서드파티 코드 검토하기
Claude를 둘러싼 생태계 — 스킬, 플러그인, MCP 서버, 훅, 커뮤니티 상태 표시줄(statusline) — 이 강력한 이유는 바로 이것들이 사용자의 머신에서 코드를 실행하고 사용자의 데이터에 접근할 수 있기 때문입니다. 그렇기 때문에 다른 의존성을 검토하듯 이것들도 검토해야 합니다.
실제로 무엇이 실행될 수 있는가
- 훅은 사용자의 권한으로 셸 명령을 실행합니다.
- MCP 서버는 실행되는 프로그램으로, 데이터를 읽고 쓰고 네트워크에 접근할 수 있습니다.
- 플러그인은 위의 모든 것을 묶을 수 있습니다.
- 스킬 스크립트는 스킬의 일부로 실행될 수 있습니다.
이것을 설치하는 것은 "문서를 읽는 것"보다 "소프트웨어를 실행하는 것"에 더 가깝습니다.
빠른 검토 체크리스트
직접 작성하지 않은 것을 설치하기 전에:
- 소스를 읽으세요. 어떤 명령/네트워크 호출을 하나요? 필요 없을 법한 것이 있나요?
- 요청하는 권한/도구를 확인하세요. 최소 권한 — 광범위한 접근은 의심하세요.
- 출처(provenance)를 살펴보세요. 누가 유지보수하나요? 스타, 이슈, 최근 활동, 실제 저장소가 있나요?
- 시크릿 유출 여부를 점검하세요. 환경 변수/자격 증명을 읽어서 어딘가로 보내나요?
- 버전을 고정(pin)하고 업데이트를 주시하세요(무해하던 도구가 업데이트에서 악성으로 바뀔 수 있습니다 — 공급망 위험).
- 확신이 서지 않으면 먼저 샌드박스에서 시험해 보세요.
Claude를 활용하되 — 신중하게
Claude 자체는 스크립트가 무엇을 하는지 요약하고 의심스러운 호출을 짚어내는 데 뛰어납니다. 코드를 검토해 달라고 요청하세요 — 하지만 Claude 역시 속을 수 있다는 점을 기억하세요(프롬프트 인젝션은 코드 주석에 숨어 있을 수 있습니다). 따라서 민감한 사안에서는 그 검토를 절대적 진리가 아니라 하나의 입력으로 취급하세요.
:::warning 신뢰는 체크박스가 아니라 스펙트럼입니다 "마켓플레이스에 있다"는 것이 "안전하다"는 것과 같지 않습니다. 원클릭 설치의 편리함이야말로 빠른 검토가 가장 큰 가치를 발휘하는 순간입니다. :::