애플 Apple Support App에 Claude.md 포함 사고

 

 

5월 1일 흥미로운(?) X 글이 올라옵니다.

 

https://x.com/aaronp613/status/2049986504617820551

X의 Aaron님(@aaronp613)

 

 

Claude.md 포함 사고

 

애플의 Apple Support App v5.13에 Claude.md가 포함되었습니다.

 

 

애플은 관련 내용을 보고 바로 5.13.1에서 Claude.md 파일을 제거합니다.

 

 

다음은 AI 답변입니다.

 

CLAUDE.md 란

CLAUDE.md는 Claude Code(AI 코딩 어시스턴트)를 사용하는 프로젝트의 표준 구성 요소로, AI에게 프로젝트 아키텍처, 코딩 표준, 피해야 할 함정 등을 정의하는 마스터 인스트럭션 세트 역할을 합니다. BigGo Finance

쉽게 말하면 개발자가 Claude Code에게 "우리 프로젝트는 이런 구조야, 이런 규칙으로 코드 짜줘"라고 알려주는 컨텍스트 파일입니다. 개발 환경 내부에서만 쓰이고, 배포 빌드에는 포함되지 않는 게 정상입니다.

 

 

유출된 내용

유출된 CLAUDE.md에는 완전한 대화 시스템 아키텍처가 담겨 있었습니다. 핵심은 듀얼 백엔드 시스템으로:

• Juno AI: 자동 응답 담당
• Live Agents: 인간 상담원 인계 담당
• 두 백엔드는 Protocol 레이어를 통해 seamless하게 전환되며, 상위 코드는 어느 메시지가 AI 발신인지 인간 발신인지 알 수 없는 구조입니다.

또한 메시지 시스템에는 세 가지 역할(client/agent/assistant)이 설계되어 있으며, 사용자에게는 응답이 AI인지 인간인지 구분되지 않도록 설계되어 있습니다. 36Kr

 

 

 

유출 시 발생하는 문제들

 

claude.md 파일이 유출이 뭐가 문제일까 AI에 물어보니 생각보다 많습니다.

 

1. 아키텍처 정보 노출 (가장 심각)

내부 시스템 설계도가 공개되는 셈입니다. 공격자 입장에서는 어떤 백엔드가 어떻게 동작하는지, 어느 지점에서 AI와 인간이 전환되는지 등의 공격 표면(attack surface)을 파악할 수 있습니다.

 

-> 아무래도 내부 아키텍처 정보 유출이 제일 클 듯 합니다. 

 

2. AI 사용 사실 자체의 노출

Apple처럼 기밀 유지에 극도로 민감한 기업이 Anthropic의 Claude를 사용한다는 사실 자체가 확인되었습니다. Bloomberg의 Mark Gurman은 이미 "Apple은 현재 Anthropic으로 운영되고 있다"고 보도했었지만, 이번 사건으로 실제 코드 레벨에서도 Claude가 핵심 개발 워크플로우의 일부임이 확인되었습니다.

 

-> 요즘은 AI를 이용 안하는 곳이 적을 듯 한데, 어느 곳에 얼마나 AI를 이용하는지가 중요할 듯 합니다.

 

3. 사용자 기만 가능성 논란

AI인지 인간인지 구분 없이 동일한 흐름으로 처리한다는 설계가 드러나면서, 사용자 투명성(transparency) 측면에서 윤리적·법적 논란이 생길 수 있습니다.

 

-> 이건 요즘에는 좀....

 

4. 빌드 파이프라인 보안 신뢰성 문제

개발자 커뮤니티에서는 "Claude Code 자체가 개발자의 .gitignore 지시를 선택적으로 무시하는 문서화된 이력이 있다"는 지적과 함께, 이 파일이 Apple의 엄격하기로 유명한 코드 리뷰 과정을 어떻게 통과했는지에 대한 비판이 쏟아졌습니다.

 

-> 추가 파일이 추가되어서 코드 리뷰와 다르지 않을까요 ?

 

결론

 

애플도 Claude AI를 사용하고 있습니다.