Claude Code는 스파이웨어인가? Anthropic 숨겨진 유니코드 지문

무음 브라우저 주입 · 프롬프트 스테가노그래피 · 모델 증류 방어 목적 · 6단계 보호 Runbook

Claude Code 시스템 프롬프트 U+2019 아포스트로피 스테가노그래피 지문

Claude Code 또는 Claude Desktop을 사용한다면 2026년 두 사건을 반드시 알아두어야 합니다. 역공학 보고에 따르면 Claude CodeANTHROPIC_BASE_URL이 공식 엔드포인트에서 벗어날 때 Today's date is... 줄을 조용히 바꿔 육안으로 구분되지 않는 유니코드 아포스트로피로 중국 타임존·프록시 신호를 인코딩합니다. 별도로 Claude Desktop은 여러 브라우저에 Native Messaging 매니페스트를 조용히 주입했다는 주장이 있었습니다. 본문은 두 사건을 분리해 설명하고, 유니코드 지문 표를 정리하며, 모델 증류 방어 목적과 Hacker News 논쟁을 다루고, 6단계 보호 Runbook과 FAQ 8개를 제공합니다.

01

Claude Code는 스파이웨어인가? 두 가지 별개 사건

짧은 답: 전통적인 스파이웨어는 아닙니다. 다만 Anthropic이 개발자 도구 안에 공개되지 않은·의도적으로 숨긴 사용자 분류를 실행했다는 주장이 있었습니다. 목적(모델 증류 방어)과 수단(스테가노그래피)은 따로 평가해야 합니다. 관련은 있으나 별개인 두 이야기를 혼동하지 마세요. HN과 보안 독자는 사실 오류를 즉시 잡아냅니다.

  1. A

    사건 A · Claude Desktop 무음 브라우저 주입 (2026년 4월): 프라이버시 컨설턴트 Alexander Hanff(The Register)는 macOS에 Claude Desktop을 설치하면 Chrome, Edge, Brave, Arc, Vivaldi, Opera, Chromium에 com.anthropic.claude_browser_extension.json이 조용히 기록된다고 주장했습니다. 세 개의 확장 ID가 브라우저 샌드박스 밖에서 전체 사용자 권한으로 chrome-native-host를 호출하도록 사전 승인됩니다. 설치하지 않은 브라우저용 디렉터리도 생성되며, 파일을 삭제해도 재시작 시 복구될 수 있습니다. Noah Kenney(Digital 520)가 재현을 확인했고, Antiy Labs가 전용 위험 분석을 발표했습니다. Anthropic은 공식 대응을 하지 않았으며, 이후 빌드에 승인 토글이 추가됐지만 권한 모델 논쟁은 계속됩니다.

  2. B

    사건 B · Claude Code 프롬프트 스테가노그래피 (2026년 6월 30일): 개발자가 Claude Code 바이너리를 역공학해 thereallo.dev에 공개했고, Reddit과 Hacker News를 통해 확산됐습니다. ANTHROPIC_BASE_URL ≠ api.anthropic.com일 때 시스템 프롬프트 날짜 줄이 변경됩니다. 기본적으로 모든 대화에서 발생하는 것은 아닙니다. HN 스레드는 수 시간 내 350점 이상, 댓글 100개 이상을 기록했습니다.

  3. 03

    라벨은 다릅니다: 사건 A는 「스파이웨어」「백도어」로, 사건 B는 「프롬프트 스테가노그래피」「은밀 채널(covert channel)」로 불렸습니다.

  4. 04

    Anthropic 대응: A에 대한 공식 공개 대응은 없었고, B에 대해서는 여러 매체가 Anthropic이 코드를 인정하고 Claude Code 2.1.197(2026년 7월 1일)에서 제거했다고 보도했습니다. 변경 로그에는 언급되지 않았습니다.

  5. 05

    버전 감사: 역공학자들은 2.1.193, 2.1.195, 2.1.196을 확인했습니다. 도메인·키워드 목록은 base64 + XOR(91) 난독화를 사용하며, 약 147개 규칙이 있습니다.

표현 주의: 본문은 「보도에 따르면」「주장」「역공학 결과」를 일관되게 사용합니다. 벤더 의도를 입증된 사실처럼 쓰지 마세요.

02

Claude Code 지문은 어떻게 작동하는가?

전제 조건: ANTHROPIC_BASE_URL이 프록시, 게이트웨이, 리셀러, OpenAI 호환 레이어를 가리킬 때만 트리거됩니다. 공식 api.anthropic.com은 프롬프트를 건드리지 않습니다.

사건 A vs B 비교

차원사건 A: 브라우저 주입사건 B: 프롬프트 스테가노그래피
제품Claude Desktop (macOS)Claude Code (CLI)
출처Alexander Hanff / The Registerthereallo.dev → Reddit → HN
타임라인2026년 4월 (~4/18~)2026년 6월 30일
트리거Claude Desktop 설치·시작비공식 Base URL만
동작Native Messaging 매니페스트 + chrome-native-host날짜 구분자 + 유니코드 아포스트로피 교체

유니코드 아포스트로피 매핑 (사건 B)

탐지 조건날짜아포스트로피Unicode
기본 (미매칭)2026-06-30' ASCII 아포스트로피U+0027
중국 연계 org/리셀러 도메인2026-06-30' right single quoteU+2019
AI 랩 키워드2026-06-30ʼ modifier letter apostropheU+02BC
도메인·랩 둘 다2026-06-30ʹ modifier letter primeU+02B9
+ 중국 타임존2026/06/30(위와 동일)Asia/Shanghai · Asia/Urumqi

키워드에는 deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai 등이 포함되며 base64 + XOR(91)로 저장됩니다. 사람 눈에는 평범한 프롬프트로 보이지만, Anthropic 백엔드에는 아포스트로피 한 글자로 VPN 사용자, 중국 타임존, 중국 AI 랩 가능성이 드러납니다. 전형적인 은밀 채널(covert channel)입니다.

모델이 강력해질수록 벤더는 스스로를 더 제약해야 하며, 그 제약은 바이너리 역공학으로만 발견되는 비밀이어서는 안 됩니다.

03

확인 및 보호: 6단계 Runbook

  1. 01

    ANTHROPIC_BASE_URL 감사: 셸 설정과 CI 시크릿에서 비공식 엔드포인트를 검색합니다. 사건 B는 프록시 경로에서만 트리거됩니다.

  2. 02

    Claude Code 업그레이드: 보도에 따르면 2.1.197+(2026년 7월 1일 릴리스)를 사용합니다.

  3. 03

    시스템 타임존 확인: Asia/Shanghai 또는 Asia/Urumqi가 의도된 값인지 확인합니다. 날짜 구분자 / vs -가 타임존 신호를 인코딩합니다.

  4. 04

    Native Messaging 매니페스트 스캔 (사건 A): macOS에서 ~/Library/Application Support/<browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json을 확인합니다.

  5. 05

    삭제 후 재생성 관찰: JSON을 제거하고 Claude Desktop을 재시작한 뒤 재생성 여부를 기록합니다. 엔터프라이즈 감사 추적에 중요합니다.

  6. 06

    엔터프라이즈 최소 권한: 데스크톱 Agent를 고권한 프로그램으로 취급하고, 프로덕션 API 키를 개인 브라우저와 분리합니다. 민감한 CI 체인에는 전용 Mac 노드를 권장합니다.

bash
claude --version
for b in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser"; do
  f="$HOME/Library/Application Support/$b/NativeMessagingHosts/com.anthropic.claude_browser_extension.json"
  [ -f "$f" ] && echo "FOUND: $f"
done
echo "${ANTHROPIC_BASE_URL:-not set}"
04

Anthropic은 왜 이렇게 했는가? 정말 스파이웨어인가?

커뮤니티 합의는 절제되어 있습니다. 거의 확실히 모델 증류 방어와 무단 재판매 탐지가 목적이었을 것입니다. Anthropic, OpenAI, Google 모두 경쟁사의 API 출력 수집을 공개적으로 우려해 왔습니다. 중국 연계 리셀러·프록시·랩이 1순위 의심 대상입니다. HN은 합리적인 증류 방어 vs 개발자 도구에 멀웨어에 가까운 행위로 뚜렷하게 갈렸습니다.

의도는 방어 가능하지만, 수단은 그렇지 않습니다. 보이지 않는 문장 부호, 난독화된 바이너리, 제로 공개—개발자 신뢰 위에 올라가는 도구 안에서 실행됐습니다.

  • 사건 A: 제3자 소프트웨어 무단 변조와 휴면 상태의 사전 배치 공격 표면. Anthropic 자체 Claude for Chrome 수치: 완화 없을 때 프롬프트 인젝션 성공률 23.6%, 완화 시 11.2%.
  • 사건 B: 공개되지 않은 텔레메트리 / 은밀 사용자 분류.

핵심 쟁점: 「스파이웨어」라는 라벨과 무관하게, 정보에 기반한 동의 없이 의도적으로 숨겼다는 점입니다.

05

2026년 AI 벤더 신뢰의 의미

  • HN 신호: thereallo.dev 결과가 수 시간 내 350점 이상, 댓글 100개 이상을 기록했습니다.
  • 규칙 규모: base64 + XOR(91) 난독화된 도메인·키워드 패턴 약 147개, 중국 AI 랩 엔드포인트를 겨냥합니다.
  • 복합 위험: 고권한 Native Messaging 채널(A)과 공개되지 않은 프롬프트 지문(B)이 데스크톱 AI Agent의 신뢰 표면을 넓힙니다.

실무 대응은 기본적으로 불신하고 증거를 요구하며, 토글과 문서로 공개적으로 증류에 대응하고, 최소 권한을 강제하고, 발과 규제(GDPR 스타일 법)로 선택하는 것입니다.

Claude Desktop, 개인 브라우저, 프로덕션 API 키를 한 노트북에 두면 경계가 흐려지고, 삭제한 매니페스트가 재생성될 수 있습니다. 프로덕션급 iOS CI/CD와 AI Agent 자동화에는 VpsMesh Mac Mini 클라우드 임대가 격리 macOS 노드, root 수준 통제, 24/7 가동을 제공해 개인 데스크톱 Agent와 프로덕션 시크릿을 섞는 것보다 안정적인 선택입니다. 요금은 Mac Mini M4 대여 가격, 배포는 고객 센터를 참고하세요.

출처

The Register; Malwarebytes; gHacks; YOOTA; thereallo.dev; Tech Startups; TMC Insight; Developers Digest; TechTimes (2.1.197 수정); Antiy Labs 위험 분석.

FAQ

자주 묻는 질문

전통적 스파이웨어는 아니지만, 중국 연계 프록시 사용자를 표시하는 공개되지 않은 프롬프트 지문이 2.1.197에서 제거된 것으로 보도됩니다. 공개되지 않은 은밀 채널로 부르는 것이 적절합니다.

기본값이 아닌 ANTHROPIC_BASE_URL에서만 Asia/Shanghai·Asia/Urumqi를 확인하고 날짜 구분자를 바꿨습니다. 공식 엔드포인트 사용자는 영향 없습니다.

아닙니다. 2026년 4월 Desktop Native Messaging 주입(Hanff)과 6월 Code 스테가노그래피(thereallo.dev)는 제품·트리거가 다른 별개 사건입니다.

U+0027, U+2019, U+02BC, U+02B9가 기본·중국 도메인·AI 랩 키워드·둘 다를 인코딩하며, 사람 눈에는 동일해 보입니다.

모델 증류·무단 재판매 탐지가 목적이었을 가능성이 큽니다. 정당한 목표, 비정당한 은폐입니다.

사건 B는 커스텀 Base URL을 쓰는 Claude Code에만 해당합니다. 일반 웹 Claude 사용자는 아닙니다.

NativeMessagingHosts 아래 com.anthropic.claude_browser_extension.json을 삭제합니다. Desktop이 재생성할 수 있습니다. 격리 Agent 호스팅은 Mac Mini M4 대여 가격을 참고하세요.

필수는 아니지만 24/7 Claude Code, OpenClaw, MCP Agent에는 launchd 기반 Mac Mini M4 임대와 Keychain 격리가 유리합니다. 고객 센터를 참고하세요.