정도현 - 로보코 수석 컨설턴트

요즘은 “AI로 코딩을 한다”는 말이 더는 특별하지 않다. 이미 뉴 노멀이다. 코딩이 되는 것은 당연한 전제가 되었고, 현 시점의 AI 도구들은 비즈니스에서 훨씬 많은 일을 수행한다.

그런데도 많은 기업은 도입 단계에서 멈칫한다. 이유는 늘 같다. 보안이다. 오늘은 엔터프라이즈 기업 입장에서 AI 코딩 에이전트, 특히 프로덕션 레벨 바이브 코딩에서 가장 많은 선택을 받는 Claude Code를 둘러싼 보안 우려를 진실과 거짓으로 나눠 이야기해 보려고 한다.

학습 데이터 유출의 진실

“AI에 코드를 넣으면 학습되어 새나간다"는 말은 반은 맞고 반은 틀리다. 엔터프라이즈 환경에서 중요한 것은 막연한 ‘AI’라는 단어가 아니라, 구체적인 계약 조건과 제품의 구분이다.

Anthropic의 기업용 제품은 원칙이 명확하다. 기본적으로 상업용 입력과 출력 데이터는 모델 학습에 사용되지 않는다. Claude Code 문서에서도 기본 30일 데이터 보존 정책과 함께, 적절히 구성된 API 키를 사용할 경우 서버에 대화 기록을 저장하지 않는 Zero Data Retention(ZDR) 옵션을 제공한다고 명시하고 있다.

하지만 개인 영역은 이야기가 다르다. 2025년 8월 변경된 소비자 약관에 따르면 ‘학습 허용 여부’ 설정에 따라 데이터 보존 기간이 길어질 수 있다. 따라서 기업은 현재 사용 중인 서비스가 상업용(Work/API/Gov) 범위에 속하는지, 로그 보존 정책은 표준(30일)인지 ZDR(0일)인지, 그리고 클라이언트 로컬 캐시는 어디까지 허용할 것인지 명확히 확인하고 통제해야 한다. 보안의 시작은 지켜야 할 자산을 식별하고 보호수단을 정의하는 것에서 출발하기 때문이다.

인증 마크와 실질적 보안

“SOC2, ISO27001 인증이 있으니 안전하다"는 믿음 또한 절반의 진실에 불과하다. 물론 인증은 중요하다. Anthropic은 Trust Center를 통해 SOC 2 Type II, ISO 27001과 같은 컴플라이언스 아티팩트를 제공하며 조직의 보안 관리 체계가 작동하고 있음을 증명한다.

그러나 인증이 “침해가 절대 발생하지 않는다"는 것을 보증하지는 않는다. 인증은 관리 체계의 유효성을 보여줄 뿐, 제품의 모든 기술적 취약점을 제거해 주는 마법이 아니기 때문이다. 엔터프라이즈 기업은 인증을 단순한 ‘안심 도장’으로 여겨서는 안 된다. 대신 이를 거래의 안전장치로 활용해야 한다. 데이터 보존 기간, 접근 통제, 감사 로그, 사고 통지 절차, 서브프로세서 관리, 지역 규정 준수 등의 구체적인 항목들을 계약과 운영 정책으로 고정하여 실질적인 구속력을 확보해야 한다.

에이전트형 도구의 새로운 위협

“Claude Code는 단순한 IDE 플러그인이니 위험하지 않다"는 생각은 위험한 오판이다. Claude Code는 단순 자동완성 도구가 아닌, 스스로 판단하고 행동하는 ‘에이전트형 도구’다. 로컬 실행 환경, 각종 도구와의 연동, 그리고 사용자 권한이 혼재되는 지점에서 기존과는 다른 차원의 공격 표면이 발생한다.

실제로 2025년 보고된 Claude Code 관련 CVE 사례들은 이러한 위협을 잘 보여준다. IDE 확장의 웹소켓 인증 우회로 인한 비인가 연결 이슈(CVE-2025-52882), 사용자가 신뢰 다이얼로그를 승인하기 전에 악성 코드가 실행될 수 있었던 취약점(CVE-2025-59536), Yarn 플러그인과 연계된 유사한 문제(CVE-2025-65099), 그리고 경로 검증 미흡으로 인한 디렉토리 제한 우회 이슈(CVE-2025-54794) 등이 그 증거다.

이는 Claude 자체가 위험하다는 뜻이 아니다. 엔터프라이즈의 배포 및 운영 방식이 위험할 수 있다는 경고다. 업데이트가 지연되고, 개발자 PC 환경이 파편화되어 있으며, 다운로드 폴더에서 임의의 파일을 실행하는 것이 용인되는 문화라면, 에이전트형 도구 도입은 사고 확률을 높이는 기폭제가 될 수 있다.

방어의 속도와 자동화

“AI 보안은 방어자만의 고민"이라는 생각 역시 틀렸다. 공격자들 또한 이미 AI를 무기로 삼고 있다. Anthropic이 2025년 8월 공개한 위협 인텔리전스(Threat Intelligence)에 따르면, Claude Code를 포함한 도구들이 대규모 갈취 작전 등 사이버 공격에 악용된 정황이 포착되었다. 심지어 2025년 11월에는 AI를 단순 조언자가 아닌 공격의 실행자로 활용하는 수준의 고도화된 첩보 캠페인이 공개되기도 했다.

이러한 현실은 방어 전략의 근본적인 변화를 요구한다. 사람이 일일이 대응하는 느린 방어 방식으로는 AI 속도로 공격해오는 해커를 막을 수 없다. 이제는 탐지부터 대응, 복구에 이르는 전 과정에 자동화를 도입하여 방어의 속도를 공격의 속도에 맞춰야 한다.

엔터프라이즈를 위한 제언: 제품 설정을 넘어 운영 모델로

결국 핵심은 단순한 제품 설정이 아닌 ‘운영 모델’의 혁신이다. Anthropic은 권한 팝업을 줄이면서도 안전을 확보하기 위해 파일 시스템과 네트워크 격리 기반의 샌드박싱을 강조하고 있다. 기업은 이 방향성에 맞춰 한 단계 더 구체적인 실행 전략을 수립해야 한다.

먼저 실행 환경의 격리가 필수적이다. 가급적 Dev Container, VDI, 격리된 VM 환경에서 AI 도구를 실행하도록 하고, 로컬 PC에서 구동할 경우에도 파일 및 네트워크 격리 샌드박싱을 기본값으로 적용해야 한다.

네트워크 통제 또한 ‘기본 차단(Deny-All)‘을 원칙으로 해야 한다. 업무에 필수적인 도메인만 화이트리스트로 허용하고 나머지는 차단해야 한다. 네트워크 격리가 없는 상태에서의 프롬프트 인젝션은 즉각적인 데이터 유출로 이어질 수 있기 때문이다.

비신뢰 경로에서의 실행은 시스템적으로 차단해야 한다. 다수의 CVE가 공통적으로 경고하는 공격 시나리오는 사용자를 속여 비신뢰 디렉토리에서 도구를 실행하게 만드는 것이다. 따라서 다운로드 폴더, 임시 폴더, 공유 폴더 등에서의 실행은 정책 교육이 아닌 시스템 설정을 통해 기술적으로 막아야 한다.

업데이트 강제화도 중요하다. IDE 확장과 CLI 도구의 업데이트를 개발자 개인의 자율에 맡겨서는 안 된다. 최소 허용 버전 정책을 수립하고, 기준에 미달하는 버전은 실행 자체가 불가능하도록 차단해야 한다.

데이터 유출 방지(DLP) 체계는 프롬프트 입력 전 단계에 구축되어야 한다. 시크릿 스캐닝(Secret Scanning)과 프롬프트 DLP를 기본 설비로 갖추어, AI나 사람이 실수하더라도 사고로 이어지지 않도록 만드는 것이 엔터프라이즈 보안의 핵심이다.

마지막으로 감사 로그와 이상 징후 탐지 체계를 갖춰야 한다. 누가, 어떤 리포지토리에서, 어떤 도구를 호출했는지에 대한 기록을 남기고, 이를 실시간으로 분석해야 한다. 공격자가 자동화된 도구로 공격해오는 만큼, 방어 체계 또한 그에 상응하는 속도와 가시성을 확보해야 한다.

결론: 보안이 비즈니스의 발목을 잡지 않게 하려면

보안은 브레이크다. 브레이크가 없으면 사고가 난다. 하지만 브레이크만 밟고 있으면 어디도 못 간다. 엔터프라이즈가 AI 도입 앞에서 멈춰 서는 장면을 자주 본다. “위험할지 모르니 일단 보류하자”는 결정이다. 보류가 현상유지를 의미하지는 않는다. 단순히 경쟁력이 줄어드는 것 뿐만 아니라 해커도 공격에 AI를 사용하고 있기 때문이다.

Claude Code 같은 도구는 이미 현장에 들어와 있다. 문제는 “쓸까 말까”가 아니다. 지금은 어떻게 안전하게 쓸 것인가를 고민할 시기이다. 여기서 보안은 비즈니스의 발목을 잡는 존재가 아니다. 보안은 안전하게 속도를 낼 수 있게 해 주는 가드레일이 된다. 규칙이 있어야 팀이 빠르게 움직인다. 가드레일이 있어야 사람들이 겁 없이 달릴 수 있다.

그래서 로보코가 내린 결론은 단순하다. AI를 믿지 마라. 사람도 믿지 마라. 대신 믿을 수 있는 시스템을 만들어라. 그 시스템의 핵심은 조직이 통제할 수 있는 자동화된 프로세스와 가드레일이다.