AI 코딩 에이전트가 코드를 빨리 고칠수록 다음 질문은 보안입니다. 자동으로 만든 코드가 인증, 입력 검증, 비밀 값 처리, command injection 같은 문제를 만들지 않았는지 같은 세션에서 확인할 수 있어야 합니다.
security-guidance plugin ↗은 이 용도를 겨냥한 공식 plugin입니다. Claude의 코드 변경을 빠른 패턴 체크, 턴 종료 model review, commit/push 시점의 더 깊은 agentic review로 살펴보고 같은 세션에서 수정까지 이어갈 수 있게 합니다.
이 글은 작성 시점 2026-06-17 · Claude Code Week 22 문서 ↗ 스냅숏 기준으로 정리했습니다.
어떻게 동작하나
공식 문서 기준 security-guidance plugin은 세 단계로 작동합니다.
flowchart TD
A[Claude가 코드 수정] --> B[빠른 패턴 체크]
B --> C[턴 종료 model review]
C --> D{commit / push?}
D -->|예| E[deeper agentic review]
D -->|아니오| F[일반 작업 계속]
E --> G[취약점 후보 수정 또는 보고]즉 보안 리뷰를 마지막 PR 단계에만 몰아두지 않고, 코드가 만들어지는 흐름 안에 여러 번 끼워 넣습니다.
설치와 활성화
공식 Anthropic marketplace에서 설치합니다.
/plugin install security-guidance@claude-plugins-official현재 세션에서 plugin을 다시 읽게 하려면 다음 명령을 씁니다.
/reload-plugins프로젝트별 보안 규칙은 .claude/claude-security-guidance.md에 둘 수 있습니다.
# .claude/claude-security-guidance.md
- Never log access tokens, refresh tokens, or API keys.
- Treat user-controlled path segments as untrusted.
- Prefer parameterized queries over string interpolation.
- Flag shell execution that includes request data.어떤 글감으로 좋은가
이 기능은 “AI가 코드를 잘 짠다”보다 한 단계 뒤의 주제입니다. AI가 만든 코드를 어떻게 검수하고, 어디까지 자동 수정을 허용할지 다룰 수 있습니다.
특히 다음 관점이 좋습니다.
| 관점 | 설명 |
|---|---|
| AI 코드 리뷰 | 같은 세션에서 보안 관점을 추가하는 흐름 |
| 프로젝트 규칙 | .claude/claude-security-guidance.md로 도메인별 위험을 명시 |
| CI와의 관계 | 테스트/SAST 전에 빠른 feedback loop를 만드는 역할 |
| 승인 경계 | commit/push 시점에 더 깊은 review를 거는 이유 |
블로그 대표 이미지 콘셉트
Claude Code가 만든 diff 위로 세 개의 보안 레이어가 겹쳐지는 다이어그램이 잘 맞습니다. 첫 번째 레이어는 “Pattern check”, 두 번째는 “Turn review”, 세 번째는 “Commit/Push agentic review”입니다.
오른쪽에는 .claude/claude-security-guidance.md 파일이 프로젝트별 보안 규칙을 공급하는 모습으로 배치합니다.
마무리
security-guidance plugin은 AI 코딩 속도가 빨라질수록 필요한 보조 장치입니다. 중요한 건 보안을 별도 단계로 미루지 않고, 코드가 생성되는 루프 안에 리뷰를 넣는 것입니다.
AI에게 코드를 맡긴다면, 같은 세션에서 보안 질문도 같이 던져야 합니다. 이 plugin은 그 질문을 더 자주, 더 구조적으로 던지게 해줍니다.