Claude Code로 작업하다 보면 한 가지 불편함이 반복됩니다. 파일 편집, 셸 명령 실행, 웹 페칭 — 매번 “허용하시겠습니까?”라는 프롬프트에 응답해야 합니다. 복잡한 리팩토링이나 긴 디버깅 세션에서는 수십 번의 승인이 필요하고, 결국 피로감에 무의식적으로 전부 허용하게 됩니다.
그렇다고 bypassPermissions 모드를 쓰자니, 격리되지 않은 환경에서는 너무 위험합니다. 승인 피로와 안전성 사이의 딜레마 — Auto Mode는 이 문제를 해결하기 위해 등장했습니다.
이 글에서는 Auto Mode의 동작 원리, 기존 모드와의 차이, 실제 사용법, 그리고 주의해야 할 점을 정리합니다.
Auto Mode란
Auto Mode는 2026년 3월 Claude Code에 추가된 새로운 권한 모드입니다. Team 플랜에서 연구 미리보기(research preview)로 시작되었으며, Claude Sonnet 4.6 또는 Opus 4.6 이상이 필요합니다.
핵심 컨셉은 “기본 모드보다 적은 중단, 권한 스킵보다 낮은 위험”입니다. 사용자가 매번 도구 호출을 승인하는 대신, AI 기반 분류기(classifier)가 각 도구 호출의 위험도를 자동으로 평가합니다. 안전하다고 판단되면 자동 실행하고, 위험하다고 판단되면 사용자에게 확인을 요청합니다.
핵심 기술: 이중 계층 방어 체계
Auto Mode의 안전성은 이중 계층 방어 체계(Dual-Layer Defense)에 기반합니다. 입력과 출력 양쪽에서 위험을 감지합니다.
입력 계층: 프롬프트 인젝션 탐지
서버 측 탐지기가 Claude Code가 읽는 모든 외부 데이터를 스캔합니다. 파일 내용, 웹 페이지 응답, 셸 출력 등에 삽입된 악성 지시를 감지하면 경고를 추가하여, 에이전트가 해당 콘텐츠를 의심스럽게 처리하고 사용자의 원래 요청에 집중하도록 유도합니다.
출력 계층: 도구 호출 분류기
Sonnet 4.6 기반 분류기가 모든 도구 호출을 실행 전에 검토합니다. 이 분류기는 2단계 파이프라인으로 동작합니다.
- 1단계 — 빠른 필터: 1토큰으로 즉시 허용/차단/플래그를 결정합니다. 대부분의 안전한 호출은 이 단계에서 통과합니다.
- 2단계 — 심층 검토: 1단계에서 플래그된 항목만 사슬형 추론(chain-of-thought reasoning)으로 재검토합니다.
flowchart TD
A["도구 호출 발생"] --> B{"입력 계층<br/>프롬프트 인젝션<br/>탐지"}
B -->|"인젝션 감지"| C["경고 추가 ⚠️<br/>의심 콘텐츠로 표시"]
C --> D
B -->|"통과"| D{"출력 계층 — 1단계<br/>빠른 필터<br/>(1토큰 결정)"}
D -->|"허용"| E["자동 실행 ✅"]
D -->|"차단"| H["차단 🚫"]
D -->|"플래그"| F{"출력 계층 — 2단계<br/>심층 검토<br/>(사슬형 추론)"}
F -->|"허용"| E
F -->|"차단"| H
F -->|"불확실"| G["사용자에게<br/>권한 요청 🙋"]권한 결정 순서
Auto Mode는 도구 호출이 발생하면 다음 순서로 권한을 결정합니다.
| 단계 | 조건 | 처리 |
|---|---|---|
| 1단계 | 사용자의 allow/deny 규칙에 매칭 | 규칙에 따라 즉시 허용 또는 차단 |
| 2단계 | 읽기 전용 도구 또는 프로젝트 내 파일 편집 | 자동 허가 — 분류기 불필요 |
| 3단계 | 셸 명령, 웹 페칭, 외부 도구 | 분류기 검증 필수 |
| 4단계 | 분류기가 차단한 경우 | Claude가 대안을 탐색하여 재시도 |
사용자가 CLAUDE.md나 설정에서 정의한 allow/deny 규칙이 최우선으로 적용됩니다. 그다음 읽기 전용과 파일 편집은 자동 승인되고, 외부 도구만 분류기가 검증합니다. 이 설계 덕분에 대부분의 일상 작업에서 체감 지연이 최소화됩니다.
권한 모드 비교
Claude Code는 총 6가지 권한 모드를 제공합니다. Auto Mode는 편의성과 안전성의 균형 지점에 위치합니다.
| 모드 | 권한 프롬프트 | 안전 검사 | 최적 사용처 |
|---|---|---|---|
default | 파일 편집, 명령 | 사용자 직접 검토 | 처음 사용, 민감한 작업 |
acceptEdits | 명령만 | 사용자 직접 검토 | 코드 리뷰 반복 작업 |
plan | 읽기 전용, 편집 제한 | 사용자 직접 검토 | 탐색, 계획 수립 |
auto | 없음 (폴백 제외) | AI 분류기 검토 | 긴 작업, 피로 감소 |
dontAsk | 사전 승인만 | 규칙 기반 | CI/CD 환경 |
bypassPermissions | 없음 | 없음 | 격리된 환경만 |
graph LR
A["높은 안전성<br/>낮은 편의성"] --- B["default"]
B --- C["acceptEdits"]
C --- D["plan"]
D --- E["🔹 auto"]
E --- F["dontAsk"]
F --- G["bypassPermissions"]
G --- H["낮은 안전성<br/>높은 편의성"]
style E fill:#4A90D9,color:#fff,stroke:#2171B5,stroke-width:2px사용법
CLI에서 시작하기
# 플래그로 직접 지정
claude --permission-mode auto
# auto를 Shift+Tab 순환에 포함하려면 --enable-auto-mode 필요
claude --enable-auto-mode
# 이후 Shift+Tab: default → acceptEdits → plan → auto → ...Team 플랜 관리자가 먼저 Auto Mode를 활성화해야 사용 가능합니다.
설정으로 기본 모드 지정
settings.json에서 Auto Mode를 기본값으로 설정할 수 있습니다.
{
"permissions": {
"defaultMode": "auto"
}
}VS Code / JetBrains IDE
IDE 확장에서도 동일하게 사용 가능합니다. 하단 상태바에서 현재 권한 모드를 확인하고, 클릭하여 변경할 수 있습니다.
기본 규칙: 무엇이 허용되고 차단되나
Auto Mode는 사전 정의된 규칙 세트를 가지고 있습니다.
기본 허용 항목
- 프로젝트 디렉토리 내 로컬 파일 읽기/쓰기
- 선언된 의존성 설치 (
npm install,pip install등) .env파일 읽기- 읽기 전용 HTTP 요청
- 세션 시작 시의 브랜치 또는 Claude가 생성한 브랜치로의
git push
기본 차단 항목
curl | bash패턴 (원격 스크립트 실행)- 외부로 민감 데이터 전송
- 프로덕션 배포 명령
- 클라우드 스토리지 대량 삭제
- IAM 권한 부여/변경
git push --force
CLAUDE.md에 추가하는 것을 권장합니다. 예를 들어, 특정 디렉토리의 파일은 수정하지 못하게 하거나, 특정 명령을 항상 차단하도록 설정할 수 있습니다.
주의사항과 한계
분류기 정확도: FNR 17%
Auto Mode 분류기의 성능 지표는 다음과 같습니다.
- FPR (False Positive Rate): 0.4% — 안전한 명령을 위험하다고 잘못 판단하는 비율
- FNR (False Negative Rate): 17% — 위험한 명령을 안전하다고 잘못 판단하는 비율
FPR이 0.4%로 매우 낮기 때문에 일상적인 작업 흐름은 거의 방해받지 않습니다. 하지만 FNR이 17%라는 것은, 위험한 명령 100개 중 약 17개가 분류기를 통과할 수 있다는 의미입니다.
이것이 Auto Mode가 bypassPermissions보다 안전하지만, 완전한 안전을 보장하지는 않는 이유입니다.
폴백 메커니즘
분류기가 반복적으로 작업을 차단하면, Auto Mode가 일시 정지되고 수동 승인 모드로 전환됩니다.
- 3회 연속 차단 또는 세션 내 총 20회 차단 시 전환
- 사용자가 프롬프트된 작업을 승인하면 거부 카운터가 리셋되어 Auto Mode를 이어갈 수 있습니다
- 이 임계값은 사용자가 변경할 수 없습니다
이 폴백은 분류기가 판단하기 어려운 상황에서 안전망 역할을 합니다.
권장 사용 환경
Auto Mode는 모든 상황에 적합하지 않습니다.
- 적합: 로컬 개발, 프로토타이핑, 리팩토링, 디버깅
- 부적합: 프로덕션 서버 관리, 민감 데이터 처리, 인프라 변경
민감한 작업에서는 default 모드를 유지하고, 장시간 반복 작업에서만 Auto Mode를 활성화하는 전략을 권장합니다.
마무리
Auto Mode는 Claude Code 사용 경험에서 가장 큰 마찰 요소였던 권한 승인 피로를 줄이면서도, AI 기반 이중 계층 방어로 합리적인 안전성을 유지합니다.
핵심을 정리하면 다음과 같습니다.
- 이중 계층 방어: 입력(프롬프트 인젝션 탐지) + 출력(도구 호출 분류기)으로 안전성 확보
- 3단계 권한 구조: 읽기 전용 → 파일 편집 → 외부 도구 순으로 분류기 개입 최소화
- FNR 17%: 완벽하지 않으므로, 민감한 작업에서는 여전히
default모드 권장 - 폴백 메커니즘: 분류기 불확실 시 자동으로 수동 승인 전환
아직 연구 미리보기 단계이지만, 승인 피로에 시달리던 개발자라면 한번 사용해볼 가치가 있습니다. Shift+Tab으로 모드를 전환하는 것만으로 시작할 수 있습니다.
관련 글
- Claude Code /btw 가이드 — 메인 세션을 오염시키지 않는 사이드 질문
- Claude Code Ultra Plan 살펴보기 — 계획과 실행을 나누는 워크플로