Claude Code가 당신 회사의 게이트웨이를 분류하고 있었습니다
핵심 요약 (TL;DR)
Claude Code 공식 CLI가 시스템 프롬프트의 평범해 보이는 문장 속에 보이지 않는 유니코드 마커와 base64+XOR(key 91)로 숨긴 분류 신호를 박아 왔다는 사실이 리버스 엔지니어 thereallo의 정적 분석으로 드러났습니다. ANTHROPIC_BASE_URL 값이나 게이트웨이 경로를 읽어 "이건 공식 엔드포인트" "이건 우회 트래픽"으로 분류하는 형태입니다. 자체 프록시·LiteLLM·Bedrock·Vertex로 우회하면 안전하다 믿었던 인프라팀이 가장 큰 흠집을 입었습니다.
"평범한 한 문장"에 숨겨진 마커
thereallo가 Claude Code의 JS 번들을 디스어셈블해 발견한 건 단순합니다. 시스템 프롬프트 안의 무난해 보이는 날짜 한 줄에 두 가지가 박혀 있었습니다. 하나는 사람 눈에는 보이지 않는 유니코드 마커, 다른 하나는 XOR(key 91) + base64로 숨긴 도메인·키워드 리스트입니다. 디코딩하면 "이 요청은 어떤 게이트웨이를 통과해 들어왔는가"를 분류하는 신호가 나옵니다. 공식 엔드포인트인 api.anthropic.com을 그대로 쓰면 신호는 평범한 'boring'으로 찍히고, 우회 경로를 쓰면 다른 마커가 박힙니다.
폭로 게시물은 HN 1면 1위에 1159pts와 304댓글을 기록했고, 원문은 thereallo.dev의 분석 글에서 확인할 수 있습니다. 댓글 창에서는 "우리도 같은 패턴을 봤다"는 추가 검증이 이어지는 중이고요.
왜 이게 한국 인프라팀에 직격인가
"보안팀이 Claude Code 직접 호출은 막고, LiteLLM이나 자체 게이트웨이를 통해서만 허용한다" — 한국 대기업·금융권 인프라팀에서 익숙한 그림입니다. 그런데 그 우회 자체가 시스템 프롬프트에 신호로 박힌다면, Anthropic 입장에서는 "이 트래픽은 정상 API 사용이 아니라 리셀러·증류 시도일 가능성"으로 분류할 수 있게 되는 거죠. Bedrock·Vertex AI를 통한 호출이면 안전하다 믿었던 팀도 마찬가지로 점검 대상에 들어갑니다.
기술적으로 이 마커가 사용자 식별까지 하는지, 아니면 단순 게이트웨이 카테고리만 찍는지는 아직 공식 입장이 없습니다. 하지만 그게 핵심이 아닙니다. 사후 공지 없이 사용자가 모르게 분류 신호를 박았다는 사실 자체가 트러스트 균열이거든요. "증류 공격을 탐지하기 위해 필요했다"는 추정이 댓글에서 자주 등장하지만, 그 정당성이 있다 해도 공지의 부재는 별개 문제입니다.
지금 당장 확인할 3가지
첫째, 본인 회사가 어떤 경로로 Anthropic을 호출하는지를 다시 정리합니다. 공식 API 직접 호출인지, LiteLLM·Portkey·Helicone 같은 게이트웨이인지, Bedrock/Vertex 같은 클라우드 마켓플레이스인지. 각 경로마다 신호 분류가 달라질 가능성이 있습니다.
둘째, 법무·컴플라이언스 팀에 공유합니다. "우리 회사 게이트웨이가 외부 모델 제공자에 의해 분류되고 있다"는 사실은 보안 리뷰의 전제를 흔드는 정보입니다. 한국 금융·의료처럼 데이터 거버넌스가 엄격한 도메인이라면 더더욱.
셋째, Anthropic에 직접 문의해 분류의 정확한 범위와 보존 기간을 받아두는 것을 추천합니다. 공식 답변이 나오기 전까지는 우회 경로에 민감한 데이터 흘리지 않는 게 안전합니다.
트러스트 균열이 도구 선택을 흔드는 시기
바이브코더에게 도구는 그저 빠르고 정확하면 되는 줄 알았지만, 이제는 "이 도구가 내 인프라 구조까지 분류해서 알고 있나"가 도구 선택의 변수로 들어옵니다. 같은 주에 Cursor for iOS 출시 첫날에도 사용자 신뢰 관련 보고가 HN에 떴고요. 코딩 도구 시장이 빠르게 성숙하는 만큼, 도구를 신뢰의 눈으로 다시 보는 습관이 필요해진 시점입니다.
무조건 도구를 끊자는 얘기가 아닙니다. "내가 모르는 사이에 일어나는 일"의 목록을 알고 쓰는 것과, 모른 채 쓰는 것의 차이가 점점 커지고 있다는 얘기입니다. 오늘부터 본인이 쓰는 AI 코딩 도구가 실제로 어떤 메타데이터를 함께 보내는지, 한 번쯤 디스어셈블 글들을 따라 읽어보는 것도 나쁘지 않을 거예요.
FAQ
Q. Bedrock이나 Vertex AI를 쓰면 이 마커를 피할 수 있나요?
A. 아직 공식 확인은 없습니다. 다만 마커가 시스템 프롬프트 레벨에 박히는 구조라면, 어떤 경유지를 거치든 Claude Code CLI를 통한 호출이면 동일하게 박힐 가능성이 큽니다. 직접 SDK·HTTP로 호출하는 경로와 CLI 경로를 분리해 점검하는 게 안전합니다.
Q. 우리 회사는 자체 LLM 게이트웨이를 거치는데 그래도 문제가 되나요?
A. 게이트웨이를 거친다는 사실 자체가 신호로 박힐 수 있다는 게 폭로의 핵심입니다. "우회 경로 = 잠재적 비정상 트래픽"으로 분류되는 그림이라면, 자체 게이트웨이의 존재가 오히려 마커 분류의 트리거가 됩니다.
Q. Anthropic의 공식 입장이 나왔나요?
A. 이 글 작성 시점에는 공식 발표가 없습니다. HN 댓글에 Anthropic 직원의 직접 해명이 등판했는지 여부도 향후 며칠 안에 확인이 필요합니다. 공식 입장이 나오면 글을 업데이트할 예정이고요.
댓글 0
아직 댓글이 없습니다