2026 NVDB
CLAUDE_CODE_
BACKDOOR_
SAFETY_GUIDE.
서론: Mac 터미널에서 Claude Code를 사용 중이고 버전이 v2.1.91–v2.1.196 범위라면 지금 claude --version으로 확인하세요. 2026년 7월 8일 중국 공업정보화부 사이버보안 위협·취약점 정보 공유 플랫폼(NVDB)이 리스크 통보를 발표했습니다. Anthropic AI 프로그래밍 도구에 보안 백도어 위험이 있으며 피해가 심각하다고 지적했습니다——사용자 동의 없이 지역·신원 식별자 등 민감 정보를 전송할 수 있는 내장 모니터링 메커니즘이 존재합니다. 본문은 타임라인, 스테가노그래피 기술, NVDB/Anthropic/알리바바 삼자 대응, 미중 AI 증류 분쟁 배경, 개인·기업 5단계 대응 + FAQ 10문을 다룹니다.
핵심 요약 TL;DR
- ● 규제 분류: NVDB 7월 8일 경고, 영향 버전 v2.1.91–2.1.196(2026-04-02~06-29)
- ● 트리거 조건:
ANTHROPIC_BASE_URL이 비공식 엔드포인트일 때만——공식api.anthropic.com사용자는 영향 없음 - ● 기술 수단: system prompt 스테가노그래피(날짜 형식 + Unicode 아포스트로피), 독립 텔레메트리 채널 아님
- ● 기업 연쇄: 알리바바 7월 10일 전 직원 Claude Code 금지, Qoder로 전환
- ● 즉시 조치: v2.1.197+ 업그레이드, 개발 단말 아웃바운드 통제·트래픽 모니터링 강화
1. 왜 이번 건은 '일반 telemetry 논란'이 아닌가
- 고권한 도구 + 은밀한 행동: Claude Code는 파일시스템 읽기/쓰기, Shell 실행 등 고권한을 가집니다.
- 미공개 + 의도적 난독화: 약 3개월간 changelog 어디에도 기록 없음. 도메인 블랙리스트는 XOR(키 91)+Base64 이중 난독화.
- 규제가 이미 분류: NVDB 표현은「보안 백도어 위험, 피해 심각」——공식 컴플라이언스 신호입니다.
2. 무슨 일이 있었나: NVDB 공고와 타임라인
| 항목 | 내용 |
|---|---|
| 공고일 | 2026년 7월 8일 |
| 발표 기관 | 공업정보화부 NVDB |
| 위험 성격 | 내장 모니터링, 동의 없이 민감 정보 전송 가능 |
| 영향 버전 | v2.1.91 ~ v2.1.196 |
| 권고 조치 | 즉시 제거/업그레이드, 개발 단말 아웃바운드 통제·트래픽 모니터링 |
2.1 사건 서사(Anthropic 삽입 → 노출 → 롤백 → 알리 금지 → NVDB 분류)
| 시기 | 사건 |
|---|---|
| 2026년 2월 | Anthropic 반모델 증류 기술 투자 공표 |
| 2026년 3월 | Claude Code에 은밀한 검출 메커니즘 조용히 배포 |
| 2026-04-02 | v2.1.91 릴리스 |
| 2026-04~06 | 약 20개 버전, changelog 미기재 |
| 2026-06-29 | v2.1.196 최종 영향 버전 |
| 2026-06-30 | LegitMichel777 Reddit 최초 노출; Thereallo 기술 분석; Adnane Khan GitHub 역공학 v2.1.193/195/196 검증 |
| 2026-07-01 | Thariq Shihipar X 공인, 3월「실험」반남용/반증류, 익일 롤백 약속 |
| 2026-07-02 | v2.1.197 스테가노그래피 제거, changelog 미명시 |
| 2026-07-03/04 | Reuters/TechCrunch 알리 7월 10일 전면 금지, Qoder |
| 2026-07-08 | NVDB 공식 리스크 통보,「보안 백도어 위험, 피해 심각」분류 |
| 2026-07-10 | 알리바바 내부 금지령 발효 |
3. 누가 실제로 영향받나: 트리거 조건
⚠️ 모든 사용자가 감시되는 것이 아닙니다. ANTHROPIC_BASE_URL이 비공식 엔드포인트(기업 게이트웨이, 제3자 프록시, API 중계)를 가리킬 때만 활성화됩니다. 공식 api.anthropic.com 사용자는 트리거되지 않습니다.
4. 기술 분석: 스테가노그래피 3단계
4.1 환경 정찰
- 타임존:
Asia/Shanghai또는Asia/Urumqi - 도메인 블랙리스트:
ANTHROPIC_BASE_URLhostname과 147개 항목 매칭
알리·바이두·바이트댄스, DeepSeek·Moonshot·智譜·MiniMax 등, XOR(키 91)+Base64 난독화.
4.2 스테가노그래피 인코딩
| 위치 | 정상 | 히트 후 | 의미 |
|---|---|---|---|
| 날짜 구분자 | 2026-06-30 | 2026/06/30 | 중국 타임존 |
| Unicode 아포스트로피 ×3 | ASCII ' | 시각적으로 동일한 3종 변형 | 타임존/도메인/AI랩 |
4.3 버전 및 확인 명령
완전 제거 경로: macOS/Linux ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code; Windows %USERPROFILE%\.claude 등.
5. 삼자 대응: NVDB / Anthropic / 알리바바
5.1 NVDB
- 분류: 보안 백도어 위험, 피해 심각
- 조치: 전면 점검 → 제거/업그레이드 → 아웃바운드 통제·트래픽 모니터링
5.2 Anthropic / Thariq Shihipar
"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release."
Qwen 팀 약 2.5만 사기 계정, 2880만 상호작용 주장.
5.3 알리바바
- 7월 10일 발효, Claude Code 및 Anthropic 모델(Sonnet, Opus, Fable) 금지
- 대체: Qoder
5.4 국제 미디어 분류 대조
| 출처 | 핵심 표현 | 서사 |
|---|---|---|
| NVDB | backdoor / severe threat | 컴플라이언스·데이터 유출 |
| CNBC/Reuters | security backdoor / monitoring | 중립 전달+기업 반응 |
| The Register | covert steganography | 기술·미공개 업데이트 |
| Ars Technica | spyware-like tracking | 신뢰 위기 |
| Cybernews | "a nothing burger" | 과잉 반응론 |
| Anthropic | experiment / anti-distillation | 방어 목적 |
6. 배경: 미중 AI 모델 증류 분쟁
- Anthropic 중국 접근 차단, VPN·프록시 우회
- 2026년 2월 PKU/CAS 논문, 중국 LLM 증류 흔적 보고
- DeepSeek·Moonshot·MiniMax·알리바바 무단 이용 주장
- Claude Opus 4.8 Qwen/DeepSeek 자기 오인 사례
- 국산 대체 가속: Qoder, Qwen, Kimi 등
7. 팩트체크
- ⚠️ 비공식
ANTHROPIC_BASE_URL만 트리거 - ⚠️ 수정 버전 v2.1.197(일부 v2.1.198)——「2.1.197 이상」권장
- ⚠️「백도어」는 규제 분류, 유일한 정의 아님
- ⚠️ 직접 피해는 계정 정지 위험, 데이터 유출 사고 미확인
8. 5단계 대응
8.1 개인 개발자
claude --version확인echo $ANTHROPIC_BASE_URL점검- 즉시 업그레이드
- 제거 시 잔여 경로 정리
- 대안(Cursor, Qoder 등) 평가
8.2 기업 IT
- MDM으로 전 개발 단말 버전 스캔
- v2.1.197+ 강제 업그레이드 또는 통일 제거
- 아웃바운드 권한 통제
- DNS/HTTPS 트래픽 감사
- 대체 도구·화이트리스트 업데이트
9. FAQ (10문)
Q1: 백도어가 있나요?
v2.1.91–2.1.196에 미공개 스테가노그래피. NVDB 백도어 위험; Anthropic 반증류 실험, v2.1.197 제거.
Q2: 영향 버전?
v2.1.91~2.1.196. v2.1.197+ 업그레이드.
Q3: 공식 API?
영향 없음. 비공식 프록시만.
Q4: 버전 확인?
claude --version
Q5: 제거 필요?
즉시 업그레이드; 기업은 추가 제거·감사 고려.
Q6: 스테가노그래피?
날짜 구분자+Unicode 아포스트로피 인코딩.
Q7: 알리 금지?
고위험 분류, 7월 10일 Qoder 전환.
Q8: changelog?
미공개.
Q9: 지금 안전?
v2.1.197+ 제거됨; 조직 정책에 따름.
Q10: 증류 관계?
미승인 재판매·증류 파이프라인 겨냥, 중국 AI 랩 분쟁 일부.
10. 면책
NVDB 공고 및 공개 보도 기반 기술·컴플라이언스 참고이며 법률·보안 감사 결론이 아닙니다.
11. 참고
- IT之家, 新京报 / CNBC, Register, Ars, TechCrunch
- Thereallo, Adnane Khan, Vincent Schmalbach
12. 마무리: AI 개발을 격리 Mac 노드로
고권한 AI 도구를 본番 코드·API Key와 같은 머신에 두지 마세요. MACGPU 원격 Mac mini M4로 격리 실험 환경을 구성할 수 있습니다.