Claude Code 백도어 해설: MIIT NVDB 경고와 영향 버전 조치 가이드

숨겨진 지문 · v2.1.91–2.1.196 · NVDB 공식 경고 · 알리바바 금지 · 버전 자가 점검 Runbook

MIIT NVDB Claude Code 백도어 경고 이후 터미널 버전 확인

2026년 7월 8일 중국 MIIT NVDB가 Anthropic Claude Code v2.1.91–v2.1.196심각한 보안 백도어 위험이 있다고 경고했습니다. 내장 모니터링 메커니즘이 사용자 동의 없이 지역·신원 관련 식별자를 전송할 수 있다는 내용입니다. Claude Code를 사용 중이거나 AI 코딩 도구 컴플라이언스를 평가 중이라면 지금 claude --version으로 버전을 확인하세요. 본문은 전체 타임라인, 트리거 조건, 스테가노그래피 원리, NVDB·Anthropic·알리바바 각각의 입장, 증류 전쟁 배경, 6단계 Runbook, FAQ 10개를 정리합니다.

요약: 영향 버전 v2.1.91(4월 2일)–v2.1.196(6월 29일), v2.1.197+에서 수정. ANTHROPIC_BASE_URL이 비공식 프록시를 가리킬 때만 트리거되며 공식 API 사용자는 영향 없습니다. Anthropic은 반증류 실험이라고 설명했고 NVDB는 백도어로 분류했습니다. 즉시 업그레이드하고, 기업은 아웃바운드 트래픽을 감사하세요.

01

영향을 받나요? Claude Code 버전 확인부터

숨겨진 메커니즘은 모든 사용자에게 작동하지 않습니다. ANTHROPIC_BASE_URL 환경 변수가 비공식 엔드포인트(엔터프라이즈 게이트웨이, 서드파티 프록시, API 재판매)를 가리킬 때만 활성화됩니다.

사용자 유형ANTHROPIC_BASE_URL트리거 여부조치
공식 API 사용자미설정 또는 api.anthropic.com아니오2.1.197+ 업그레이드
엔터프라이즈 게이트웨이 사용자커스텀 프록시 엔드포인트예(영향 버전일 때)업그레이드 + 아웃바운드 감사
API 재판매 사용자서드파티 도메인예(147개 블랙리스트)업그레이드 + 컴플라이언스 검토
버전 유형번호날짜상태
최초 영향 버전v2.1.912026-04-02취약
마지막 영향 버전v2.1.1962026-06-29취약
수정 버전v2.1.197 / 2.1.1982026-07-01/02안전
  1. 01

    프록시 엔드포인트 위험: 내부 게이트웨이로 Claude를 라우팅하는 팀은 호스트명이 147개 XOR 난독화 블랙리스트 항목과 대조되었습니다. 알리바바, 바이두, 바이트댄스, DeepSeek, Moonshot, Zhipu, MiniMax 및 알려진 재판매자가 포함됩니다.

  2. 02

    약 3개월 미공개: 4월부터 6월까지 약 20개 버전에 걸쳐 변경 로그에 전혀 언급되지 않았습니다. 이것이 신뢰 위반의 핵심입니다.

  3. 03

    고권한 도구: Claude Code는 파일시스템 읽기/쓰기와 셸 실행 권한을 갖습니다. 이런 도구에서 은밀한 동작은 일반 텔레메트리와는 다른 선을 넘습니다.

02

무슨 일이 있었나: Reddit 노출부터 MIIT NVDB 경고까지

Claude Code는 Anthropic의 터미널 기반 AI 코딩 Agent입니다. 사건 흐름은 Anthropic이 조용히 탐지 코드를 삽입 → 개발자가 역공학으로 노출 → Anthropic이 사과하고 롤백 → 알리바바가 금지 → 중국 NVDB가 심각한 백도어 위험으로 분류입니다.

  1. 02

    2026년 2월: Anthropic이 반증류 기술(분류기, 행동 지문)에 투자한다고 공개 발표합니다.

  2. 03

    2026년 3월: Claude Code 내부에 은밀 탐지 메커니즘이 배포되며 공개 공시는 없었습니다.

  3. 04

    4월 2일: v2.1.91이 탐지 코드와 함께 배포됩니다.

  4. 06

    6월 29일: v2.1.196이 영향 구간의 마지막 버전으로 배포됩니다.

  5. 30

    6월 30일: Reddit 사용자 LegitMichel777이 스테가노그래피를 노출하고, Thereallo가 기술 분석을 게시하며, Adnane Khan이 GitHub에서 v2.1.193/195/196을 검증합니다.

  6. 01

    7월 1일: Claude Code 엔지니어 Thariq Shihipar가 X에서 3월 「실험」이었으며 남용·증류 방지 목적이라고 인정하고 다음 날 롤백을 약속합니다.

  7. 02

    7월 2일: v2.1.197이 코드를 제거하지만 변경 로그에는 해당 변경이 명시되지 않습니다.

  8. 03

    7월 3–4일: Reuters와 TechCrunch가 알리바바가 7월 10일부터 Claude Code를 금지하고 내부 도구 Qoder로 전환한다고 보도합니다.

  9. 08

    7월 8일: 중국 NVDB가 공식 경고를 발표합니다. 내장 모니터링 메커니즘이 사용자 동의 없이 위치·신원 관련 식별자를 전송한다고 설명하며 심각한 백도어 위험으로 분류합니다.

  10. 10

    7월 10일: 알리바바 내부 금지가 공식 발효됩니다.

NVDB 조치 권고: 개발 터미널 전면 점검 → 영향 버전 제거 또는 최신 안전 버전으로 업그레이드 → 핵심 업무 네트워크 아웃바운드 권한 통제 및 트래픽 모니터링 강화.

03

Claude Code 스테가노그래피 지문: 작동 원리 3단계

기술 커뮤니티가 스테가노그래피라 부르는 이유는 별도 보고 채널이 없었기 때문입니다. 도구가 시스템 프롬프트 자체를 조작했습니다. 보안 연구원 Adnane Khan은 이를 「시스템 프롬프트에 내장된 은밀 정보 채널」로 정의했습니다.

  1. 01

    트리거: ANTHROPIC_BASE_URL이 비공식 엔드포인트로 설정됩니다.

  2. 02

    환경 정찰: 타임존이 Asia/Shanghai 또는 Asia/Urumqi인지 확인하고, 프록시 호스트명을 147개 XOR(key=91) + Base64 난독화 블랙리스트와 대조합니다.

  3. 03

    은밀 인코딩: 중국 타임존이면 날짜 구분자가 2026-06-30에서 2026/06/30으로 바뀝니다. Today's date is의 아포스트로피가 U+0027, U+2019, U+02BC 등 육안으로 구분되지 않는 유니코드 변형으로 교체되어 3개 불리언 플래그를 인코딩합니다. 평범해 보이는 영문 문장에 약 3비트 환경 데이터가 숨겨져 매 요청과 함께 전송됩니다.

bash
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
claude update

논쟁의 핵심은 데이터 수집 자체가 아니라, 공개 없이, 스테가노그래피로, 특정 지역과 상업적 경쟁자를 겨냥했다는 점입니다.

04

NVDB·Anthropic·알리바바: 각각의 입장 대조

MIIT / NVDB

심각한 보안 백도어 위험」으로 분류합니다. 내장 모니터링 메커니즘이 사용자 동의 없이 원격 서버로 지역·신원 식별자를 전송한다고 설명하며, 개발 터미널 전면 점검·제거 또는 업그레이드·아웃바운드 통제 강화를 권고합니다.

Anthropic / Thariq Shihipar

Claude Code 팀 엔지니어는 X에서 「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.」라고 밝혔습니다. 「실험(experiment)」으로 프레이밍하고 백도어가 아니라고 설명하며 무단 재판매 남용·모델 증류 방지가 목적이라고 강조했습니다.

알리바바

SCMP와 Ars Technica가 인용한 내부 공지: 「As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.」2026년 7월 10일부터 Claude Code 및 Anthropic 모델 제품(Sonnet, Opus, Fable)을 금지하고 내부 플랫폼 Qoder로 전환하도록 지시했습니다.

출처프레이밍관점
NVDB / 중국 규제기관보안 백도어 위험 / 심각한 위협컴플라이언스·데이터 유출
CNBC / Reuters내장 모니터링 메커니즘중립적 규제 보도 + 기업 파장
The Register은밀 코드 / 비밀 스테가노그래피기술적 책임
Ars Technica스파이웨어 유사 추적신뢰 위기
Cybernews「a nothing burger」(일부 개발자)과잉 반응, 표준 반증류 공학
Anthropic미공개 실험정당한 반남용 목적

중요한 뉘앙스: 공개 보도는 데이터 유출이나 직접적 금전 피해를 확인하지 않았습니다. 문서화된 위험은 미공개 모니터링 행위와 컴플라이언스 노출, 그리고 플래그된 프록시 사용자의 계정 정지 위험입니다.

05

알리바바 금지, 증류 전쟁, 지금 해야 할 일

엔터프라이즈 파장: 알리바바 Claude Code 금지

SCMP와 Ars Technica 보도에 따르면 알리바바는 백도어 위험이 발견된 Claude Code를 고위험 소프트웨어 목록에 추가했습니다. 2026년 7월 10일부터 Claude Code와 Anthropic 모델 제품 전체를 금지하고 직원을 내부 플랫폼 Qoder로 안내했습니다.

배경: Anthropic vs 알리바바 증류 분쟁

Anthropic은 이전에 미국 상원 은행위원회에 알리바바 Qwen 팀이 약 25,000개의 사기 계정으로 2,880만 건의 상호작용을 생성해 Claude 역량을 증류하려 했다고 증언했습니다. 2026년 2월 베이징대·중국과학원 논문은 주요 중국 모델에 해외 모델 증류 흔적이 있다고 보고했습니다. Claude Opus 4.8은 테스트에서 자신을 Qwen/DeepSeek로 오인하는 사례가 있어, 중국 사용자 지문 탐지가 특히 민감한 맥락에 놓였습니다. Anthropic이 은밀 탐지를 구축한 더 넓은 배경입니다.

6단계 조치 Runbook

  1. 01

    버전 확인: claude --version — 2.1.91–2.1.196이면 즉시 조치합니다.

  2. 02

    프록시 확인: echo $ANTHROPIC_BASE_URL — 비공식 엔드포인트가 트리거 조건입니다.

  3. 03

    업그레이드: npm install -g @anthropic-ai/claude-code@latest 또는 claude update로 2.1.197 이상을 확보합니다.

  4. 04

    완전 제거(선택): macOS/Linux에서 ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code를 정리합니다.

  5. 05

    엔터프라이즈 아웃바운드 감사: 개발 머신에서 비인가 AI 서비스 엔드포인트를 스캔하고 NVDB 권고에 따라 아웃바운드 트래픽 통제를 구현합니다.

  6. 06

    대안 평가: Qoder, Cursor, Codex CLI 또는 자체 호스팅 Agent 등 컴플라이언스 요건에 맞게 선택합니다.

  • 147개 난독화 규칙: 프록시 블랙리스트는 XOR(91) + Base64 난독화로 strings로는 발견할 수 없으며 전체 바이너리 역공학이 필요합니다.
  • 약 3개월 미공개: 영향을 받은 모든 릴리스의 변경 로그에 해당 메커니즘이 없었습니다.
  • 25,000 사기 계정: Anthropic이 Qwen 증류 남용 규모로 제시한 수치로 「실험」 방어의 맥락입니다.

개인 노트북에서 Claude Code, 브라우저, 프로덕션 API 키를 함께 쓰면 권한 경계가 흐려지고 아웃바운드 감사가 어렵습니다. 프로덕션급 iOS CI/CD와 AI Agent 자동화에는 VpsMesh Mac Mini 클라우드 임대가 격리된 전용 macOS 노드, root 수준 통제, 24/7 가동을 제공해 개인 데스크톱과 프로덕션 시크릿을 섞는 것보다 안정적입니다. 요금은 Mac Mini M4 대여 가격, 배포 절차는 고객 센터를 참고하세요.

결론: Anthropic은 v2.1.197+에서 코드를 제거했습니다. 신뢰 회복 여부는 조직의 판단에 달려 있습니다. 기술 커뮤니티 일부는 표준 반증류 공학으로 보고, 규제기관과 기업은 심각한 미공개 백도어 위험으로 봅니다. 업그레이드는 필수이며, 도구 계속 사용 여부는 컴플라이언스 정책으로 결정하세요.

면책 조항: 본문은 NVDB 공개 보도, Anthropic 성명, 독립 보안 연구를 바탕으로 작성했으며 정보 제공 목적입니다. 법률 자문이나 보안 감사 결론이 아닙니다.

FAQ

Claude Code 백도어 FAQ

v2.1.91–2.1.196에서 Anthropic은 공개되지 않은 스테가노그래피 지문을 배포했습니다. NVDB는 백도어 위험으로 분류했고, Anthropic은 반증류 실험이라고 설명하며 v2.1.197에서 제거했습니다.

v2.1.91(2026년 4월 2일)부터 v2.1.196(2026년 6월 29일)까지입니다. v2.1.197 이상으로 업그레이드하세요.

아닙니다. 숨겨진 지문은 ANTHROPIC_BASE_URL이 비공식 프록시나 게이트웨이를 가리킬 때만 활성화됩니다.

터미널에서 claude --version을 실행하거나 npm list -g @anthropic-ai/claude-code로 확인합니다.

영향 버전이면 즉시 업그레이드하세요. 컴플라이언스 요건이 있는 기업은 추가로 제거하고 아웃바운드 트래픽을 감사할 수 있습니다. 격리 개발 환경은 Mac Mini M4 대여 가격을 참고하세요.

시스템 프롬프트의 날짜 구분자를 바꾸고 육안으로 구분되지 않는 유니코드 아포스트로피 변형으로 타임존·프록시 도메인 적중 신호를 인코딩했습니다.

백도어 보도 이후 고위험 소프트웨어로 분류하고 2026년 7월 10일부터 직원을 내부 도구 Qoder로 안내했습니다.

아닙니다. 영향을 받은 모든 버전의 변경 로그에 해당 메커니즘이 언급되지 않았으며 이것이 논쟁의 핵심입니다.

Anthropic은 v2.1.197+에서 코드를 제거했습니다. 지속적 신뢰는 조직의 위험 허용도와 컴플라이언스 정책에 달려 있습니다.

증류는 한 모델의 출력으로 다른 모델을 훈련하는 것입니다. Anthropic은 무단 재판매자와 증류 파이프라인을 겨냥했다고 설명했으며, 이는 중국 AI 랩과의 더 넓은 분쟁 맥락에 있습니다. 격리 개발 환경은 고객 센터를 참고하세요.