Claude Code에서 발견된 3가지 보안 취약점: RCE와 API 키 탈취
목차
개요
Check Point Research가 Anthropic의 AI 코딩 도구인 Claude Code에서 3개의 심각한 보안 취약점을 발견하고 공개했습니다. 이 취약점들은 악성 저장소를 단순히 여는 것만으로도 개발자의 머신에서 임의 코드가 실행되거나 API 키가 탈취될 수 있는 위험을 내포합니다. 현재는 모두 패치된 상태입니다.
배경
AI 코딩 도구들이 개발자의 일상 업무에 깊이 통합되면서, 이러한 도구들이 새로운 공격 벡터가 될 수 있다는 우려가 현실로 나타났습니다. Claude Code는 프로젝트 디렉토리의 설정 파일(.claude/settings.json, .mcp.json)을 자동으로 읽고 실행하는 기능을 갖추고 있습니다. 이 편의 기능이 바로 공격자가 노린 취약점의 핵심이었습니다.
핵심 내용
취약점 1: 프로젝트 훅을 통한 코드 실행
CVSS 점수 8.7로 평가된 첫 번째 취약점은 .claude/settings.json 파일의 훅(hooks) 기능을 악용합니다. 공격자가 악성 훅 설정을 저장소에 포함시키면, 사용자 승인 없이 임의 코드가 실행됩니다. 이 취약점은 2025년 9월 버전 1.0.87에서 패치되었습니다.
취약점 2: MCP 서버 자동 실행
CVE-2025-59536으로 등록된 두 번째 취약점도 CVSS 8.7로 평가됩니다. .mcp.json 파일에서 enableAllProjectMcpServers 옵션을 true로 설정하면 모든 MCP 서버가 사용자 승인 없이 자동으로 활성화됩니다. 이를 통해 공격자가 제어하는 MCP 서버가 자동으로 실행되어 임의 셸 명령이 실행될 수 있습니다. 이 취약점은 2025년 10월 버전 1.0.111에서 패치되었습니다.
취약점 3: API 키 탈취
CVE-2026-21852로 등록된 세 번째 취약점은 CVSS 5.3으로 상대적으로 낮은 심각도입니다. 악성 저장소가 환경변수를 조작하여 Anthropic API 트래픽을 공격자가 제어하는 서버로 리다이렉트할 수 있습니다. 이를 통해 API 키를 포함한 인증 자격증명이 외부로 유출될 수 있습니다. 이 취약점은 2026년 1월 버전 2.0.65에서 패치되었습니다.
발견된 취약점을 정리하면 다음과 같습니다.
| 취약점 | CVE | CVSS | 공격 벡터 | 패치 버전 |
|---|---|---|---|---|
| 프로젝트 훅 코드 실행 | - | 8.7 | .claude/settings.json | v1.0.87 |
| MCP 서버 자동 실행 | CVE-2025-59536 | 8.7 | .mcp.json | v1.0.111 |
| API 키 탈취 | CVE-2026-21852 | 5.3 | 환경변수 조작 | v2.0.65 |
의미와 시사점
이번 취약점들은 AI 코딩 도구의 편의 기능이 동시에 보안 위협이 될 수 있음을 보여줍니다. “구성 파일이 실행 계층의 일부가 되었다”는 연구팀의 지적처럼, 신뢰하지 않는 저장소를 단순히 여는 것만으로도 개발자의 머신이 위험에 노출될 수 있습니다. 이는 공급망 공격의 새로운 벡터가 됩니다.
실제 피해 시나리오는 다음과 같습니다. 개발자 머신에서의 은폐된 코드 실행, API 키 탈취로 인한 인증 트래픽 외부 유출, 클라우드 데이터 접근 및 수정, 예상치 못한 API 비용 발생 등이 가능합니다.
결론
Claude Code를 사용하는 모든 개발자는 즉시 최신 버전으로 업데이트해야 합니다. 신뢰하지 않는 외부 저장소를 열 때는 반드시 주의가 필요하며, .claude/settings.json과 .mcp.json 파일의 내용을 검토하는 습관을 들여야 합니다. AI 코딩 도구가 개발 환경에 더 깊이 통합될수록, 이러한 설정 파일 기반 공격에 대한 경각심이 높아져야 합니다.