x

이메일로 만나보는 스타트업 가이드

투자, 행사, 정부사업 등 스타트업 생태계 소식을 이메일로 편하게 받아보세요.

중국 정부가 운영하는 국가정보보안취약점데이터베이스(CNNVD)가 앤트로픽 AI 코딩 도구인 클로드 코드(Claude Code)에서 보안상 백도어 취약점이 발견됐다고 발표했다.

CNNVD는 지난 4월부터 6월에 공개된 버전 클로드 코드에 대해 감시 메커니즘에 의해 사용자 동의 없이 위치 정보나 신원 정보 등이 원격 서버로 전송될 가능성이 있다고 지적했다. 아울러 이런 메커니즘은 중대한 위협이 될 수 있다고 경고하며 사용자에게 소프트웨어를 삭제하거나 최신 버전 업데이트를 권고했다.

이번 발표 직전에는 클로드 코드 특정 버전에 중국에서 접속하는 사용자를 식별하기 위한 코드가 심어져 있었다는 조사 결과가 잇따라 공개된 바 있다.

한 사용자 지적에 따르면 지난 4월 2일에 릴리스된 클로드 코드 버전 2.9.1 이후 사용자가 중국에 있는지, 중국 URL로의 프록시 접속을 수행하고 있는지, 중국 AI 연구소와 연구 관계가 있는지에 대한 정보를 수집하는 코드가 난독화된 채로 삽입되어 있었으며 수집한 정보를 외부로 전송하고 있었다고 한다. 또 다른 개인 개발자도 클로드 코드가 사용자 접속 경로를 수집하고 있었다는 유사한 지적을 했다.

이 건에 대해 앤트로픽 엔지니어인 타리크 시히퍼(Tariq Schehper)가 사실을 인정했다. 그는 이건 지난 3월 시작한 실험으로 허가되지 않은 리셀러에 의한 계정 악용을 방지하고 증류로부터 보호하는 걸 목적으로 한 것이라며 이후 팀은 보다 강력한 대책을 도입했으며 이전부터 실험을 종료할 생각이었고 7월 2일 릴리스에서 완전히 롤백될 것이라고 설명했다. 하지만 스파이 행위인 건 마찬가지라거나 그저 변명에 불과하다는 비난을 받고 있다.

조사 결과에 따라 중국 대기업 알리바바(Alibaba)는 보안 리스크를 우려해 클로드 코드 사내 사용을 금지했다.

한편 중국에서는 앤트로픽 서비스가 일반 사용자용으로 승인되어 있지 않으며 앤트로픽 측도 국가 안보상 이유로 중국에서의 클로드 접속을 제한하고 있다. CNNVD는 과거에 20건 이상 클로드 코드 취약점을 특정해 공표한 바 있다. 관련 내용은 이곳에서 확인할 수 있다.

뉴스 레터 구독하기

Related Posts

Next Post