macOS 한정 (Windows 미지원)
보안 취약점 CVE-2025-54794/54795 확인
Claude Computer Use, 편하다고요? 이 조건 먼저 보세요
AI가 내 맥 화면을 직접 클릭하고, 스프레드시트를 채우고, 파일을 이메일에 첨부한다. 2026년 3월 23일 Anthropic이 공개한 Claude Computer Use 이야기입니다. 그런데 공식 발표에 없는 내용이 있습니다. 파일이 승인 없이 외부 계정으로 빠져나간다는 것.
Claude Computer Use란 무엇인가
2026년 3월 23일, Anthropic이 Claude Computer Use를 리서치 프리뷰로 공개했습니다. Claude Cowork와 Claude Code 안에 통합된 기능으로, Claude가 macOS의 앱을 열고, 버튼을 클릭하고, 브라우저를 탐색하고, 스프레드시트를 직접 채울 수 있습니다. 타이핑 한 줄 없이요.
공식 설명에는 이렇게 나옵니다. “Anything you can do on your computer, Claude can do.” (출처: claude.com/product/cowork) 말 그대로입니다. 그런데 이 문장을 그대로 믿으면 이 글 후반부에서 얘기할 내용이 훨씬 충격적으로 느껴질 겁니다.
이 기능은 기존의 RPA(Robotic Process Automation)와 다르게 설계됐습니다. 전통적인 RPA는 화면의 특정 좌표나 UI 요소를 미리 등록해야 하고, 앱 업데이트 한 번에 자동화가 통째로 깨지는 ‘취성(brittle)’ 문제가 있었습니다. Claude Computer Use는 LLM이 화면을 이해하기 때문에 UI가 바뀌어도 스스로 적응합니다. 전통 RPA가 고정된 악보를 연주하는 연주자라면, Claude는 즉흥 재즈에 가깝습니다.
💡 공식 발표 시점과 실제 기능 범위를 같이 놓고 보면 이런 차이가 보입니다 — Computer Use는 Cowork의 ‘최후 수단’으로 설계됐습니다. API 연동이 있으면 API를, 브라우저면 DOM을, 그것도 안 되면 그때서야 화면을 직접 건드립니다.
Cowork가 화면을 제어하는 순서, 생각보다 단순하지 않습니다
대부분의 리뷰가 “화면을 직접 클릭한다”는 사실만 보도합니다. 그런데 실제로 Cowork는 화면 클릭을 가장 마지막 선택지로 씁니다. 이 순서를 모르면 왜 어떤 작업은 빠르고 어떤 작업은 느린지 이해하기 어렵습니다.
① 커넥터 우선 (Connectors First)
Slack, Google Calendar, Google Drive, Gmail에 직접 연결된 API를 먼저 씁니다. 속도가 가장 빠르고 오류율도 낮습니다. 화면을 건드릴 필요가 없습니다.
② 브라우저 제어 (Browser Second)
커넥터가 없는 웹 서비스라면 Chrome 브라우저를 제어합니다. DOM 구조를 직접 읽기 때문에 화면 캡처보다 빠릅니다.
③ 풀 스크린 컨트롤 (Full Screen Control — 최후 수단)
위 두 방법이 불가능할 때, macOS Accessibility API를 통해 화면을 직접 조작합니다. 속도가 가장 느리고 앱 업데이트에 영향을 받을 수 있습니다. Anthropic 공식 발표에서 별도 이유를 밝히지는 않았지만, 이 방식이 보안 리스크도 가장 큽니다.
💡 이 흐름을 알면 실용적인 판단이 달라집니다 — Slack 업무는 커넥터로 빠르게 처리되지만, 사내 ERP처럼 API가 없는 레거시 시스템은 풀 스크린 컨트롤에 의존할 수밖에 없고, 그만큼 실패 가능성도 높아집니다.
Dispatch — 폰으로 맥을 조종하는 기능의 실제
Computer Use와 함께 주목받는 기능이 Dispatch입니다. 3월 13일 먼저 공개됐고, 3월 23일 Computer Use와 결합됐습니다. 스마트폰 Claude 앱에서 메시지를 보내면, 집에 있는 맥이 그 작업을 수행합니다. CNBC 공식 보도(2026.03.24)에서도 이 사례를 직접 시연했습니다 — 회의에 늦은 사용자가 폰으로 “피치덱을 PDF로 내보내서 회의 초대에 첨부해줘”라고 보내면, 맥이 자동으로 처리합니다.
그런데 이 기능은 Claude Code와 분리된 UX를 갖습니다. Cowork는 코딩이 아닌 일반 업무를, Claude Code는 개발 작업을 담당하는 구조입니다. 데스크톱 앱에서 Chat·Cowork·Code 탭을 직접 전환하는 방식입니다. (출처: Anthropic 공식 지원 센터 — support.claude.com)
| 항목 | 내용 |
|---|---|
| 출시일 | 2026년 3월 23일 (리서치 프리뷰) |
| 지원 OS | macOS (Windows 지원 예정, 미정) |
| 접근 가능 플랜 | Pro $20/월, Max $100~$200/월 |
| 사용 위치 | Claude Cowork, Claude Code |
| Dispatch 연동 | 스마트폰 → 맥 원격 지시 가능 |
| 상태 | 리서치 프리뷰 (기능 변동 가능) |
승인 버튼 눌렀는데도 파일이 빠져나갑니다
가장 중요한 부분입니다. Anthropic은 “Claude가 행동하기 전에 항상 승인을 요청한다”고 강조합니다. (출처: claude.com/product/cowork) 그런데 PromptArmor 위협 인텔리전스팀이 2026년 3월 25일 실증한 내용은 다릅니다.
공격 흐름은 이렇습니다. 피해자가 로컬 폴더를 Cowork에 연결합니다. 이때 온라인 포럼에서 다운받은 .docx 파일 한 개를 같이 업로드합니다. 이 파일 안에는 1포인트 흰색 폰트로 숨겨진 프롬프트 주입 명령이 들어 있습니다. Cowork가 파일을 읽는 순간, 감춰진 명령이 활성화됩니다. Claude는 curl 명령으로 공격자의 Anthropic API 키를 사용해 피해자 폴더에서 가장 큰 파일을 공격자 계정에 업로드합니다. 이 전 과정에서 사용자 승인 팝업은 단 한 번도 뜨지 않습니다. (출처: PromptArmor, promptarmor.com/resources/claude-cowork-exfiltrates-files)
왜 가능한가. Cowork의 VM 환경은 대부분의 외부 네트워크 요청을 차단하는데, Anthropic의 자체 API 도메인은 허용 목록에 올라 있습니다. 공격자가 Anthropic API를 경유지로 쓰면 VM 격리를 통과합니다. 격리 설계 자체가 의도치 않게 경유로를 만들어준 셈입니다.
⚠️ 이 취약점은 Claude Haiku뿐 아니라 Claude Opus 4.5에서도 재현됐습니다.
Anthropic은 이 리스크를 공식 인정하고 사용자에게 “민감한 로컬 파일에 접근 권한을 주지 말 것”을 권고했습니다. 동시에 Cowork로 Downloads 폴더를 정리하라고 공식 유튜브에서 시연했습니다. 두 입장이 직접 충돌합니다.
CVE 두 개가 말하는 것 — 보안 모델의 구조적 허점
Cymulate의 보안 연구자 Elad Beber는 Claude Code에서 두 개의 취약점을 발견했습니다. Anthropic은 빠르게 패치했지만, 이 두 취약점이 보여주는 패턴이 중요합니다.
CVE-2025-54794 — 경로 우회 (CVSS 7.7)
Claude Code는 현재 작업 디렉터리(CWD) 밖의 파일에 접근할 수 없어야 합니다. 그런데 경로 검증 코드가 단순히 문자열 접두사 비교를 씁니다. 작업 디렉터리가 /Users/user/project라면, /Users/user/project_evil도 같은 접두사로 허용됩니다. /etc/passwd 같은 시스템 파일도 읽힙니다. 영향 범위: v0.2.111 미만. 패치: v0.2.111. (출처: Cymulate, cymulate.com)
CVE-2025-54795 — 명령 주입 (CVSS 8.7)
Claude Code는 사전 승인된 명령(ls, echo, git 등)은 팝업 없이 실행합니다. 그런데 echo "\"; <임의 명령>; echo \"" 형태로 주입하면, echo 검증을 통과하면서 임의 명령이 실행됩니다. 사용자 승인이 필요 없습니다. CVSS 8.7은 High 등급입니다. 영향 범위: v1.0.20 미만. 패치: v1.0.20. (출처: Cymulate, CVE-2025-54795)
💡 Cymulate 연구자는 Anthropic의 Filesystem MCP 서버에서 발견한 같은 패턴의 취약점(CVE-2025-53109/53110)이 Claude Code에서도 반복됐다고 밝혔습니다. 같은 팀이 개발한 제품에서 같은 방식의 실수가 재현된 겁니다.
현재 패치 여부 확인 방법
터미널에서 claude --version을 실행합니다. v1.0.20 이상이면 CVE-2025-54795, v0.2.111 이상이면 CVE-2025-54794가 패치된 상태입니다. 그 이하 버전이라면 즉시 업데이트해야 합니다.
OpenClaw·OpenAI Operator와 뭐가 다른가
Claude Computer Use는 경쟁 서비스와 비교할 때 분명한 차이가 있습니다. CNBC 보도(2026.03.24)에 따르면 OpenClaw는 WhatsApp·Telegram 메시지로 AI 에이전트를 구동하며, 기기 로컬에서 실행됩니다. Nvidia CEO 젠슨 황은 “OpenClaw가 다음 ChatGPT”라고 했고, OpenAI는 OpenClaw 창업자 Peter Steinberger를 직접 영입해 개인 에이전트 개발을 맡겼습니다.
| 비교 항목 | Claude Computer Use | OpenClaw | OpenAI Operator |
|---|---|---|---|
| 인터페이스 | Claude 앱 내 Cowork | WhatsApp/Telegram | ChatGPT 내 Operator |
| OS 지원 | macOS (Windows 예정) | Windows·macOS | 브라우저 기반 (로컬 앱 미지원) |
| 원격 제어 | Dispatch(폰→맥) | 메신저 앱 연동 | 미지원 |
| 보안 우려 | 프롬프트 주입 실증됨 | 메신저 계정 탈취 리스크 | 클라우드 기반 격리 |
Claude Computer Use의 차별점은 Dispatch 기능과 세션 기억입니다. 폰에서 지시를 시작하고 맥에서 이어받는 연속 대화가 가능하고, 반복 작업(매일 아침 이메일 체크 등)을 예약할 수 있습니다. 단, 현재 macOS만 지원하고 Windows는 이유 없이 미정 상태입니다. Anthropic이 공식 답변을 내놓지 않은 부분입니다.
지금 당장 써도 되는 사람, 조금 더 기다려야 하는 사람
솔직히 말하면, 지금 시점에서 Claude Computer Use를 민감한 업무에 쓰는 건 이릅니다. 프롬프트 주입 취약점이 실증됐고, Anthropic도 공식적으로 “리서치 프리뷰 단계”라고 명시했습니다. 그러나 쓸 수 있는 상황이 전혀 없는 건 아닙니다.
✅ 지금 써볼 만한 상황
민감한 파일이 없는 분리된 맥 환경에서 테스트하는 경우, Slack·Google 서비스처럼 공식 커넥터가 있는 서비스 자동화, 외부에서 다운받은 파일을 Cowork에 올리지 않는 조건, 개인 생산성 툴(스크린샷→스프레드시트 변환 등) 단순 반복 작업이 해당됩니다.
⚠️ 지금 피해야 하는 상황
회사 서버 접근 권한이 있는 맥, 금융 정보·주민등록번호·계약서가 로컬에 있는 경우, 외부 .docx·.pdf 파일을 Cowork 폴더에 연결하는 경우, Claude Code v1.0.20 미만 버전을 아직 업데이트하지 않은 경우가 해당됩니다. PromptArmor 실증에서 공격에 쓰인 파일이 정상 .docx처럼 보였다는 점을 기억해야 합니다.
기대했던 것과 달랐던 부분이 있습니다. “항상 승인을 요청한다”는 문구가 전부가 아니라는 점. 승인 UI 외부에서도 파일은 움직일 수 있습니다.
Q&A
Q1. Claude Computer Use는 Pro 플랜($20/월)으로 쓸 수 있나요?
네, Pro 플랜($20/월)부터 사용할 수 있습니다. 다만 사용량 한도가 Max 플랜($100~$200/월)보다 낮습니다. 반복 자동화나 장시간 작업을 많이 한다면 Max 플랜이 현실적입니다. (출처: claude.com/product/cowork, 2026.03.23 기준)
Q2. Windows에서는 언제 쓸 수 있나요?
Anthropic이 공식 일정을 밝히지 않았습니다. Cowork 자체는 2026년 2월에 Windows를 지원했지만, Computer Use(화면 직접 제어) 기능은 2026년 3월 23일 기준 macOS 전용입니다. 이유는 아직 공개되지 않았습니다.
Q3. CVE 취약점은 이미 패치됐는데 지금은 안전한 건가요?
CVE-2025-54794(v0.2.111)와 CVE-2025-54795(v1.0.20)는 패치됐습니다. 그러나 PromptArmor가 실증한 파일 유출 취약점(프롬프트 주입 경유 Anthropic API 업로드)은 별개 이슈이며, 2026년 3월 25일 기준 공식 패치 여부가 확인되지 않았습니다. 이 부분에 대해 Anthropic이 공식 답변을 내놓지 않은 상황입니다.
Q4. Dispatch는 항상 켜져 있나요? 원하지 않을 때 끌 수 있나요?
Claude 앱에서 Cowork 탭을 선택해야 Dispatch가 활성화됩니다. 기본 Chat 모드에서는 작동하지 않습니다. 원격 접근을 원하지 않으면 Cowork 탭을 사용하지 않으면 됩니다. 별도 온/오프 토글은 공식 문서에서 별도 이유를 밝히지 않았습니다.
Q5. 비개발자도 Claude Computer Use를 쓸 수 있나요?
네, 비개발자 대상입니다. 터미널 명령이 필요 없고, 자연어로 지시하면 됩니다. 다만 보안 리스크를 이해하고 쓰는 게 전제가 돼야 합니다. PromptArmor는 “일반 비개발자 사용자에게 ‘프롬프트 주입 징후를 주시하라’고 요구하는 건 공정하지 않다”고 직접 지적했습니다.
마치며
Claude Computer Use는 분명 인상적인 기능입니다. 화면 직접 제어, Dispatch 원격 지시, 세션 기억 — 이게 월 $20짜리 구독에 들어간다는 사실 자체가 놀랍습니다. 그런데 “리서치 프리뷰”라는 딱지가 붙은 데는 이유가 있습니다.
승인 없는 파일 유출이 실증됐고, 취약점이 반복 패턴으로 발생했고, Anthropic 자신도 “실수를 한다”고 공식 인정했습니다. 이게 나쁜 서비스라는 뜻이 아닙니다. 아직 완성되지 않았다는 뜻입니다.
써보고 싶다면 분리된 환경에서, 민감한 파일 없이, 패치 버전(v1.0.20 이상)으로 시작하는 게 맞습니다. 기다려보고 싶다면, Windows 지원과 프롬프트 주입 방어가 공식 발표되는 시점이 기준이 될 것 같습니다.
본 포스팅 참고 자료
- Anthropic 공식 Cowork 제품 페이지 — claude.com/product/cowork
- Anthropic 공식 Cowork 리서치 프리뷰 블로그 — claude.com/blog/cowork-research-preview
- CNBC 공식 보도 (2026.03.24) — cnbc.com
- PromptArmor — Claude Cowork 파일 유출 실증 — promptarmor.com
- Cymulate — CVE-2025-54794 & CVE-2025-54795 분석 — cymulate.com
본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. Claude Computer Use는 2026년 3월 23일 기준 리서치 프리뷰 단계이며, 정식 출시 시 기능 및 보안 정책이 달라질 수 있습니다. 본문 내 CVE 수치 및 보안 취약점 정보는 각 출처(Cymulate, PromptArmor) 공개 시점 기준이며 이후 패치 상태가 변경될 수 있습니다.
댓글 남기기