Claude Code의 settings.json 하드닝 치트시트
Source: Dev.to
위험은 실제입니다
Claude Code는 악의적인 의도가 없지만, 환각을 일으켜 여러분이 요청한 범위를 훨씬 넘어서는 행동을 할 수 있습니다—예를 들어 “정리”를 위해 파일을 삭제하거나, “수정”을 위해 브랜치를 강제 푸시하거나, 요청하지 않은 패키지를 설치하는 식입니다.
간접 프롬프트 인젝션도 문제입니다: Claude Code가 처리하는 소스 코드, 문서, 웹 페이지에 숨겨진 명령이 포함될 수 있습니다. 공격자는 의존성이나 문서에 악성 프롬프트를 삽입하고, Claude는 이를 의심 없이 실행합니다.
공격자가 사용자 수준의 접근 권한을 얻으면, Claude Code는 해당 사용자 계정이 실행할 수 있는 모든 명령을 실행할 수 있어 피해 범위가 크게 확대됩니다.
이 문제들은 LLM 애플리케이션을 위한 OWASP Top 10과 직접 연결됩니다: 과도한 의존 (LLM09), 과도한 자율성 (LLM06), 프롬프트 인젝션 (LLM01).
먼저 샌드박스
가장 강력한 보호를 위해 샌드박스를 활성화하세요—파일 및 네트워크 접근을 OS 수준에서 격리합니다. Claude Code의 인터랙티브 모드에서 /sandbox를 실행합니다.
거부 규칙만으로는 빈틈이 있습니다: Read(**/.env)를 거부하면 Claude의 내장 Read 도구는 차단되지만, Bash를 통해 cat .env를 실행하면 우회됩니다. 샌드박스는 거부 규칙이 놓친 부분을 잡아냅니다.
Claude Code의 settings.json이 할 수 있는 일
Claude Code는 ~/.claude/settings.json을 사용해 권한을 제어합니다:
| 카테고리 | 동작 |
|---|---|
| deny | 프롬프트 없이 항상 차단되는 명령 |
| ask | 이전에 “다시 묻지 않음”을 선택했더라도 항상 프롬프트를 표시하는 명령 |
| allow | 프롬프트 없이 항상 허용되는 명령 |
rm -rf, sudo, git push --force와 같은 위험한 명령을 deny 목록에 추가해 Claude Code가 실행하지 못하도록 하세요.
psql처럼 파괴적인 동작(DROP TABLE)은 차단하고 안전한 쿼리는 허용하고 싶다면 ask를 사용해 매번 프롬프트를 받도록 설정합니다.
“당신의 두뇌” 문제
기본 권한 수준은 ask입니다: 처음 사용할 때 프롬프트가 표시되고, “다시 묻지 않음”을 선택하면 영구적으로 적용됩니다. 그러나 판단은 당신의 두뇌에서 이루어지며, 급하거나 피곤하거나 chmod -R 같은 명령의 영향을 확신하지 못할 수 있습니다.
deny가 존재하는 이유는 그것은 피곤하지도, 서두르지도 않으며, 스스로를 재검토하지도 않기 때문입니다.
치트시트
전체 치트시트는 GitHub에 호스팅됩니다:
- Repository:
- README & full cheatsheet:
포함 내용:
- Claude Code가 하드닝이 필요한 이유 (OWASP LLM Top 10 참조 위험 시나리오)
- 샌드박스 설정
- 권한 시스템(
deny,ask,allow) 및 상호 작용 - 위협 카테고리별 거부 목록 (git 작업, 파일 삭제, 권한 상승, 원격 접근, macOS‑특정 명령 등)
- Human‑in‑the‑Loop(
ask) 규칙 - 거부 규칙의 한계와 훅을 활용한 방어‑깊이 전략
- 영어와 일본어 버전 제공, OWASP Cheat Sheet Series 스타일 적용
사용 방법
- 저장소를 클론합니다.
settings_example.jsonc를 검토합니다(무조건 복사하지 마세요).- 치트시트에 있는 각 규칙의 근거를 이해한 뒤, 자신의 환경에 맞는 규칙을 선택합니다.
제공된 거부 목록은 시작점일 뿐이며, 모든 상황을 포괄하지는 않습니다. 자신의 설정에 맞게 조정하세요.
치트시트는 CC BY‑SA 4.0 라이선스로 제공됩니다. 적절한 출처 표시와 동일한 라이선스로 수정본을 공유하는 한, 문서, 교육 자료 등 다양한 용도로 자유롭게 사용할 수 있습니다. 피드백 및 기여를 환영합니다.