본 보안공지는 한국인터넷진흥원(KISA) KrCERT/CC가 발행한 것으로, Anthropic사의 Claude Code 제품에서 발견된 두 가지 주요 취약점에 대한 보안 업데이트 권고 사항을 담고 있습니다.

첫 번째 취약점은 CVE-2025-59536으로 명명되었으며, Claude Code 제품에서 발생하는 Code Injection 취약점입니다. Code Injection은 공격자가 애플리케이션의 입력 필드 등을 통해 악의적인 코드를 삽입함으로써, 해당 코드가 서버 또는 클라이언트 측에서 실행되도록 유도하여 시스템의 제어권을 탈취하거나 비정상적인 동작을 유발할 수 있는 심각한 보안 문제입니다. 이 취약점은 Claude Code v1.0.111 미만 버전에서 발견되었으며, 해결을 위해서는 v1.0.111 버전으로 업데이트가 필요합니다.

두 번째 취약점은 CVE-2026-21852로, Claude Code에서 발생하는 Sensitive Information Disclosure 취약점입니다. Sensitive Information Disclosure는 애플리케이션이나 시스템이 민감한 정보(예: 사용자 자격 증명, 개인 식별 정보, 시스템 설정, 내부 구조 등)를 적절한 보안 조치 없이 외부에 노출함으로써, 권한 없는 사용자가 해당 정보를 획득할 수 있도록 허용하는 취약점입니다. 이 취약점은 Claude Code v2.0.65 미만 버전에서 영향을 미치며, v2.0.65 버전으로 업데이트하여 해결할 수 있습니다.

Anthropic사는 이미 해당 취약점들을 해결한 보안 업데이트를 발표하였으며, KISA는 Claude Code 제품을 사용 중인 모든 사용자에게 영향을 받는 버전을 즉시 최신 권고 버전으로 업데이트할 것을 강력히 권고하고 있습니다. 업데이트는 참고 사이트([1] https://github.com/anthropics/claude-code/security/advisories/GHSA-4fgq-fpq9-mr3g, [2] https://github.com/anthropics/claude-code/security/advisories/GHSA-jh7p-qr78-84p7)를 통해 수행할 수 있습니다.

본 보안공지는 위협대응단 AI취약점대응팀에서 작성되었으며, 문의사항은 한국인터넷진흥원 사이버민원센터(국번없이 118)를 통해 확인할 수 있습니다.