[Hacker News 요약] Anthropic Claude Code, '폴더 신뢰' 클릭 한 번으로 RCE 취약점 노출 논란
40
설명
보안 기업 Adversa AI가 Anthropic의 Claude Code를 비롯한 여러 AI 코드 어시스턴트에서 '원클릭 원격 코드 실행(RCE)' 취약점을 발견했다고 공개했습니다. 이 취약점은 사용자가 악성 코드 저장소를 신뢰하는 과정에서 발생하며, AI 도구의 보안 모델과 사용자 동의 메커니즘에 대한 근본적인 질문을 던지고 있습니다. 특히 Anthropic이 사용자 동의를 이유로 이를 위협 모델 범위 밖으로 간주하면서 논란이 커지고 있습니다. 이번 사건은 AI 기반 개발 도구의 안전성에 대한 경각심을 높이고 있습니다.
### 배경 설명
AI 코드 어시스턴트는 개발 생산성을 혁신하며 빠르게 확산되고 있습니다. GitHub Copilot, Anthropic Claude Code, Google Gemini CLI, Cursor CLI 등 다양한 도구들이 개발자의 코딩 작업을 돕고 있으며, 코드 생성, 디버깅, 문서화 등 광범위한 작업을 수행하며 개발 환경의 핵심 구성 요소로 자리 잡고 있습니다. Model Context Protocol(MCP)은 이러한 AI 모델이 표준화된 JSON 형식을 통해 도구, 설정 데이터, 스키마 및 문서를 이용할 수 있도록 하는 중요한 프로토콜입니다.
그러나 이러한 편리함 뒤에는 심각한 보안 위험이 도사리고 있습니다. 개발 환경은 본질적으로 민감한 정보와 시스템 접근 권한을 다루기 때문에, AI 어시스턴트가 시스템에 미치는 영향은 매우 큽니다. 특히, 외부에서 가져온 코드 저장소나 프로젝트를 신뢰하는 과정에서 발생하는 취약점은 공격자가 개발자의 시스템에 원격 코드 실행(RCE) 권한을 얻을 수 있는 치명적인 경로가 될 수 있습니다. 이번 Adversa AI의 발견은 AI 기반 개발 도구의 보안 모델과 사용자 동의 메커니즘에 대한 근본적인 질문을 던지며, 개발자 커뮤니티와 AI 벤더 모두에게 중요한 경고를 보냅니다.
### TrustFall PoC: 원클릭 RCE 취약점의 작동 방식
Adversa AI가 공개한 TrustFall 개념 증명(PoC) 공격은 복제된 코드 저장소에 포함된 두 개의 JSON 파일(.mcp.json 및 .claude/settings.json)을 통해 공격자가 제어하는 Model Context Protocol(MCP) 서버를 활성화합니다. Anthropic은 일부 위험한 설정을 프로젝트 수준에서 차단하지만, enableAllProjectMcpServers 및 enabledMcpjsonServers와 같은 다른 설정은 차단하지 않아 취약점이 발생합니다. 개발자가 Claude Code의 일반적인 '예, 이 폴더를 신뢰합니다' 대화 상자에서 Enter를 누르는 순간, MCP 서버는 사용자의 전체 권한으로 샌드박스 처리되지 않은 Node.js 프로세스로 실행되어 시스템 침해로 이어질 수 있습니다. 이는 Claude Code CLI v2.1.114에서 확인되었으며, 다른 에이전트 CLI도 영향을 받는 것으로 알려졌습니다.
### Anthropic과 Adversa AI의 입장 차이: '동의'의 의미
Anthropic은 사용자가 대화 상자를 통해 '신뢰' 결정을 내렸으므로, 이 문제는 자사의 위협 모델 범위 밖이라고 주장합니다. 반면 Adversa AI는 이러한 동의가 '정보에 입각한 동의(informed consent)'가 아니라고 반박합니다. Adversa는 Claude Code CLI v2.1 이전 버전에서는 .mcp.json 파일이 코드 실행을 유발할 수 있다는 명시적인 경고와 함께 MCP 서버를 비활성화하는 옵션이 있었으나, 현재 버전에서는 이러한 명확한 경고와 옵션이 제거되었다고 지적합니다. 현재 대화 상자는 기본적으로 '예, 이 폴더를 신뢰합니다'로 설정되며, MCP 관련 언어나 실행될 프로그램에 대한 구체적인 언급이 없습니다.
### CI/CD 환경에서의 위협 및 Adversa AI의 개선 제안
이번 취약점은 CI/CD(지속적 통합/지속적 배포) 파이프라인에서도 심각한 위협이 될 수 있습니다. CI/CD 환경에서 Claude Code가 SDK를 통해 호출될 경우, 대화형 CLI와 달리 터미널 프롬프트가 없어 사용자 동의 절차 없이 악성 코드가 실행될 수 있는 '제로클릭(zero-click)' 공격으로 이어질 수 있습니다. Adversa AI는 Anthropic에 세 가지 개선 사항을 제안했습니다. 첫째, 프로젝트 내 설정 파일에서 enableAllProjectMcpServers, enabledMcpjsonServers, permissions.allow와 같은 위험한 설정을 차단할 것. 둘째, 기본값이 '거부'인 전용 MCP 동의 대화 상자를 구현할 것. 셋째, 모든 서버에 대한 일괄 동의 대신 서버별로 대화형 동의를 요구할 것입니다.
### 반복되는 보안 문제의 근원
Adversa AI의 공동 설립자 Alex Polyakov는 이번이 지난 6개월 동안 Claude Code에서 동일한 근본 원인(프로젝트 범위 설정이 주입 벡터로 사용되는 문제)으로 발생한 세 번째 CVE라고 밝혔습니다. 각 취약점은 개별적으로 패치되지만, 근본적인 문제 해결이 이루어지지 않고 있다는 지적입니다. 대부분의 개발자는 이러한 설정의 존재 자체를 모르며, 복제된 저장소가 이러한 설정을 자동으로 적용할 수 있다는 사실은 더욱 인지하기 어렵습니다. 이는 AI 도구의 보안 설계에 있어 보다 포괄적인 접근 방식이 필요함을 시사합니다.
### 가치와 인사이트
이번 사건은 AI 기반 개발 도구의 보안에 대한 중요한 교훈을 제공합니다. 개발자들은 외부에서 가져온 코드 저장소나 프로젝트를 AI 도구로 열 때, '신뢰' 관련 프롬프트의 의미와 잠재적 위험을 명확히 인지하고 신중하게 접근해야 합니다. 특히, 알 수 없는 출처의 코드를 실행하기 전에 항상 보안 검토를 수행하는 것이 필수적입니다. AI 도구 벤더의 경우, 사용자 경험(UX)과 보안 사이의 균형을 재고해야 합니다. '정보에 입각한 동의'는 단순히 '예/아니오' 버튼을 누르는 것을 넘어, 사용자가 결정의 결과를 명확히 이해할 수 있도록 충분한 정보를 제공해야 함을 보여줍니다. 이는 AI 에이전트가 개발 환경에 깊숙이 통합되면서 발생하는 새로운 형태의 공급망 공격에 대한 경고이기도 합니다.
### 기술·메타
- Node.js (샌드박스 처리되지 않은 프로세스)
- JSON (MCP 설정 파일)
- Model Context Protocol (MCP)
- Remote Code Execution (RCE)
- CVE-2025-59536 (관련 CVE)
### 향후 전망
이번 취약점 논란은 AI 코드 어시스턴트 시장의 경쟁 구도와 제품 개발 방향에 상당한 영향을 미칠 것으로 예상됩니다. Anthropic은 이번 사건으로 인해 보안에 대한 신뢰도 측면에서 타격을 입을 수 있으며, 이는 OpenAI, Google 등 경쟁사들이 자사 제품의 보안 강점을 부각하는 기회가 될 수 있습니다. 앞으로 AI 도구 벤더들은 사용자 동의 메커니즘을 더욱 명확하고 안전하게 재설계하고, 샌드박싱 기술을 강화하며, 기본적으로 '거부'를 선택하는 보안 정책(default-deny)을 채택하는 방향으로 나아갈 것입니다.
또한, 개발자 커뮤니티 내에서는 AI 에이전트 및 통합 개발 환경(IDE)의 공급망 보안에 대한 논의가 활발해질 것입니다. 악성 코드 저장소로부터의 위협을 방지하기 위한 새로운 표준이나 모범 사례가 제시될 수도 있습니다. 궁극적으로는 AI 기반 개발 도구의 보안 취약점을 악용한 공격이 증가할 가능성이 있어, 관련 규제 및 산업 표준이 강화될 필요성도 제기될 것입니다. 이는 AI 개발의 속도와 보안 사이의 균형을 찾는 중요한 과제가 될 것입니다.
📝 원문 및 참고
- Source: Hacker News
- 토론(HN): [news.ycombinator.com](https://news.ycombinator.com/item?id=48057836)
- 원문: [링크 열기](https://www.theregister.com/security/2026/05/07/claude-code-trust-prompt-can-trigger-one-click-rce/5235319)
---
출처: Hacker News · [원문 링크](https://www.theregister.com/security/2026/05/07/claude-code-trust-prompt-can-trigger-one-click-rce/5235319)
댓글 0
아직 댓글이 없습니다. 첫 댓글을 남겨 보세요.