Claude Code Auto Mode 완전 가이드 2026 — 분류기가 권한을 대신 판단한다
Claude Code auto mode는 분류기(classifier)가 명령의 위험도를 자동 판단해 안전한 작업은 승인 없이 실행한다. 작동 원리와 실전 활용법을 정리했다.
매번 "y"를 누르는 것이 개발이었다. Claude Code로 파일을 읽으려면 승인, 검색하려면 승인, bash 명령어 하나에도 승인. 복잡한 리팩토링을 시키면 10분 동안 키보드 앞에 앉아 "y"만 반복해야 했다. 3월 24일, Anthropic이 이 문제에 대한 답을 내놓았다. Claude Code auto mode다.
Auto mode는 별도의 분류기(classifier) 모델이 매 작업의 위험도를 실시간으로 판단해, 안전한 작업은 자동 실행하고 위험한 작업만 차단하는 새로운 권한 모드다. --dangerously-skip-permissions 플래그를 쓰지 않고도 끊김 없는 워크플로우를 만들 수 있다는 점에서, 개발자 경험의 근본적인 변화다.
왜 기존 권한 시스템이 문제였나
Claude Code에는 원래 세 가지 권한 모드가 있었다. 기본 모드에서는 모든 도구 호출마다 수동 승인이 필요했다. 안전한 파일 읽기나 검색도 예외가 아니었다. 반대편 극단에는 --dangerously-skip-permissions가 있었다. 이름 그대로 위험한 선택이다. 모든 권한을 무조건 통과시키기 때문에 악성 코드 실행이나 데이터 유출에 무방비 상태가 된다.
개발자들은 이 양극단 사이에서 타협해왔다. Anthropic의 공식 블로그에 따르면, 많은 사용자가 반복적인 승인 피로에 지쳐 결국 --dangerously-skip-permissions로 넘어갔다고 한다. 편의성과 안전성 사이의 간극이 너무 컸다.
허용 목록(allowlist) 방식도 있었지만 한계가 분명했다. 개별 도구와 명령어를 하나하나 등록해야 하고, 새로운 작업 패턴이 나올 때마다 목록을 갱신해야 했다. "어떤 명령어가 안전한가"는 명령어 자체가 아니라 맥락에 따라 달라지기 때문에, 정적인 목록으로는 제대로 된 판단이 불가능했다.
분류기는 어떻게 작동하는가
Auto mode의 핵심은 별도로 동작하는 분류기 모델이다. 메인 세션에서 Claude가 도구 호출을 요청할 때마다, 이 분류기가 대화 전체 맥락과 요청된 작업을 함께 검토한다.
분류기의 판단 기준은 세 가지다. 첫째, 작업이 사용자가 요청한 범위를 벗어나는지 확인한다. "테스트 파일 수정해줘"라고 했는데 프로덕션 DB를 건드리려 하면 차단이다. 둘째, 대상 인프라가 신뢰할 수 있는 것인지 판단한다. 셋째, 파일이나 웹페이지에서 읽어온 악성 콘텐츠에 의해 유도된 작업인지 검사한다. 프롬프트 인젝션(prompt injection, 악의적 지시문 삽입) 방어가 여기에 해당한다.
User Request → Claude generates tool call
↓
[Classifier Model]
↓
Safe? → Auto-execute
Risky? → Block & redirect
흥미로운 점은 분류기가 Claude Sonnet 4.6 위에서 돌아간다는 것이다. 메인 세션이 Opus 4.6을 사용하더라도 분류기는 항상 Sonnet 4.6이다. 속도와 비용의 균형을 잡은 선택으로 보인다. 매 도구 호출마다 분류기가 개입하므로 추론 속도가 빨라야 하고, 동시에 비용도 합리적이어야 한다.
안전한 작업과 위험한 작업의 경계
분류기가 자동 통과시키는 작업과 차단하는 작업의 경계는 맥락에 따라 유동적이다. 하지만 대체적인 패턴은 존재한다.
파일 읽기, 코드 검색, 디렉토리 구조 탐색 같은 읽기 전용 작업은 대부분 자동 통과한다. 파일 쓰기도 사용자가 명시적으로 요청한 범위 내라면 자동 실행된다. "이 컴포넌트의 스타일을 수정해줘"라고 했을 때 해당 파일의 CSS를 변경하는 것은 안전한 작업으로 분류된다.
반면에 대량 파일 삭제, rm -rf 같은 파괴적 명령어, 외부 네트워크 요청, 환경 변수나 인증 정보에 대한 접근은 높은 확률로 차단된다. git push --force나 프로덕션 환경에 영향을 주는 배포 명령어도 마찬가지다.
이전에는 claude --allowed-tools "Bash(git diff)" "Bash(git log)"처럼 개별 명령어를 화이트리스트에 등록해야 했다. auto mode에서는 이런 수동 설정이 필요 없다. "git diff는 안전하다"가 아니라 "지금 이 맥락에서 git diff를 실행하는 것이 사용자 의도에 부합하는가"를 분류기가 판단한다.
실전에서 달라지는 것
Auto mode를 켜면 개발 워크플로우가 체감상 크게 달라진다. 가장 직접적인 변화는 "대기 시간의 소멸"이다. 리팩토링이나 테스트 작성 같은 복잡한 작업을 시키고 다른 일을 할 수 있다. 중간중간 승인을 위해 돌아올 필요가 없다.
활성화 방법은 간단하다. 터미널에서 claude --enable-auto-mode를 실행하면 된다. 또는 Claude Code 세션 내에서 /permissions 명령으로 전환할 수도 있다.
claude --enable-auto-mode
Anthropic의 공식 문서는 auto mode를 격리된 환경(isolated environment)에서 사용할 것을 권장한다. 컨테이너나 VM 안에서 실행하면 분류기의 판단이 틀리더라도 피해 범위를 제한할 수 있다. 분류기가 완벽하지는 않다는 점을 Anthropic 스스로 인정한 셈이다.
토큰 사용량과 비용, 지연 시간이 약간 증가한다는 점도 알아둬야 한다. 매 도구 호출마다 분류기가 추가로 동작하기 때문이다. 하지만 개발자가 승인 대기하는 시간 대비 이 오버헤드는 미미하다.
Claude Code 생태계에서의 위치
Auto mode는 Claude Code의 3월 대규모 업데이트 흐름 속에 나왔다. 같은 시기에 hooks 시스템이 도입되어 도구 호출 전후에 커스텀 스크립트를 실행할 수 있게 되었고, 에이전트 기능이 강화되어 병렬 작업 처리가 가능해졌다.
이 세 가지가 합쳐지면 강력한 조합이 된다. Hooks로 코드 포매팅이나 린팅을 자동화하고, auto mode로 승인 없이 연속 작업을 처리하며, 에이전트로 독립적인 작업을 병렬 실행한다. 개발자가 "방향"만 설정하면 실행은 Claude Code가 알아서 하는 구조다.
현재 auto mode는 Team 플랜에서 리서치 프리뷰(research preview)로 제공되며, Enterprise 플랜과 API 사용자에게도 곧 확대될 예정이다. Claude Sonnet 4.6 또는 Claude Opus 4.6 모델에서만 사용 가능하고, Haiku나 Claude 3 계열, Bedrock/Vertex 같은 서드파티 제공자에서는 아직 지원되지 않는다.
남은 질문들
Auto mode가 해결하지 못한 문제도 있다. 분류기의 판단 기준이 공개되지 않았다는 점이 첫 번째다. 어떤 작업이 왜 차단되었는지에 대한 설명이 부족하면, 개발자는 시행착오로 경계를 학습해야 한다. 두 번째는 분류기 자체의 취약점이다. 분류기가 Sonnet 4.6 기반이라면, 이 모델을 속일 수 있는 정교한 프롬프트 인젝션에 대한 방어가 충분한지 아직 검증이 부족하다.
그럼에도 불구하고, auto mode는 "편의성 vs 안전성" 이분법을 깨는 의미 있는 시도다. 완벽하지는 않지만, --dangerously-skip-permissions와 매번 "y"를 누르는 것 사이에 합리적인 중간 지대를 만들었다.
가장 좋은 권한 시스템은 개발자가 의식하지 않는 시스템이다. Auto mode는 그 방향의 첫걸음이다.
매일 아침 AI 뉴스를 이메일로 받아보세요. spoonai.me 뉴스레터 구독
출처
AI 트렌드를 앞서가세요
매일 아침, 엄선된 AI 뉴스를 받아보세요. 스팸 없음. 언제든 구독 취소.