두 채널, 두 공격 표면
개발자는 두 곳에서 AI를 사용합니다. 각 환경은 서로 다른 데이터 흐름을 가지며, 서로 다른 보안 통제가 필요합니다.
IDE 통합 AI — Cursor, GitHub Copilot, VS Code 확장 프로그램, Claude Desktop은 프로젝트 전체를 읽을 수 있습니다. 코드 파일, 설정 파일, 환경 변수가 모두 범위 내에 포함됩니다. AI 모델은 개발자가 붙여 넣거나 클라이언트가 프로젝트 컨텍스트에서 가져오는 내용을 받게 됩니다.
브라우저 기반 AI — Claude.ai, ChatGPT, Gemini는 브라우저에서 실행됩니다. 개발자는 코드, 스택 트레이스, 오류 메시지를 브라우저 텍스트 필드를 통해 붙여 넣습니다. 텍스트는 필터 없이 AI 공급자에게 직접 전달됩니다.
두 채널 모두 민감한 데이터를 AI 공급자에게 노출시킵니다. 두 채널 모두 통제가 필요합니다. 그러나 각 채널에 적합한 통제 방식은 다릅니다. 한 채널만 보호하는 팀은 개발자 워크플로의 절반만 보호한 것입니다.
IDE 계층: MCP 서버
Claude Desktop과 Cursor 사용자에게는 Model Context Protocol(MCP)이 올바른 보안 계층입니다.
MCP는 AI 클라이언트와 AI 모델 API 사이에 위치합니다. MCP 서버는 해당 인터페이스의 모든 데이터를 모델에 전달되기 전에 읽습니다.
이 위치 덕분에 세 가지가 가능합니다:
키 및 시크릿 제거 — API 키, 데이터베이스 연결 문자열, 인증 토큰, 내부 URL이 발견되어 안전한 토큰으로 교체된 후 전송됩니다. 모델은 실제 키 값 대신 [API_KEY_1]을 받습니다.
커스텀 코드 패턴 — 팀은 내부 제품 코드, 고객 ID, 서비스 이름에 대한 맞춤형 매칭 규칙을 추가할 수 있습니다. 표준 PII 도구는 이러한 패턴을 알지 못합니다. 커스텀 규칙은 데이터가 외부로 나가기 전에 MCP 서버에서 실행됩니다.
개발 작업 무중단 — 개발자는 Cursor나 Claude Desktop을 이전과 동일하게 사용합니다. MCP 서버가 클라이언트와 API 사이에서 실행됩니다. 개발자는 아무런 변화를 느끼지 못하며 동일한 AI 지원을 받습니다.
GitHub Octoverse 2024에 따르면 GitHub에서 3,900만 건의 시크릿이 유출되었으며, 이는 전년 대비 25% 증가한 수치입니다. 이러한 유출을 유발하는 것과 동일한 습관이 IDE AI 유출도 야기합니다. 자격 증명이 커밋된 코드에 포함되기도 하고, 붙여 넣은 컨텍스트에 포함되기도 합니다. MCP 서버 차단은 그 동일한 패턴의 AI 채널을 커버합니다.
참고 항목: 2026년 MCP 서버 PII 보안
브라우저 계층: Chrome 확장 프로그램
브라우저 기반 AI — Claude.ai, ChatGPT, Gemini — 에는 Chrome 확장 프로그램이 올바른 통제 수단입니다.
확장 프로그램은 각 AI 플랫폼에서 콘텐츠 스크립트로 실행됩니다. 개발자가 텍스트를 제출하기 전에 읽고, 민감한 내용 — 이름, 시크릿, 설정한 코드 패턴 — 을 찾아 AI 공급자에게 도달하기 전에 마스킹합니다.
두 계층은 서로 다른 채널을 커버합니다:
MCP 서버가 커버하는 것 — Claude Desktop 또는 Cursor를 통한 모든 AI 사용. 코드 리뷰, 디버그 세션, 프로젝트 컨텍스트 쿼리가 모두 이 계층을 통과합니다.
Chrome 확장 프로그램이 커버하는 것 — 모든 브라우저 기반 AI 사용. Claude.ai, ChatGPT, Gemini, Perplexity 및 브라우저의 기타 AI 인터페이스. IDE 외부에서 문서 작업이나 질문에 브라우저 AI를 선호하는 개발자도 포함됩니다.
참고 항목: 브라우저 DLP에서 차단 vs 익명화 비교
통합 커버리지의 실제 모습
두 계층을 모두 운영하는 개발팀은 완전한 커버리지를 확보합니다. 실제로 어떻게 작동하는지 살펴보겠습니다.
개발자가 Cursor와 Claude를 사용해 실시간 문제를 디버깅합니다. MCP 서버가 Claude가 보기 전에 스택 트레이스에서 시크릿을 제거합니다. 어떤 키도 전송되지 않습니다.
같은 개발자가 아키텍처 질문을 위해 브라우저에서 Claude.ai를 엽니다. 내부 서비스 URL을 포함시킵니다. Chrome 확장 프로그램이 URL이 전송되기 전에 제거합니다. Claude에 어떤 내부 URL도 도달하지 않습니다.
동료가 문서 작업에 ChatGPT를 사용합니다. API 키가 포함된 코드를 붙여 넣습니다. Chrome 확장 프로그램이 OpenAI로 전송되기 전에 키를 차단합니다. 어떤 키도 노출되지 않습니다.
어느 채널도 시크릿이나 민감한 코드를 AI 공급자에게 노출시키지 않습니다. 두 개발자 모두 실제 업무에 AI를 사용합니다. 보안팀은 단순한 정책 규정이 아닌 기술적 통제를 두 채널 모두에 갖추고 있습니다.
CVE-2024-59944는 이 광범위한 패턴의 한 사례를 보여줍니다. 차단 계층 없는 개발자 AI 도구는 유출 채널입니다. 이중 계층 모델은 해당 위험에 대한 직접적인 대응입니다.
참고 항목: 프로덕션에서 AI 코딩 어시스턴트의 PII 유출
한 계층으로는 충분하지 않은 이유
일부 팀은 브라우저 AI를 차단하고 IDE 도구에만 의존합니다. 또 다른 팀은 브라우저 AI를 허용하지만 IDE는 커버하지 않습니다. 두 접근 방식 모두 취약점을 남깁니다.
직장에서 Cursor를 사용하는 개발자가 빠른 질문 확인을 위해 브라우저 탭에서 ChatGPT를 열 수 있습니다. IDE 전용 통제는 이를 차단하지 못합니다. 브라우저 전용 통제는 IDE 세션을 차단하지 못합니다. 실제 개발자의 하루 동안 두 채널이 모두 활성화됩니다.
이중 계층 모델은 두 채널을 모두 커버합니다. 개발자가 한 채널을 피하도록 요구하지 않습니다. 두 곳에서 조용히 실행됩니다.
anonym.legal은 IDE 통합 AI용 MCP 서버와 브라우저 기반 AI용 Chrome 확장 프로그램, 두 계층을 모두 제공합니다. 두 도구 모두 동일한 탐지 엔진 — 285개 이상의 엔티티 유형, 48개 언어, 가역 암호화 — 을 기반으로 작동합니다.