AI 핵심 요약
beta- 중국 공신부가 13일 앤스로픽의 클로드 코드에 보안 백도어가 있다며 국가 차원의 위험 경보를 발령했다.
- 문제 버전은 중국 사용자를 체계적으로 식별해 개발 소스 코드 등 기밀 데이터를 해외 서버로 무단 전송한 것으로 드러났다.
- 알리바바 등 기업은 전면 사용 금지에 나섰고, 당국과 전문가들은 최소 권한·데이터 격리 등 AI 공급망 보안 강화 조치를 주문했다.
!AI가 자동 생성한 요약으로 정확하지 않을 수 있어요.
[서울=뉴스핌] 최헌규 중국전문기자= 미국 인공지능(AI) 스타트업 앤스로픽(Anthropic)이 개발한 AI 코딩 보조 도구 '클로드 코드(Claude Code)'에서 사용자 모르게 데이터를 유출하는 이른바 '안전 백도어' 은닉 혐의가 포착돼 파장이 일고 있다. 중국 정부가 국가 차원의 위험 경보를 발령한 데 이어, 알리바바 등 대형 빅테크 기업들이 사내 전면 퇴출에 나서며 AI 공급망 보안을 둘러싼 갈등이 격화되는 양상이다.
13일 중국 경제일보에 따르면 중국 공업정보화부(공신부) 산하 '네트워크 안전 위협 및 취약점 정보 공유 플랫폼(NVDB)'은 최근 위험 고시를 통해 앤스로픽의 클로드 코드에서 심각한 보안 백도어 위험이 발견됐다고 공식 발표했다.
자연어 명령어로 코드를 작성하고 오류를 수정해 주는 이 도구는 특정 버전(2.1.91~2.1.196)에 은폐된 모니터링 메커니즘을 내장한 것으로 파악됐다. 공신부에 따르면, 해당 프로그램은 사용자의 권한 승인 절차를 우회해 사용자의 지역, 기기 식별 정보는 물론 기업의 핵심 기밀인 개발 소스 코드까지 해외 서버로 무단 전송한 것으로 드러났다.
특히 이번에 적발된 모니터링 기능은 사용자의 시스템 시간대를 읽어 체계적으로 중국 사용자를 식별하고 분류하도록 설계된 것으로 알려졌다. 지정학적 갈등 속에서 해외 AI 도구의 신뢰성에 치명적인 타격을 입히는 대목이라고 경제일보는 지적했다.
경제일보는 전문가들을 인용해 이번 사건이 단순한 프로그램 오류가 아닌, AI 시대의 고질적인 안전 한계를 보여주는 대표적 사례라고 전했다.

전문가들은 기존 전통 소프트웨어와 달리 AI 코딩 도구는 원활한 기능 수행을 위해 코드 저장소 읽기·쓰기, 파일 편집, 시스템 명령어 실행 등 이른바 '슈퍼 권한'을 요구하는 경우가 많다고 밝혔다. 이처럼 과도하게 부여된 권한이 역으로 기업의 상업 기밀을 탈취하거나 소프트웨어 공급망을 오염시키는 강력한 무기로 돌변할 수 있다는 지적이다.
앞서 중국 최대 전자상거래 기업 알리바바는 사내 보안 시스템을 통해 클로드 코드를 고위험 소프트웨어 명단에 올리고 전사적 사용 금지 조치를 내렸다. 기업의 자발적 차단에서 시작해 국가 최고 규제 기관의 공개 경고로 이어지면서 중국 산업계 전반에 AI 보안 비상등이 켜졌다.
공신부와 보안 전문가들은 철저한 방어 체계 구축이 시급하다며, 우선 위험 통보를 받은 모든 기관과 개인은 관련 소프트웨어의 사용을 즉시 중단하고 시스템에서 완전히 삭제해야 한다고 강조했다.
특히 정부 기관이나 기업의 핵심 업무망에서는 네트워크 경계 관제를 강화하고, 트래픽 모니터링을 통해 AI 도구의 비정상적인 외부 연결 시도를 차단함으로써 민감 데이터의 국외 유출을 원천 봉쇄할 것을 주문했다.
이와 함께 AI 도구 활용 시 '최소 권한 부여'와 '데이터 격리' 원칙을 엄격히 적용해야 한다는 지적도 나온다. 기업의 핵심 코드나 고객 개인정보, 재무 증빙 등 민감한 데이터는 AI가 직접 처리하지 못하도록 막고, 필수적인 경우 물리적으로 격리된 샌드박스 환경 내에서만 구동해 데이터가 내부 네트워크 밖으로 나가지 않도록 조치해야 한다는 제언이다.
서울= 최헌규 중국전문기자(전 베이징 특파원) chk@newspim.com













