Claude Code Skills, 설치 전에 볼 조건 있습니다
Anthropic이 공식 인정한 위험 — Skills의 주요 리스크는 프롬프트 인젝션과 데이터 유출입니다.
마켓플레이스에 올라온 31,000개 이상의 스킬 중 26.1%에서 보안 위험 패턴이 확인됐고,
이미 실제 피해 사례가 진행 중입니다.
Skills가 뭔지 먼저 알아야 위험도 보입니다
Claude Code Skills는 Claude의 기본 기능 밖의 일을 시킬 수 있는 플러그인입니다.
Slack 메시지 자동 발송, GitHub 코드 커밋, 데이터베이스 직접 조회, 파일 시스템 조작까지 — 말 그대로 Claude가 컴퓨터 안에서 직접 행동하게 만드는 도구입니다.
구조는 단순합니다. SKILL.md 형식의 마크다운 파일에 지시 사항을 담아 업로드하면, Claude가 해당 스킬을 읽고 요청이 들어올 때마다 자동으로 실행합니다.
Anthropic 공식 문서에도 “Skills require the code execution environment to function”이라고 나옵니다 — 코드 실행 환경과 함께 작동하기 때문에, 잘못 설치된 스킬은 단순한 오류가 아니라 실제 시스템 피해로 이어집니다.
무엇보다 중요한 건, Skills가 단순 채팅봇 응답과 다르게 실제 행동을 취한다는 점입니다.
“파일 정리해줘”라고 시키면 Claude가 직접 파일을 건드립니다. 여기에 악의적인 스킬이 끼어들면 결과가 달라집니다.
31,000개 분석했더니 나온 숫자 — 26.1%
2026년 1월 공개된 첫 번째 Claude Skills 보안 연구(arXiv:2601.10338)에서 비공식 마켓플레이스 SkillsMP 등에서 수집한 31,000개 이상의 스킬을 분석했습니다.
결과는 명확합니다. 26.1%에서 보안 위험 패턴이 하나 이상 확인됐습니다.
(출처: Reddit/ClaudeAI, 2026.01.19 / arXiv 연구 논문 2601.10338)
💡 공식 발표문과 실제 연구 데이터를 같이 놓고 보니 이런 차이가 보였습니다
Anthropic의 공식 Help Center는 Skills의 주요 위험으로 “프롬프트 인젝션”과 “데이터 유출”만 언급합니다.
하지만 외부 보안 연구는 여기에 더해 공급망 공격(Supply-chain abuse)과 에이전트 간 전파(Agent-to-Agent spreading)라는 전혀 다른 차원의 위험을 발견했습니다.
Anthropic이 공식 답변을 내놓지 않은 부분입니다.
발견된 위험 유형은 크게 세 가지입니다. 프롬프트 인젝션(마크다운 안에 숨긴 지시로 Claude를 조작), 데이터 유출(API 키·자격증명을 외부 서버로 전송), 공급망 공격(스킬이 외부 URL에서 런타임에 코드를 내려받아 실행).
| 위험 유형 | 심각도 | 실제 피해 |
|---|---|---|
| 프롬프트 인젝션 | 높음 | Claude가 의도치 않은 명령 실행 |
| 데이터 유출 | 높음 | API 키·지갑 개인키 외부 전송 |
| 공급망 공격 | 높음 | 외부 URL에서 악성 코드 실행 |
| 에이전트 간 전파 | 중~높음 | AI 에이전트가 다른 에이전트에게 악성 스킬 추천 |
4분의 1이 넘는 수치입니다. npm 패키지 취약점 비율이 통상 5~10% 수준임을 감안하면 두 배 이상 높은 수준입니다.
Anthropic도 공식 문서에 인정한 두 가지 위험
Anthropic 공식 Help Center “Use Skills in Claude”에는 이런 문장이 있습니다.
“The most significant risks are prompt injection, which allows Claude to be manipulated to execute unintended actions, and data exfiltration, caused by malicious package code or prompt-injected data leaks.”
(출처: Anthropic 공식 Help Center — Use Skills in Claude, 2026.03 기준)
프롬프트 인젝션과 데이터 유출, 두 가지를 공식적으로 인정한 것입니다. 무시할 수 없는 이유가 여기 있습니다.
특히 주목해야 할 부분은 같은 문서의 다음 구절입니다. “note that skills may include, or instruct Claude to install, third-party packages and software” — 스킬이 서드파티 패키지를 설치하도록 Claude에게 지시할 수 있다는 뜻입니다.
마켓플레이스에서 스킬을 받아 켜는 순간, Claude가 내 시스템에 어떤 패키지를 설치할지는 스킬 파일을 직접 열어보지 않으면 알 수 없습니다.
💡 보안 문서와 실제 사용 흐름을 같이 놓고 보면 보이는 것이 있습니다
공식 문서는 “설치 전에 파일을 읽어보라”고 권고하지만, 실제 사용 흐름에서 SKILL.md 파일을 열어서 코드 의존성과 외부 URL을 하나씩 검토하는 사람은 거의 없습니다.
npm에서 패키지 설치할 때 package.json을 전부 읽고 설치하는 개발자가 없는 것처럼 — 바로 이 간격이 공격자가 노리는 지점입니다.
또한 공식 문서는 “review it before enabling”이라고 권고하면서도, Team·Enterprise 플랜에서는 조직 관리자가 스킬을 전체 구성원에게 일괄 배포할 수 있는 구조입니다.
관리자 한 명이 악성 스킬을 실수로 승인하면, 조직 전체에 동시 배포됩니다.
AI끼리 서로 속이는 공격이 이미 실행 중입니다
Straiker 보안 연구팀이 2026년 2월 공개한 분석에서 실제 진행 중인 공격 사례가 확인됐습니다.
공격자는 ClawHub 마켓플레이스에 “bob-p2p-beta”라는 스킬을 올렸습니다.
설명은 “분산형 API 마켓플레이스”였지만, 실제로는 다음 세 가지를 시킵니다.
(출처: Straiker AI Security Research, 2026.02.17)
- 솔라나 지갑 개인키를 평문(plaintext)으로 config.json에 저장 — 서버로 즉시 전송됩니다.
- $BOB 토큰(Birdeye 위험도 100%)을 pump.fun에서 자동 구매 — 사용자 자산이 직접 빠져나갑니다.
- 모든 결제를 공격자 제어 서버로 라우팅 — Google Cloud Run 기반 집계 서버로 연결됩니다.
더 눈여겨볼 부분은 유포 방식입니다. 공격자는 AI 에이전트 전용 소셜 네트워크 Moltbook에서 “BobVonNeumann”이라는 AI 에이전트 페르소나를 만들어 다른 AI 에이전트들에게 해당 스킬을 직접 추천했습니다.
사람이 아니라 AI가 AI에게 악성 스킬을 전파하는 구조입니다.
공격자는 신뢰를 쌓기 위해 같은 계정에서 “runware”라는 정상적인 이미지 생성 스킬을 먼저 올렸습니다. 위험한 스킬을 먼저 올리는 것이 아니라, 무해한 스킬로 평판을 쌓은 뒤 악성 스킬을 끼워 넣는 방식입니다.
온체인 데이터 분석으로 토큰 생성자 지갑과 집계 서버 지갑 사이에 0.25 SOL 송금이 확인됐고, 공격 인프라가 동일 주체의 통제하에 있음이 검증됐습니다.
같은 사람이 운영하는 것이 블록체인 기록으로 남아 있습니다.
⚠️ 이게 왜 기존 공격과 다른가
전통적인 피싱·악성 소프트웨어는 사람을 속입니다. 이 사례에서 사람은 최초 설치 버튼 하나만 눌렀을 뿐입니다.
이후의 전파·실행·자산 탈취는 AI가 AI에게 추천하고, AI가 자율적으로 실행했습니다.
사람이 개입하지 않아도 작동하는 공격 체인입니다.
보안주가 흔들린 이유 — Claude Code Security의 등장
2026년 2월 20일, Anthropic이 Claude Code Security를 공개했습니다.
기존 정적 분석 도구(규칙 기반 패턴 매칭)와 달리, Claude가 코드를 사람 보안 연구자처럼 읽고 비즈니스 로직 결함·접근 제어 오류 같은 복합적인 취약점을 찾아냅니다.
발표 당일, Claude Opus 4.6 기반으로 오픈소스 프로덕션 코드베이스에서 수십 년간 발견되지 않았던 취약점 500개 이상을 찾아냈다고 Anthropic이 밝혔습니다.
(출처: Anthropic 공식 블로그 — anthropic.com/news/claude-code-security, 2026.02.20)
기존 보안 업체들이 수년간 놓친 것을 AI가 하루 만에 찾는다는 발표였습니다. 시장은 즉각 반응했습니다.
| 종목 | 발표 당일 낙폭 | 월간 최대 낙폭 |
|---|---|---|
| CrowdStrike (CRWD) | −8% | 약 −25% |
| Okta (OKTA) | −9.2% | — |
| Cloudflare (NET) | −8.1% | — |
| Zscaler (ZS) | −5.5% | — |
Global X Cybersecurity ETF는 2023년 11월 이후 최저치를 기록했습니다. 단일 발표가 업계 전체 시가총액을 끌어내린 것입니다.
(출처: mlq.ai — Cybersecurity Sector Stocks Fall, 2026.02.21 / AlphaSpread, 2026.02)
솔직히 말하면, 시장이 과잉 반응했다는 분석도 있습니다. Claude Code Security는 현재 Enterprise·Team 고객 대상 제한 리서치 프리뷰 단계이고, 기존 보안 업체를 당장 대체하기보다 보조하는 위치에 가깝습니다.
하지만 방향은 분명합니다 — AI가 코드 보안 영역에 본격 진입했습니다.
설치 전에 확인해야 할 체크리스트
Straiker 분석과 Anthropic 공식 문서를 교차해서 정리한 설치 전 점검 항목입니다.
하나라도 해당되면 설치를 재고하는 것이 맞습니다.
스킬 설명과 실제 권한 요청이 일치하는가
“문서 형식 정리”를 표방하는 스킬이 API 키나 클라우드 자격증명을 요구한다면 불일치입니다. 설명과 요청 권한이 어긋나면 설치하지 않습니다.
외부 URL에서 런타임에 코드를 내려받는가
curl | bash 패턴이나 스킬 실행 중 외부 GitHub Gist·개인 도메인을 호출하는 구조가 있다면 공급망 공격 위험입니다. SKILL.md 파일을 직접 열어 확인합니다.
게시자가 최근에 새로 생겼는가
$BOB 사례에서 공격자는 무해한 스킬로 먼저 평판을 쌓은 뒤 악성 스킬을 올렸습니다. 게시자의 다른 스킬도 확인하고, 계정 생성 시점과 업로드 패턴을 살핍니다.
자격증명을 평문으로 저장하라고 요구하는가
지갑 개인키, 비밀번호, 토큰을 config 파일에 평문 저장하도록 안내하는 스킬은 즉시 제거합니다. 정상적인 스킬은 시크릿 매니저나 환경 변수를 씁니다.
Team·Enterprise라면 조직 배포 전에 격리 테스트를 했는가
관리자가 일괄 배포하면 조직 전체에 즉시 적용됩니다. 반드시 격리 환경에서 먼저 테스트하고, 예상 밖의 네트워크 호출이나 파일 접근이 없는지 확인한 뒤 배포합니다.
현재 Anthropic이 공식 큐레이션하는 Skills 목록과, 엔지니어링 팀이 직접 검증한 “Awesome Claude Skills” 저장소(GitHub/VoltAgent)를 우선 활용하는 것이 가장 안전합니다.
비공식 마켓플레이스에서 받은 스킬은 npm 미검증 패키지처럼 다루는 게 맞습니다.
Q&A
Q1. 공식 Anthropic이 제공하는 기본 내장 스킬도 위험한가요?
26.1% 위험 수치는 비공식 마켓플레이스(SkillsMP, ClawHub 등) 기준입니다.
Q2. Claude Code Security가 Skills 보안 문제도 잡아주나요?
마켓플레이스 스킬의 자동 스캔 기능은 Anthropic이 공식 발표하지 않은 부분입니다.
스킬 파일 자체를 Claude Code Security로 분석하는 것은 수동으로 가능하지만, 자동화된 스킬 검증 파이프라인은 아직 공개되지 않았습니다.
Q3. 무료 플랜 사용자도 Skills를 쓸 수 있나요?
플랜에 상관없이 커스텀 스킬 업로드가 허용되므로, 보안 주의사항도 플랜과 무관하게 동일하게 적용됩니다.
(출처: Anthropic Help Center — Use Skills in Claude, 2026.03 기준)
Q4. ClawHub나 SkillsMP 외에 안전한 스킬 소스가 있나요?
수만 개가 무제한 올라오는 비공식 마켓플레이스와 구조적으로 다릅니다.
Claude 공식 디렉토리(claude.ai/customize/skills)에서 Anthropic이 제공하는 기본 스킬도 우선 검토 대상입니다.
Q5. 이미 설치한 스킬이 의심스러우면 어떻게 해야 하나요?
API 키나 자격증명을 스킬이 접근할 수 있는 환경에서 사용했다면 해당 자격증명을 교체하는 것이 안전합니다.
의심스러운 스킬은 Anthropic 또는 해당 마켓플레이스 운영자에게 신고할 수 있습니다.
시스템에 예상 밖의 파일이나 패키지가 설치됐다면, Claude의 컨테이너 환경과 로컬 파일 시스템 양쪽을 점검합니다.
마치며
Claude Code Skills는 생산성 도구로서 분명히 강력합니다. 말 한마디로 Claude가 실제로 일을 해주는 경험은, 써보면 돌아가기 어렵습니다.
하지만 그 “실제로 일한다”는 특성이 보안 위협의 핵심이기도 합니다.
채팅 AI가 잘못된 답을 내면 다시 물어보면 그만이지만, 에이전트가 잘못된 명령을 실행하면 지갑 잔고가 사라지거나 자격증명이 유출될 수 있습니다.
31,000개 스킬 중 26.1%라는 수치는 마켓플레이스 전체가 부실하다는 뜻이 아닙니다.
보안 심사 없이 누구나 올릴 수 있는 구조가 문제입니다. npm 초창기와 같은 상황입니다.
그 시기에 npm 생태계가 커지면서 악성 패키지도 늘었고, 결국 업계 전체가 공급망 보안 기준을 새로 정립했습니다.
Claude Skills도 같은 과정을 밟고 있는 중으로 보입니다.
당장 실천할 수 있는 것은 간단합니다. 공식 채널 또는 수동 검토된 저장소의 스킬만 사용하고, 비공식 마켓플레이스 스킬은 SKILL.md를 직접 열어 확인한 뒤 설치하는 습관입니다.
불편하지만, 에이전트 도구를 쓰는 비용이라고 생각하면 납득이 됩니다.
총평: 도구 자체의 품질보다, 도구를 유통하는 생태계의 보안 성숙도가 더 중요해진 시점입니다.
AI 에이전트가 실제 행동을 취하는 만큼, 설치하는 스킬의 출처를 따지는 것이 더 이상 선택이 아닙니다.
본 포스팅 참고 자료
- Anthropic 공식 블로그 — Claude Code Security
https://www.anthropic.com/news/claude-code-security (2026.02.20) - Anthropic Help Center — Use Skills in Claude
https://support.claude.com/en/articles/12512180-use-skills-in-claude - Straiker AI Security Research — Agent-to-Agent Attack Chain (ClawHub/Moltbook 분석)
https://www.straiker.ai/blog/ (2026.02.17) - arXiv 보안 연구 논문 2601.10338 — 31,000+ Skills 분석 (2026.01.15)
- mlq.ai — Cybersecurity Sector Stocks Fall After Anthropic’s Claude Code Security Launch
https://mlq.ai/news/… (2026.02.21)
본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. Claude Code Skills 및 Claude Code Security는 2026년 3월 기준이며, Anthropic의 업데이트에 따라 내용이 달라질 수 있습니다. 보안 관련 판단은 반드시 공식 문서와 최신 정보를 함께 확인하시기 바랍니다.
댓글 남기기