중국 공업정보화부, 클로드 코드 백도어 노출 관련 위험 경고 — Web3 팀의 다음 단계는?

2026년 7월 8일

중국 공업정보화부, 클로드 코드 백도어 노출 관련 위험 경고 — Web3 팀의 다음 단계는?

AI 코딩 보조 도구는 이제 Web3 환경에서 "있으면 좋은 도구"에서 "기본 도구"로 자리 잡았습니다. 스마트 계약 초기 설정, 백엔드 서비스, 인덱서, 트레이딩 봇, DevOps 스크립트 등은 점점 더 에이전트 기반 워크플로를 통해 작성되거나 수정되고 있습니다. 이러한 편리함은 새로운 현실을 가져왔습니다. 즉, 여러분의 개발 터미널은 이제 고부가가치 데이터 소스가 되었으며, 예상치 못한 원격 측정 정보나 아웃바운드 연결은 소프트웨어 공급망 보안 사고로 이어질 수 있다는 것입니다.

2026년 7월 8일, 중국 공업정보화부(MIIT) 산하 취약점 공유 생태계는 AI 프로그래밍 도구인 **클로드 코드(Claude Code)**가 버전 2.1.91부터 2.1.196까지 심각한 "백도어" 스타일의 보안 위험을 포함하고 있으며, 사용자 동의 없이 민감한 정보를 원격 서버로 전송할 수 있다는 위험 경고를 발표했습니다. 보고에 따르면 해당 우려는 사용자 지역 및 신원 관련 식별자와 같은 신호를 수집하는 것과 관련이 있으며, 공식 권장 사항은 즉시 영향을 받는 엔드포인트를 조사하고, 해당 버전을 제거하거나 업그레이드하며, 아웃바운드 제어 및 트래픽 모니터링을 강화하는 것입니다. 플랫폼 자체에 대한 배경 정보는 MIIT의 NVDB 시스템 소개와 취약점 거버넌스에서의 역할, 그리고 플랫폼 진입점을 참고하십시오. MIIT의 NVDB 출시 공지NVDB 플랫폼 홈페이지. 7월 8일자 경고에 대한 영어 보도는 로이터 통신 보도 (야후 테크 경유)중국일보 요약을 참조하십시오.

본 게시물은 해당 경고가 블록체인 및 암호화폐 보안에 구체적으로 무엇을 의미하며, 패닉 없이 긴급하게 대응하는 방법에 중점을 둡니다.


Web3 개발자가 유독 더 노출되는 이유

많은 산업에서 "집으로 전화하기(phone-home)" 메커니즘은 이미 개인 정보 보호 문제로 인식되고 있습니다. 암호화폐 분야에서는 개발자 워크스테이션이 일상적으로 다음과 같은 사항에 접근하기 때문에 직접적인 자산 위험이 될 수 있습니다.

  • 개인 키 자료 및 서명 워크플로 (테스트 키, 배포자 키, 자동화를 위한 핫 월렛 키)
  • 안전하지 않게 메모, 스크린샷 또는 비밀번호 관리자에 저장된 시드 문구/복구 자료
  • 거래소 API 키 및 봇 자격 증명 (출금, 거래 권한)
  • RPC 자격 증명 및 인프라 비밀 (노드, 릴레이어, 인덱서, MEV/서처 인프라)
  • 계약이 배포되기 전에 공격 경로를 드러낼 수 있는 소스 코드 및 배포 메타데이터

보고된 동작이 "단지" 메타데이터(지역, 식별자, 엔드포인트 신호)일지라도, 이는 표적화된 후속 공격(스피어 피싱, 계정 탈취 시도)이나 누가 무엇을 구축하고 있는지에 대한 적대적 모델링을 가능하게 할 수 있습니다. 특히 신규 토큰 출시나 프로토콜 업그레이드와 관련될 경우 더욱 그렇습니다.


MIIT / NVDB 경고의 내용 (및 실질적인 시사점)

2026년 7월 8일자 경고에 대한 대중 보고는 보안 팀에게 중요한 세 가지 운영 지점을 설명합니다.

  1. 범위: 클로드 코드 버전 2.1.91 – 2.1.196이 영향을 받는 것으로 설명됩니다. 로이터 통신 보도 (야후 테크 경유)
  2. 위험 유형: 명시적인 동의 없이 민감한 정보를 원격 서버로 전송할 수 있는 내장 모니터링/백도어와 유사한 메커니즘으로 우려가 제기되고 있습니다. 중국일보 요약
  3. 권장 조치: 즉시 환경 전체를 확인하고, 문제가 있는 코드가 제거된 것으로 알려진 버전으로 제거하거나 업그레이드하며, 핵심 비즈니스 네트워크에서 아웃바운드 액세스 제어 및 트래픽 모니터링을 강화해야 합니다. 로이터 통신 보도 (야후 테크 경유)

별도로, 독립적인 보안 논평에서는 AI 개발자 도구의 신뢰성 및 투명성 문제에 대한 광범위한 논란을 논했으며, 대중의 관심을 받은 후 숨겨진 마커가 제거되었다는 주장도 포함되었습니다. 이러한 메커니즘이 어떻게 포함될 수 있는지에 대한 기술적인 설명은 Malwarebytes의 분석을 참조하십시오.

Web3 팀을 위한 시사점: AI 코딩 보조 도구를 다른 모든 권한 있는 개발자 도구와 동일하게 취급하십시오. 해당 도구가 리포지토리, 쉘, 로그, 환경 변수 또는 구성 파일을 읽을 수 있다면, 예상치 못한 아웃바운드 동작은 잠재적인 비밀 정보 노출을 의미합니다.


암호화폐 팀을 위한 즉각적인 사고 대응 체크리스트 (0 – 24시간)

귀하의 조직(또는 계약업체)이 영향을 받은 클로드 코드 버전을 사용했다면, 격리와 키 위생을 우선적으로 처리하십시오.

1) 노출 현황 파악 및 확인

  • 클로드 코드가 설치된 엔드포인트를 식별하고 정확한 버전을 기록합니다.
  • 어디에서 실행되었는지 식별합니다: 로컬 노트북, CI 러너, 공유 빌드 서버, VDI 이미지.

2) 먼저 격리, 그 다음 조사

  • 영향을 받은 버전을 실행하는 기기의 경우, 가능한 경우 민감한 네트워크에서 격리합니다.
  • 경고의 지침에 따라 일반 액세스를 복원하기 전에 영향을 받은 버전을 제거하거나 알려진 안전한 버전으로 업그레이드합니다 (공급업체 및 내부 검증 기준). 로이터 통신 보도 (야후 테크 경유)

3) 손상 가능성이 있다고 가정하고 비밀 정보 순환

암호화폐 분야에서 "나중에 순환시키겠다"는 것은 계획이 아닙니다. 지금 순환시키고, 더 깊은 포렌식 조사가 필요한지 여부를 결정하십시오.

  • 거래소 API 키 (특히 출금 권한이 있는 키)를 취

OneKey로 암호화 여정 보호하기

View details for OneKeyOneKey

OneKey

세계에서 가장 진보한 하드웨어 지갑.

View details for 앱 다운로드앱 다운로드

앱 다운로드

스캠 경고. 모든 코인 지원.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

암호화 의문을 해결하기 위해, 한 번의 전화로.