Claude Code 소스코드 전체 유출: npm 패키징 실수로 51만 줄 노출

npm 패키지에서 시작된 대규모 유출

2026년 3월 31일, 보안 연구원 Chaofan Shou가 Anthropic의 Claude Code npm 패키지(버전 2.1.88)에서 소스맵(.map) 파일이 포함된 것을 발견했다. 이 소스맵 파일은 난독화된 프로덕션 코드를 원본 소스코드로 매핑하는 디버깅용 파일로, 사실상 Claude Code의 전체 소스코드를 읽을 수 있는 상태로 공개한 셈이었다.

유출 규모는 약 1,900개 TypeScript 파일, 512,000줄 이상의 코드에 달한다. Anthropic은 "Claude Code 릴리즈에 일부 내부 소스코드가 포함됐다. 고객 데이터나 인증 정보는 관련되지 않았으며 노출되지 않았다"고 발표하며 "릴리즈 패키징 과정의 휴먼 에러이며 보안 침해가 아니다"라고 해명했다.

유출 경위: .npmignore 설정 누락

유출의 원인은 단순한 설정 실수였다. npm 패키지를 배포할 때 .npmignore 또는 package.json의 files 필드를 통해 배포에 포함할 파일을 지정하는데, 이 설정이 제대로 되지 않아 소스맵 파일이 프로덕션 패키지에 포함됐다. 2026년 3월 31일 UTC 00:21에서 03:29 사이에 Claude Code를 설치하거나 업데이트한 사용자들이 이 파일을 받았을 가능성이 있다.

GitHub에 유출된 코드가 빠르게 확산되어 1,100개 이상의 스타와 1,900개 이상의 포크를 기록했다. Anthropic은 저작권 테이크다운 요청(DMCA)을 통해 수천 개의 복사본을 GitHub에서 삭제 조치했다.

코드에서 드러난 Claude Code의 아키텍처

유출된 코드에서 Claude Code의 내부 구조가 상세히 드러났다.

도구 시스템: 약 40개의 빌트인 도구와 50개 이상의 슬래시 커맨드를 갖춘 모듈형 플러그인 아키텍처다. 파일 작업, Bash 실행, 웹 페칭, LSP 통합 등의 기능이 권한 게이트 방식으로 구성돼 있다. 기본 도구 정의만 29,000줄에 달한다.

쿼리 엔진: LLM API 호출, 스트리밍, 캐싱, 오케스트레이션을 처리하는 46,000줄 규모의 핵심 모듈이다. Claude Code의 '두뇌'로 불린다.

멀티에이전트 기능: Claude Code는 복잡한 작업을 병렬로 처리하기 위해 'swarms'라 불리는 서브에이전트를 생성할 수 있다.

기술 스택: Node.js가 아닌 Bun 런타임 위에 구축됐으며, 터미널 UI는 React + Ink, 유효성 검증에는 Zod v4를 사용한다. 무거운 의존성은 지연 로딩(lazy loading) 방식으로 처리한다.

보안 우려와 업계 반응

이번 사건이 특히 주목받는 이유는 두 가지다. 첫째, Claude Code가 Anthropic의 핵심 수익원이라는 점이다. 수십억 달러를 투자해 개발한 기술의 설계도가 경쟁사에 공개된 셈이다. Fortune은 이를 "경쟁사에 수십억 달러짜리 청사진을 넘겨준 것"이라고 평가했다.

둘째, 이 사건이 며칠 전 발생한 Claude Mythos 유출과 연이어 발생했다는 점이다. 연속된 보안 사고는 Anthropic의 내부 릴리즈 프로세스에 대한 신뢰도 문제를 제기한다.

DEV Community에서는 이 사건에 대해 "사고인가, 무능인가, 아니면 AI 역사상 최고의 PR 스턴트인가"라는 글이 화제가 됐다. 일부 개발자들은 유출된 아키텍처 패턴이 AI 도구 개발의 표준을 제시한다며 긍정적으로 평가하기도 했다.

개발자가 얻을 수 있는 교훈

이번 사건은 npm 패키지 배포 시 보안 점검의 중요성을 재확인시킨다.

결론

Claude Code 소스코드 유출은 AI 산업에서 가장 주목받는 보안 사고 중 하나로 기록될 것이다. 고객 데이터 유출이 없었다는 점에서 실질적 피해는 제한적이지만, Anthropic의 핵심 기술 자산이 공개된 것은 경쟁 구도에 영향을 줄 수 있다. npm 생태계의 보안 취약점을 재조명한 사건이기도 하다. Anthropic이 이 사건 이후 내부 릴리즈 프로세스를 어떻게 강화하는지가 향후 신뢰 회복의 관건이 될 것이다.