동일한 에이전트 구조를 공유하는 Claude Code와 Claude Cowork 를 기업 보안 측명에서의 차이점을 비교 분석한 글입니다. 

Claude Code와 Claude Cowork 기업 보안 비교

요약

AD

Claude Code와 Claude Cowork는 동일한 에이전트 구조를 공유하지만, 엔터프라이즈 보안 통제와 공격 표면(blast radius)이 크게 다르다. Code는 문서화된 샌드박스·감사·프록시 통제가 있어 규제 환경에 적합한 반면, Cowork는 데스크톱·브라우저·컴퓨터 제어 등 범위가 넓어 감사로그·일부 네트워크 통제가 비어 있어 추가 제어 플레인이 없으면 규제 업무에는 부적합하다.

  • 동일한 에이전트 루프, 다른 폭발 반경. Cowork는 Code의 아키텍처를 데스크톱으로 가져오고 브라우저, 컴퓨터 사용, 플러그인, 예약 작업, 모바일 디스패치를 추가한다. 위협 표면이 실질적으로 더 크다.
  • Claude Code에는 OS 수준의 샌드박스가 있다; Cowork의 컴퓨터 사용 경로에는 없다. Code는 Linux에서 bubblewrap을, macOS에서 seatbelt를 사용한다. Cowork의 코드 실행은 VM에서 이루어지지만, Anthropic는 컴퓨터 사용 경로에 대해 “Claude와 화면에 표시되는 것 사이에 샌드박스가 없다”고 밝혔다.
  • Code의 엔터프라이즈 제어는 문서화되어 있고 세분화되어 있다. managed-mcp.json, allowedMcpServers / deniedMcpServers 정책 파일, HTTP_PROXY / NODE_EXTRA_CA_CERTS, ConfigChange Hook, OpenTelemetry, 엔터프라이즈 플랜 감사 로그.
  • Cowork는 Anthropic의 자체 안전 문서에 따르면 외부 제어 평면을 추가할 때까지 규제 대상 워크로드의 범위에서 명시적으로 제외된다.
  • 다른 레인. 저장소로 경계된 엔지니어링 워크로드용 Code. 프록시와 정책 계층 뒤의 일반 지식 작업용 Cowork.

아키텍처 대비 위협범위

동일한 에이전트 루프를 사용하지만 Cowork는 데스크톱 앱, 브라우저, 플러그인, 스케줄러, 모바일 디스패치 등 추가 경로를 열어 위협 표면이 훨씬 큼.


샌드박스(격리) 차이

  • Claude Code: OS 수준 샌드박스로 bash, 파일시스템, 네트워크가 격리되고 문서화된 방법으로 동작(예: bubblewrap, macOS seatbelt 등).
  • Claude Cowork: 코드 실행용 VM 격리는 있으나, “computer use” 경로는 샌드박스가 없다고 Anthropic 문서가 명시(문서 인용: “no sandbox between Claude and what’s on your screen”).


네트워크/프록시 차이

  • Code: 단일 잘문서화된 프록시/egress 경로(HTTP_PROXY 등)를 통해 TLS 검사 및 도메인 제한 가능.
  • Cowork: 여러 트래픽 흐름(브라우저, MCP, 웹 페치 등)이 존재하고, Anthropic 문서에 따르면 “Network egress permissions don’t apply to the web fetch or web search tools or MCPs.” 즉, 핵심 웹/커넥터 경로는 로컬 프록시 제어 밖일 수 있음.


감사 로그·컴플라이언스 격차(결정적 차이)

  • Claude Code(Enterprise): 감사 로그, Compliance API, Data Exports, OpenTelemetry, ConfigChange 훅 등 풍부한 로깅·감사 지원.
  • Claude Cowork: Anthropic이 Cowork 활동이 감사 로그·Compliance API·Data Exports에 포착되지 않는다고 명시. 모바일 디스패치·스케줄 작업 등 비동기 활동은 콘솔에 보이지 않을 수 있음.
  • 결과: HIPAA, PCI, SOX 등 규제·감사 대상 워크로드엔 Cowork는 현재 적합하지 않음(추가 제어 플레인 없이는).


MCP(Agent Tool)·플러그인 공급망 위험

  • Code: MCP에 대해 세밀한 allowlist/deny 규칙(서버명, 명령, URL 패턴 등)과 ConfigChange 훅 지원.
  • Cowork: 플러그인 마켓플레이스 단위 관리로 세부적 통제가 덜 정교. 공급망 공격(예: prompt injection을 통한 데이터 유출) 위험 시나리오 제시.

권고(언제 어떤 제품을 쓸지)

  • Claude Code 권장: 코드 리포지토리 내 엔지니어링 작업, 규제 데이터, TLS 검사 필요, 입증 가능한 감사·재현 가능 기록이 필요할 때.
  • Claude Cowork 사용 전제: 파일·브라우저·앱을 아우르는 업무가 필요하고, 자체 제어 플레인(온디바이스 프록시, LLM 게이트웨이, 브라우저 정책, OpenTelemetry 등)을 구축했을 때. 규제 데이터는 제외.
  • 둘 다 병용: 엔지니어링은 Code, 영업·운영·일반 지식 업무는 Cowork(엄격한 프록시/정책 레이어 뒤에서).

실무적 조언

  • Cowork를 엔터프라이즈에 도입하려면 중간 프록시/정책 계층, 브라우저·컴퓨터 사용 제한, MCP 제어, 로그·모니터링(OpenTelemetry+엔드포인트·브라우저 로그) 등을 자체적으로 구축해야 한다고 제시.
  • General Analysis는 실제로 온디바이스 프록시·LLM 게이트웨이 등으로 Cowork를 보호하는 구현을 이미 수행했다고 밝힘.

 

 

지난 게시글:

※ 출처: r/LocalLLM, r/openclaw, r/unsloth, r/opencode, r/claude

AD

RELATED ARTICLESMORE FROM AUTHOR

LEAVE A REPLY

Please enter your comment!
Please enter your name here