앤스로픽 Claude Code 소스코드 유출, 해커들이 맬웨어 삽입한 복사본 GitHub에 유포

앤스로픽(Anthropic)이 자사의 인기 바이브코딩(vibe-coding) 도구인 Claude Code의 소스코드를 실수로 공개한 사실이 한 보안 연구자에 의해 발견됐다. 유출 직후 개발자 플랫폼 GitHub에 해당 코드를 재게시하는 사례가 빠르게 확산됐다.

그러나 이 코드를 다운로드하려는 사용자들은 각별한 주의가 필요하다. BleepingComputer에 따르면, 일부 게시자는 실제로 해커로서 코드 내부에 인포스틸러(infostealer) 맬웨어를 삽입해 배포하고 있는 것으로 확인됐다.

앤스로픽은 맬웨어 포함 여부와 관계없이 유출 코드의 복사본을 제거하기 위해 저작권 게시중단(copyright takedown) 요청을 발행하고 있다. 월스트리트저널에 따르면, 앤스로픽은 처음에 GitHub에서 8,000개 이상의 저장소를 삭제하려 했으나 이후 96개의 복사본 및 파생물로 범위를 좁혔다.

해커들이 Claude Code에 대한 관심을 악용한 것은 이번이 처음이 아니다. 지난 3월 404 Media는 구글의 스폰서 광고가 공식 Claude Code 설치 안내를 가장한 사이트로 연결되는 사례를 보도했다. 이 사이트들은 사용자에게 실제로는 맬웨어를 다운로드하는 명령어를 실행하도록 유도했다.

Claude Code는 컴퓨터 터미널에 익숙하지 않은 사용자들도 웹사이트에서 설치 명령어를 복사해 붙여넣는 방식으로 사용하는 도구다. 이러한 사용 방식이 맬웨어 유포의 공격 벡터로 활용되고 있어, 공식 채널이 아닌 경로에서의 설치에 대한 경계가 필요하다.

이번 사건은 인기 AI 도구를 둘러싼 보안 위협이 다양한 형태로 진화하고 있음을 보여준다. 소스코드 유출 자체의 위험뿐 아니라, 유출을 미끼로 한 2차 공격까지 발생하면서 AI 개발 도구 생태계 전반의 보안 취약성이 드러나고 있다.