클로드 코드, npm 소스맵 파일로 전체 소스코드 유출...IPO 앞두고 치명적 실수

[한국정보기술신문] 2026년 3월 31일, AI 기업 앤트로픽의 대표 코딩 도구인 클로드 코드의 전체 소스코드가 외부에 유출되는 사건이 발생했다. 해킹이 아닌, npm 패키지 배포 과정에서 소스맵(.map) 파일이 포함된 채 퍼블리시되면서 벌어진 일이다. 보안 연구자 Chaofan Shou가 이를 발견해 X(구 트위터)에 공개했고, 수 시간 만에 깃허브에 아카이빙되어 전 세계로 퍼졌다. 해당 깃허브 저장소는 공개 직후 4만 1,500건 이상 포크되며 사실상 회수가 불가능한 상황에 이르렀다.

유출된 코드는 npm에 배포된 @anthropic-ai/claude-code 버전 2.1.88에 포함된 59.8MB 규모의 자바스크립트 소스맵 파일에서 비롯됐다. 소스맵 파일은 본래 번들링된 코드를 원본 소스와 연결해 디버깅을 돕는 내부용 파일이다. 그런데 이번에는 난독화되지 않은 타입스크립트 원본 소스에 대한 참조가 그대로 남아 있었다. .npmignore 설정이나 package.json의 files 필드에서 소스맵 파일을 제외하지 않은 것이 원인으로 분석된다. 클로드 코드가 사용하는 Bun 번들러는 기본적으로 소스맵을 생성하도록 설정돼 있어, 명시적으로 끄지 않으면 배포 패키지에 포함될 수 있다.

앤트로픽 측은 The Register에 보낸 성명에서 이번 사건을 공식 인정했다. 대변인은 해당 사건이 보안 침해가 아닌 릴리스 패키징 과정의 휴먼 에러이며, 고객 데이터나 인증 정보가 노출되지 않았다고 밝혔다. 아울러 재발 방지 조치를 시행하고 있다고 덧붙였다.

유출된 코드베이스의 규모는 타입스크립트 51만 줄 이상, 파일 수 1,900개에 달했다. 외부에서는 클로드 코드를 터미널에서 클로드 API를 호출하는 단순 CLI 도구로 인식하는 경우가 많았으나, 실제 내부 구조는 이보다 훨씬 복잡한 것으로 드러났다.

런타임으로는 Node.js 대신 Bun을 채택했고, 터미널 UI는 리액트 기반의 Ink 라이브러리로 구현돼 있었다. 40개 이상의 툴 시스템이 각각 입력 스키마, 퍼미션 모델, 실행 로직을 자체적으로 포함하는 플러그인 구조로 설계됐다. 멀티 에이전트 오케스트레이션 기능도 확인됐는데, AgentTool을 통해 서브 에이전트를 생성하고 coordinator가 이를 조율하는 방식이다. VS Code와 JetBrains 등 주요 IDE와의 양방향 통신을 지원하는 브릿지 시스템, 대화 간 기억을 유지하는 파일 기반 영속 메모리 시스템도 포함돼 있었다.

유출된 소스코드에는 44개의 피처 플래그가 발견됐으며, 이 중 20개는 아직 공개되지 않은 기능으로 확인됐다. KAIROS라는 상시 가동 모드, VOICE_MODE라는 음성 입력 기능, 복잡한 작업을 원격 Opus 4.6 세션에 넘겨 최대 30분간 실행하는 ULTRAPLAN 모드 등이 코드에 남아 있었다. 이러한 기능들은 Bun의 컴파일타임 피처 플래그로 외부 빌드에서는 제거되는 구조였으나, 소스코드 유출로 인해 그 존재가 알려지게 됐다.

내부 코드명도 드러났다. 클로드 4.6 변형 모델의 내부 이름은 Capybara, Opus 4.6은 Fennec, 아직 테스트 중인 모델은 Numbat이라는 코드명을 사용하고 있었다. 특히 흥미를 끈 것은 Buddy라는 이름의 타마고치 시스템이다. 가챠 방식으로 종을 뽑고, 레어리티와 샤이니 변형이 있으며, 클로드가 성격을 생성해주는 구조다. 세션 사이에 클로드가 백그라운드에서 메모리 파일을 정리하고 통합하는 Dream 시스템도 확인됐다.

유출된 코드 중 가장 많은 논란을 일으킨 것은 Undercover Mode다. 이는 앤트로픽 직원이 오픈소스 프로젝트에 기여할 때 AI 사용 사실과 내부 코드명이 깃 커밋 등에 노출되는 것을 방지하기 위한 시스템이다. 자사의 내부 정보 유출을 막기 위해 정교한 시스템까지 구축해 놓고, 정작 빌드 설정 하나를 빠뜨려 소스코드 전체가 공개된 셈이다.

앤트로픽의 클로드 코드 책임자인 Boris Cherny가 지난 12월 자신의 클로드 코드 기여분 100%가 클로드 코드로 작성됐다고 밝힌 바 있어, 이번 사고가 이른바 바이브 코딩에 지나치게 의존한 결과가 아니냐는 지적도 나온다.

유출 직후에는 2차 피해 우려도 제기됐다. 3월 31일 UTC 기준 00시 21분부터 03시 29분 사이에 클로드 코드를 npm으로 설치하거나 업데이트한 경우, 원격 접근 트로이목마(RAT)가 포함된 악성 axios 패키지(1.14.1 또는 0.30.4 버전)가 함께 설치됐을 가능성이 있다는 분석이 나왔다. 보안 전문가들은 해당 버전이 발견될 경우 시스템을 완전히 초기화하고 모든 인증 정보를 교체할 것을 권고했다. 앤트로픽 측은 npm 대신 네이티브 인스톨러를 공식 설치 방법으로 권장하고 있다.

이번 사건의 시점도 주목할 만하다. 앤트로픽은 2026년 3월 기준 연간 매출 190억 달러 규모에 달하며, 올해 안에 기업공개(IPO)를 추진하는 것으로 알려져 있다. 경쟁사인 OpenAI가 최근 기업 시장 공략을 강화하고 클로드 코드의 경쟁 제품인 Codex에 무제한 접근을 제공하기 시작한 시점이기도 하다. 내부 아키텍처와 미공개 기능, 모델별 성능 지표까지 공개된 이번 유출은 기술적 노출을 넘어 전략적 손실로 이어질 수 있다는 우려가 나온다.

이번 사건은 대형 기술 기업도 빌드 파이프라인의 사소한 설정 하나에서 보안 사고가 발생할 수 있다는 점을 보여준다. 소스맵 파일 관리, .npmignore 설정, 배포 전 패키지 검증 등 기본적인 빌드 보안이 얼마나 중요한지를 다시 한번 환기시킨 사례다.