미디어 보도를 바탕으로 정리·분석한 것이며, 법률 자문이나 보안 감사 결론을 구성하지 않습니다. 제거, 금지, 트래픽 관리 조치 전에 자기 조직의 보안 정책에 따라 독립적으로 평가하세요.
14. 참고 출처
- IT之家:《工信部发布风险提示:Claude Code 存在安全后门》
- 新京报:《工信部:Claude Code存在安全后门隐患,危害严重》
- 36氪:《工信部首次定调:Claude Code危害严重》
- 腾讯云开发者社区:《Claude Code 被爆暗藏"木马"代码,Anthropic 官方出面承认并承诺回滚》
- CNBC — China warns about AI risks with Anthropic's Claude Code
- The Register — China: Ditch older Claude versions with backdoor code
- The Register — Anthropic is removing its covert code for catching Chinese competitors
- TechCrunch — Alibaba reportedly bans employees from using Claude Code
- Ars Technica — Secret Claude tracker shocks users after Anthropic's anti-surveillance stance
- The Decoder — Hidden code in Claude Code secretly flagged Chinese users
- Thereallo — Claude Code Is Steganographically Marking Requests
- Vincent Schmalbach — Claude Code Is Quietly Fingerprinting China-Linked API Routers
- Cybernews — Claude Code attempts to detect Chinese users: Fair?