Claude Code 권한 감사 체크리스트: 실무 전에 안전 설정 잡기

권한 감사를 먼저 하면 Claude Code를 믿기 쉬워진다

Claude Code는 강력하지만, 매번 허용 여부를 고민하면 실제 작업보다 확인 비용이 커집니다. 권한 감사는 복잡한 보안 문서가 아니라 읽어도 되는 것, 고쳐도 되는 것, 승인이 필요한 것, 절대 하면 안 되는 것을 짧게 정리하는 일입니다.

이 글은 첫 30분 체크리스트를 끝낸 뒤, CLAUDE.md 시작 템플릿으로 깊게 들어가기 전에 쓰기 좋습니다. 목적은 절차를 늘리는 것이 아니라 첫 실무 작업을 안전하게 끝내는 것입니다.

한 장짜리 권한 프로필 만들기

긴 규정부터 만들 필요는 없습니다. Claude Code가 세션 중 바로 따를 수 있는 프로필이면 충분합니다.

claude_code_permission_profile:
  workspace: "repo only"
  allowed_without_approval:
    - "read files"
    - "run tests"
    - "edit content files"
  ask_first:
    - "install packages"
    - "change auth or billing code"
    - "deploy production"
  never_allow:
    - "print secrets"
    - "delete git history"
    - "rotate keys without owner approval"
definition_of_done:
  - "git diff reviewed"
  - "proof command captured"
  - "rollback note written"

핵심은 완료 기준입니다. 권한이 안전해도 diff 확인, 증거 명령, 롤백 메모가 없으면 업무에 쓰기 어렵습니다.

예시: 수익 흐름이 있는 콘텐츠 사이트

다국어 콘텐츠 사이트라면 기사 MDX, CTA 문구, 상품 페이지 설명은 비교적 안전합니다. 폼 API, 결제 링크, 분석 태그, 배포 설정은 리드와 매출, 운영 환경에 닿으므로 승인 단계를 둡니다.

구현 전에 이 저장소를 감사해 주세요.
반환할 내용:
1. 안전하게 실행할 수 있는 명령
2. 안전하게 편집할 수 있는 파일
3. 승인이 필요한 작업
4. 오늘 끝낼 수 있는 가장 작은 유용한 작업
5. 검증 명령과 롤백 메모

이 요청은 구현 전에 Claude Code가 오늘 끝낼 수 있는 작은 작업을 제안하게 합니다. 기사 하단 CTA 개선, 무료 PDF 경로 확인, Gumroad 문구 조정, 상담 페이지 동선 정리가 좋은 후보입니다.

실패 사례: 첫날 모든 것을 허용하기

흔한 실패는 패키지 설치, 인증 코드 수정, 운영 배포, 비밀값 관련 작업을 한 번에 허용하는 것입니다. 빠르게 느껴지지만 문제가 생기면 되돌릴 기준이 사라집니다.

또 다른 실패는 금지사항만 쓰고 검증을 쓰지 않는 것입니다. 비밀값을 출력하지 않는 것뿐 아니라 build, 테스트, 공개 URL, 폼 동작, Gumroad 링크 확인까지 증거가 필요합니다.

15분 감사 절차

1. 시작 전에 “git status —short”를 실행합니다.
2. 수정 가능한 디렉터리와 보호할 디렉터리를 구분합니다.
3. 지금 실행 가능한 명령과 승인이 필요한 명령을 나눕니다.
4. 완료 전에 증거 명령과 롤백 메모를 남깁니다.

이렇게 하면 리뷰어는 막연한 느낌이 아니라 실제 위험 경계를 기준으로 판단할 수 있습니다.

다음 단계

명령과 기본 습관이 아직 불안하면 무료 cheatsheet부터 받으세요. 권한, CLAUDE.md, hooks, MCP가 병목이면 Setup Guide가 맞습니다. 팀 도입과 운영 기준 설계가 필요하면 상담 페이지를 확인하세요。