NVDB 공식 규정 · 스테가노그래피 메커니즘 복원 · Alibaba 전사 금지 · 버전 점검 / 업그레이드 / 삭제 체크리스트
요약: 2026년 7월 8일, 중국 공업정보화부 사이버보안 위협·취약점 정보 공유 플랫폼(NVDB)이 위험 경고를 발표했습니다. 미국 Anthropic의 AI 프로그래밍 도구 Claude Code v2.1.91–2.1.196에 안전 백도어 위험이 있으며 피해가 심각하다고 지적했습니다. 사용자 동의 없이 지역·식별 정보 등 민감 데이터를 전송할 수 있는 감시 메커니즘이 내장되어 있습니다. 지금 claude --version으로 자체 점검하고, 해당 버전은 2.1.197 이상으로 업그레이드하거나 삭제하세요. 본문은 사건 전체 타임라인, 실제로 트리거되는 사용자(전원이 아님), 스테가노그래피 기술 분해, NVDB / Anthropic / Alibaba 각 입장, 미중 AI 증류 배경, 개인·기업 대응 체크리스트, FAQ 8문을 다룹니다. 기술 세부는 Claude Code 스테가노그래피 사건 심층 해설도 참고하세요.
2026년 7월 8일, 工信部 NVDB는 공식 위험 경고를 발표하고 Claude Code에 내장된 은밀 감지 메커니즘을 안전 백도어 위험이며 피해가 심각하다고 규정했습니다. 조치 권고에는 개발 단말 전면 조사, 최신 안전 버전으로 업그레이드 또는 삭제, 핵심 업무 네트워크 외부 연결 권한 관리와 트래픽 모니터링 강화가 포함됩니다.
| 항목 | 내용 |
|---|---|
| 위험 성격 | 내장 감시 메커니즘. 사용자 동의 없이 민감 정보 전송 가능 |
| 전송 내용 | 사용자 지역, 식별자 등 민감 정보 |
| 영향 버전 | v2.1.91–2.1.196 |
| 배포 기간 | 2026년 4월 2일 ~ 6월 29일 |
| 수정 버전 | v2.1.197(일부 보도 v2.1.198, 2026-07-01/02) |
| 기업 동향 | Alibaba 등 제한·금지, 내부 대체 Qoder로 전환 |
2026년 2월: Anthropic이 반모델 증류 기술(분류기, 행동 지문, 정보 공유 등) 투자를 공개.
2026년 3월: Claude Code 내부에 은밀 감지 메커니즘 조용히 도입. 공개 공시 없음.
2026-04-02: v2.1.91 출시. 은밀 감지 코드 배포 시작.
2026-06-29: v2.1.196 출시(영향 구간 최종 버전).
2026-06-30: Reddit 사용자 LegitMichel777 최초 폭로. 개발자 Thereallo 기술 분석 공개. 보안 연구자 Adnane Khan이 GitHub 역공학 보고서 발표, v2.1.193/195/196 모두 해당 로직 존재 검증.
2026-07-01: 엔지니어 Thariq Shihipar가 X에서 3월 도입 '실험적' 반남용·반증류 메커니즘 인정, 다음 날 롤백 약속.
2026-07-02: v2.1.197 출시. 스테가노그래피 감지 코드 제거. changelog 명시 없음.
2026-07-03/04: Reuters, TechCrunch 보도: Alibaba 7월 10일부터 Claude Code 및 Anthropic 관련 모델 전사 금지.
2026-07-08: 工信部 NVDB 공식 경고 발표. '안전 백도어 위험, 피해 심각' 규정.
2026-07-10: Alibaba 내부 금지령 정식 발효.
사건 흐름: Anthropic의 중국 사용자 식별용 코드 삽입 → 개발자 역공학 폭로 → 벤더 사과·롤백 → Alibaba 금지 → 工信部 백도어 규정. 이 연쇄가 이번 여론의 핵심입니다.
중요한 정리: 은밀 메커니즘은 모든 사용자에게 작동하지 않습니다. 'Claude Code가 모든 사용자를 감시한다'는 헤드라인은 부정확합니다.
환경 변수 ANTHROPIC_BASE_URL을 설정해 API 요청을 비공식 엔드포인트(기업 게이트웨이, 서드파티 프록시, API 중계·재판매 서비스)로 보낼 때만 활성화됩니다. 공식 api.anthropic.com을 쓰는 일반 사용자는 이 감지 경로를 거치지 않습니다.
| 사용 시나리오 | 감지 트리거 | 권장 조치 |
|---|---|---|
공식 api.anthropic.com + 영향 버전 | 아니오 | 컴플라이언스상 2.1.197+ 업그레이드 권장 |
ANTHROPIC_BASE_URL 프록시 경유 + 영향 버전 | 예 | 즉시 업그레이드 또는 삭제. 과거 외부 통신 감사 |
| 임의 엔드포인트 + 2.1.197 이상 | 아니오(제거됨) | changelog와 기업 컴플라이언스 정책 지속 모니터링 |
| 기업 개발 단말(다중 프로젝트 프록시 혼재) | 설정에 따라 | ANTHROPIC_BASE_URL과 버전 분포 전면 조사 |
claude --version echo $ANTHROPIC_BASE_URL npm install -g @anthropic-ai/claude-code@latest # 또는 claude update
이번 논점은 일반 '텔레메트리(telemetry)'가 아니라 스테가노그래피(steganography)입니다. 별도 데이터 전송 채널 없이 모델에 보내는 system prompt 자체를 변조했습니다. 보안 연구자 Adnane Khan은 이를 a covert information channel embedded in system prompts(시스템 프롬프트에 내장된 은밀 정보 채널)로 정의했습니다.
트리거 후 코드는 두 가지 판단을 실행합니다: (1) 시스템 타임존이 Asia/Shanghai 또는 Asia/Urumqi인지; (2) ANTHROPIC_BASE_URL 호스트명이 내장 블랙리스트와 일치하는지. 여러 역공학에 따르면 블랙리스트는 147개 항목으로, 중국 대형 테크 도메인, DeepSeek·Moonshot·智譜·MiniMax 등 AI 랩 키워드, 알려진 API 프록시·재판매 게이트웨이를 포함합니다. 목록은 XOR 암호(키 91) + Base64로 이중 난독화되어 있습니다.
| 인코딩 신호 | 표현 | 의미 |
|---|---|---|
| 날짜 구분자 | 2026-06-30 → 2026/06/30 | 중국 타임존 적중 |
| Unicode 아포스트로피 변형(3종) | Today's date is 내 아포스트로피 문자 전환 | 타임존/도메인/AI 랩 키워드 적중을 부호화 |
날짜 포맷 1비트 + 아포스트로피 변형 3종으로 약 3비트 환경 정보를 겉보기 정상적인 영문 문장 속에 숨겨, 매 요청마다 Anthropic 서버로 전송·해석됩니다.
사용자가 발견·비활성화할 수 있는 정규 telemetry가 아니라 스테가노그래피 사용.
약 3개월간 changelog에 일절 공개 없음.
특정 지역과 특정 상업 경쟁사를 겨냥한 핑거프린팅.
본 도구는 파일시스템 읽기/쓰기, Shell 명령 실행 등 고권한을 보유하므로 '보이지 않는 동작'에 대한 허용치는 더 낮아야 합니다.
인용 가능한 사실: 이 메커니즘의 직접 결과는 계정 정지 위험이며, 확인된 '데이터 유출 사고'는 아닙니다. 공개 보도에서 직접적 경제 피해가 입증된 사례는 없으므로 과도한 선동은 피해야 합니다.
규정: 안전 백도어 위험, 피해 심각. 내장 감시 메커니즘이 사용자 동의 없이 원격 서버로 지역·식별 정보 등을 전송한다고 설명. 조치 권고: 개발 단말 전면 조사 → 삭제 또는 업그레이드 → 외부 연결 권한 관리와 트래픽 모니터링 강화.
엔지니어는 X에서 다음과 같이 밝혔습니다: "This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release." — '실험(experiment)'으로 규정하고 '백도어(backdoor)'가 아니라고 주장. 무단 재판매 남용 방지와 모델 증류 대응이 목적이라고 설명합니다.
배경으로 Anthropic은 미 상원 은행위원회에 서한을 보내 Alibaba 산하 Qwen 팀이 약 2.5만개의 부정 계정으로 2880만회 상호작용을 생성해 Claude 능력을 탈취하려 했다고 비난했습니다.
SCMP, Ars Technica 등이 인용한 내부 통지: "As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities." 2026년 7월 10일부터 Claude Code 및 Anthropic 관련 모델 제품(Sonnet, Opus, Fable 등) 전사 금지. 대체는 내부 프로그래밍 플랫폼 Qoder.
| 출처 | 주요 규정 용어 | 서사 초점 |
|---|---|---|
| NVDB / 工信部 | backdoor / security backdoor risk / severe threat | 컴플라이언스와 데이터 외부 전송 위험 |
| CNBC / Reuters | security backdoor / built-in monitoring | 규제 규정 중립 전달 + 기업 연쇄 반응 |
| The Register | covert code / secret steganography | 기술적 책임 + 미공개 업데이트 |
| Ars Technica | spyware-like tracking / secret tracker | 신뢰 위기 + 정책 분석 |
| Anthropic 공식 | experiment / anti-abuse / anti-distillation | 정당한 방어 목적 강조 |
이는 고립 사건이 아니라 2026년 미중 AI 경쟁의 축소판입니다.
claude --version 실행 후 2.1.91–2.1.196 범위인지 확인.
echo $ANTHROPIC_BASE_URL로 비공식 프록시 경유 여부 확인.
해당 버전은 즉시 npm install -g @anthropic-ai/claude-code@latest 또는 claude update 실행.
완전 삭제 시 ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code 정리(Windows는 %USERPROFILE%\.claude 등).
공식 엔드포인트 전환 또는 대체 도구 검토.
전체 개발 단말에서 소프트웨어 인벤토리를 실시해 Claude Code 설치·버전 분포 파악.
ANTHROPIC_BASE_URL 환경 변수와 shell 설정 파일 통합 조사.
영향 버전은 강제 업그레이드 또는 삭제. Alibaba 등 '고위험 소프트웨어' 조치 절차 참고.
외부 통신 감사 강화, 비인가 AI 서비스 엔드포인트로의 지속적 외부 연결 조사.
내부 대안(Cursor 등) 평가 및 컴플라이언스 화이트리스트 수립.
| 버전 | 출시일 | 상태 |
|---|---|---|
| v2.1.91 | 2026-04-02 | 은밀 메커니즘 포함 최초 버전 |
| v2.1.196 | 2026-06-29 | 영향 구간 최종 버전 |
| v2.1.197 / 2.1.198 | 2026-07-01/02 | 감지 코드 제거됨 |
v2.1.91–2.1.196에서 Anthropic이 미공개 은밀 감지 코드를 내장했습니다. 工信部 NVDB는 안전 백도어 위험으로 규정. Anthropic은 반증류 실험이라 설명했으며 2.1.197에서 제거했습니다.
아닙니다. ANTHROPIC_BASE_URL이 비공식 프록시나 게이트웨이를 가리킬 때만 활성화됩니다.
2.1.197 이상이고 공식 엔드포인트를 쓰는 개인 사용자의 위험은 크게 줄었습니다. 기업은 Alibaba 등 선례와 자체 컴플라이언스를 고려해 판단해야 합니다.
공개 보도에 따르면 Alibaba는 Claude Code를 고위험 소프트웨어로 지정하고 7월 10일부터 전사 금지, 내부 도구 Qoder로 전환했습니다.
다수 1차 정보원은 v2.1.197(7월 1일)을 가리킵니다. 일부 중국어 미디어는 v2.1.198을 보도했습니다. '2.1.197 이상'으로 통일하는 것이 안전합니다.
증류는 다른 모델의 출력으로 자기 모델을 학습하는 것입니다. Anthropic은 본 메커니즘이 무단 재판매와 증류 파이프라인을 겨냥했다고 설명했으며, 동기 이해의 핵심입니다.
외부 통신 감사나 민감 코드 격리가 필요한 팀에는 독립 원격 Mac + VNC로 환경 변수와 시스템 권한을 GUI로 확인하고 프로젝트 종료 후 즉시 해지하는 방법이 효과적입니다.
아닙니다. 영향 버전 changelog 어디에도 언급이 없었고, 커뮤니티 폭로 후에야 인정하고 롤백했습니다.
본문은 工信部 NVDB 공고 및 공개 보도를 바탕으로 한 기술·컴플라이언스 참고 자료이며, 법률 자문이나 보안 감사 결론이 아닙니다. 삭제, 금지, 트래픽 통제를 실행하기 전에 자체 보안 정책에 따라 판단하세요.
Claude Code 백도어 논란의 핵심 교훈은, 고권한 AI 프로그래밍 도구가 미공개 은밀 채널을 쓰면 반증류가 동기라도 규제 규정과 기업급 금지 연쇄를 촉발한다는 점입니다. 메인 개발기에서 프록시 게이트웨이, 다중 프로젝트 API Key, Claude Code를 혼재하면 외부 통신과 버전 감사 비용이 생각보다 크게 간과됩니다.
macOS 환경에서 Claude Code 검수나 대체 도구 비교가 필요한 팀은 VNCMac 원격 Mac 임대로 격리 노드에서 버전 점검, 환경 변수 확인, GUI 권한 감사를 수행할 수 있습니다. 메인 머신을 오염시키지 않습니다. Mac Mini M4 요금 플랜에서 시간 단위로 개통할 수 있습니다.