엔트로픽 Claude macOS 앱 권한 남용: 클라우드 AI 서비스의 보안 우려

사건 개요

2026년 4월, 보안 전문가들이 엔트로픽(Anthropic)의 macOS용 AI 데스크톱 애플리케이션인 Claude.app이 사용자 명시적 동의 없이 크로미움(Chromium) 기반 브라우저들에 네이티브 메시징(Native Messaging) 매니페스트 파일을 자동 설치한다는 사실을 공개했다.

이 앱은 크롬(Chrome), 엣지(Edge), 브레이브(Brave), 아크(Arc), 비발디(Vivaldi), 오페라(Opera) 등 최대 7개의 브라우저 확장 지원 폴더에 'com.anthropic.claude_browser_extension.json' 파일을 배포한다. 문제는 사용자가 해당 브라우저용 확장 프로그램을 설치하지 않았거나, 브라우저 자체가 시스템에 설치되지 않았더라도 이 파일이 생성된다는 점이다.

프라이버시 전문가 알렉산더 한프(Alexander Hanff)는 이를 '스파이웨어와 유사한 행동'으로 비판하며, 사용자가 파일을 삭제해도 앱을 실행할 때마다 다시 생성된다고 지적했다.

기술적 분석

네이티브 메시징 메커니즘

네이티브 메시징은 크롬 확장 프로그램이 샌드박스를 벗어나 로컬 시스템의 실행 파일과 통신할 수 있게 하는 메커니즘이다. 일반적으로 확장 프로그램 설치 시 사용자 명시적 동의를 얻고, 매니페스트 파일을 통해 통신 채널을 설정한다.

하지만 엔트로픽의 구현 방식은 이를 우회했다:
1. 사전 설치: Claude.app 설치 시 브라우저 확장 설치 여부와 관계없이 매니페스트 파일 미리 생성
2. 광범위한 타겟: 설치된 브라우저뿐만 아니라, 설치되지 않은 브라우저 폴더까지 생성
3. 자동 복구: 사용자가 파일을 삭제해도 앱 실행 시 재생성

공격 벡터 분석

이 구현은 다음과 같은 보안 위험을 야기한다:

1. 프롬프트 인젝션(Prompt Injection) 공격 경로

Claude의 브라우저 브리지가 활성화되면 AI 에이전트가 다음 작업을 수행할 수 있다:
- 웹페이지 읽기
- 폼 자동채우기
- 스크린샷 캡처
- 세션 데이터 접근

만약 Claude의 코드가 프롬프트 인젝션 공격에 노출되면, 공격자가 호스트 머신에서 명령을 실행할 수 있는 경로가 생긴다. 이는 뱅킹 사이트 로그인이나 암호화된 메시지 읽기 등 민감한 데이터 유출로 이어질 수 있다.

2. 권한 상승(Part Privilege Escalation)

네이티브 메시징 매니페스트 파일은 확장 프로그램이 로컬 실행 파일과 통신하는 '입출력 통행증' 역할을 한다. 악의적인 확장 프로그램이나 탈취된 Claude 세션을 통해 이 통로를 악용하면, 브라우저의 샌드박스 보호를 우회하여 시스템 권한을 얻을 수 있다.

3. 데이터 유출(Data Exfiltration)

브라우저 확장을 통해 접근 가능한 데이터:
- 쿠키 및 세션 토큰
- 저장된 비밀번호
- 브라우징 기록
- 확장 프로그램 데이터
- 웹사이트 로컬 스토리지

이 데이터가 AI 모델로 전송되면, 의도치 않게 프라이버시 정보가 클라우드로 유출될 수 있다.

macOS 앱 권한 관리 가이드

현재 문제점

macOS의 앱 권한 시스템은 다음 영역에서 제약이 있다:
1. 브라우저 확장 권한: 확장 프로그램 설치는 브라우저 권한 모델에 의존하며, macOS 시스템 레벨의 통제가 약함
2. 파일 시스템 접근: 앱이 자신의 홈 디렉토리 내에서 파일을 생성하는 것은 제한적 통제만 가능
3. 프로세스 간 통신: 네이티브 메시징 같은 IPC 메커니즘에 대한 명시적 사용자 동의 요구 부재

사용자 대응 방안

즉시 조치:

# 1. Claude.app 삭제
rm -rf /Applications/Claude.app

# 2. 네이티브 메시징 매니페스트 파일 삭제
rm -rf ~/Library/Application Support/Google/Chrome/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
rm -rf ~/Library/Application Support/Microsoft Edge/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
rm -rf ~/Library/Application Support/BraveSoftware/Brave-Browser/NativeMessagingHosts/com.anthropic.claude_browser_extension.json
# ... 기타 브라우저 동일

# 3. Claude 관련 모든 데이터 삭제
rm -rf ~/Library/Application Support/com.anthropic.claude
rm -rf ~/Library/Caches/com.anthropic.claude
rm -rf ~/Library/Preferences/com.anthropic.claude.plist

권한 감시:

# 네이티브 메시징 폴더 모니터링
watch -n 5 'ls -la ~/Library/Application\ Support/Google/Chrome/NativeMessagingHosts/'

# 새로 생성된 파일 감지
find ~/Library/Application\ Support -name "*.json" -path "*/NativeMessagingHosts/*" -mmin -10

시스템 수준 통제:

# 앱 설치 제한 (관리자 권한 필요)
sudo spctl --master-enable

# 알 수 없는 개발자 앱 차단
sudo defaults write /Library/Preferences/com.apple.security GKAutoRearm -bool NO

엔터프라이즈 환경 권장 사항

MDM(Mobile Device Management) 정책:

1. 네이티브 메시징 폴더 접근 제한
2. Claude.app 블랙리스트 등록
3. 확장 프로그램 설치 허용 목록(Allowlist) 관리
4. 정기적인 파일 시스템 감사

네트워크 수준 통제:
- Claude API 엔드포인트 필터링
- 암호화 트래픽(DPI) 모니터링
- 클라우드 서비스 접근 로깅

클라우드 서비스 보안 주의사항

클라우드 AI 서비스의 보안 모델 문제

이 사건은 클라우드 기반 AI 서비스가 가진 근본적인 보안 모델의 취약성을 보여준다:

1. 투명성 부족

• 사용자는 어느 데이터가 클라우드로 전송되는지 완전히 파악하지 못함
• 네이티브 메시징 같은 백엔드 통로가 사용자에게 공개되지 않음
• 데이터 처리 로직이 블랙박스로 작동

2. 권한 경계 모호성

• 로컬 앱 권한과 클라우드 서비스 권한의 경계가 불분명
• 사용자 동의가 로컬에서만 이루어지고, 클라우드 처리는 암묵적 승인으로 간주
• 제3자 서비스(브라우저)와의 통합에 대한 통제 부재

3. 데이터 유출 위험

• 민감한 데이터가 AI 모델 학습에 활용될 가능성
• 데이터 저장 위치 및 보존 기간 불투명
• 데이터 삭제 요청 처리 불확실성

클라우드 서비스 이용 시 보안 체크리스트

서비스 선택 전:
- [ ] 프라이버시 정책에서 데이터 처리 방식 명시 확인
- [ ] 온프레미스/하이브리드 배포 옵션 확인
- [ ] 데이터 로컬리제이션(지역 저장) 지원 여부
- [ ] 감사 로그 및 접근 제어 기능 확인

배포 및 운영:
- [ ] 최소 권한 원칙(Least Privilege) 적용
- [ ] 데이터 마스킹 및 익명화 프로세스 구축
- [ ] 정기적인 보안 감사 및 페너트레이션 테스트
- [ ] 인시던트 대응 절차 수립

사용자 교육:
- [ ] 데이터 분류 및 처리 가이드라인 배포
- [ ] 민감 정보 입력 금지 정책 수립
- [ ] 보안 위 발견 시 신고 채널 안내
- [ ] 정기적인 보안 인증 교육

기술적 완화 조치

1. 데이터 로컬 처리 우선

가능한 경우 클라우드로 전송하기 전 로컬에서 데이터 처리 수행:

# 예: 로컬에서 PII(개인 식별 정보) 필터링
import re

def sanitize_input(text):
    # 이메일, 전화번호, 신용카드 등 민감 정보 마스킹
    text = re.sub(r'\b[\w.-]+@[\w.-]+\.\w+\b', '[EMAIL]', text)
    text = re.sub(r'\b\d{3}-\d{4}-\d{4}\b', '[PHONE]', text)
    text = re.sub(r'\b\d{4}-\d{4}-\d{4}-\d{4}\b', '[CARD]', text)
    return text

2. 네트워크 격리

민감한 환경에서는 클라우드 AI 서비스 접근 제한:

# 방화벽 규칙 예시
iptables -A OUTPUT -p tcp --dport 443 -d api.anthropic.com -j DROP

3. 프록시 및 감사

클라우드 API 호출을 중개하고 로깅:

// 예: API 프록시 서버
app.post('/api/anthropic/*', async (req, res) => {
    // 1. 요청 내용 검증
    if (containsSensitiveData(req.body)) {
        return res.status(403).json({ error: 'Sensitive data detected' });
    }

    // 2. 로깅
    auditLog({
        user: req.user.id,
        endpoint: req.path,
        timestamp: new Date(),
        dataSize: JSON.stringify(req.body).length
    });

    // 3. 프록시
    const response = await anthropicAPI(req.body);
    res.json(response);
});

위협 레벨별 대응 우선순위

결론

엔트로픽 Claude macOS 앱의 권한 남용 사례는 클라우드 AI 서비스가 가진 프라이버시 및 보안 위험을 명확히 보여준다. 사용자 동의 없이 광범위한 시스템 접근 경로를 생성하는 것은 '스파이웨어'와 다를 바 없으며, 프롬프트 인젝션 같은 공격 벡터를 통해 심각한 보안 사고로 이어질 수 있다.

엔터프라이즈 환경에서는 다음을 우선적으로 고려해야 한다:
1. 클라우드 AI 서비스 도입 전 철저한 보안 검증
2. 데이터 로컬 처리 및 네트워크 격리 등 기술적 완화 조치
3. 사용자 권한 및 데이터 흐름에 대한 투명성 확보
4. 정기적인 보안 감사 및 인시던트 대응 절차 마련

클라우드 AI 서비스의 편의성과 보안 사이에서 균형을 찾는 것은 현대 보안 전략의 핵심 과제다.

본 콘텐츠는 AI 기술로 작성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하셨으면 댓글을 통해 의견을 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.