이 문서에서는 Claude Cowork가 실행되는 위치, 각 실행 모드가 어떻게 격리되는지, 그리고 범위를 제한하기 위해 사용 가능한 관리자 제어에 대해 설명합니다.
이 문서는 엔터프라이즈 관리자를 위한 것입니다. 여기에 설명된 아키텍처는 모든 플랜에서 동일합니다. 끝에 있는 기기 수준의 관리자 제어는 팀 및 엔터프라이즈 플랜에 적용됩니다.
Claude Cowork는 웹 및 모바일에서 베타 버전이며, Max 플랜부터 시작하여 향후 몇 주에 걸쳐 출시되며, 더 많은 플랜이 뒤따를 예정입니다.
Claude Cowork가 실행되는 위치
Cowork 세션은 기본적으로 원격으로 실행됩니다. 에이전트 루프와 코드 실행은 Anthropic의 서버에서 실행되며, 세션과 파일은 멤버의 Claude 계정에 저장됩니다. 원격 실행은 베타 버전이며 플랜 전체에 걸쳐 점진적으로 출시되고 있습니다.
로컬 실행은 기존 데스크톱 배포에서 계속 사용 가능합니다. 에이전트 루프와 코드 실행은 아래에 설명된 대로 멤버의 기기에서 실행됩니다.
원격 세션 아키텍처
원격 세션에서 에이전트 루프와 코드 실행은 Anthropic 관리 인프라의 격리된 임시 샌드박스에서 실행됩니다. 각 세션은 세션이 시작될 때 생성되고 종료될 때 삭제되는 자체 샌드박스를 가지며, 샌드박스는 서로 또는 조직 간에 상태를 공유하지 않습니다. 이 인프라는 Anthropic의 기업, 연구 및 모델 학습 환경과 별도로 유지됩니다.
원격 세션의 주요 특성:
기본적으로 네트워크에 액세스할 수 없습니다. 샌드박스는 개인, 내부, 링크-로컬 또는 클라우드 메타데이터 주소에 도달할 수 없으며, Anthropic 내부 시스템에 도달할 수 없으므로 네트워크로 피벗하는 데 사용할 수 없습니다.
네트워크 액세스는 기존 정책을 따릅니다. 클라우드 세션은 로컬 Cowork 및 채팅을 관리하는 것과 동일한 네트워크 액세스 설정을 사용합니다. 엔터프라이즈 조직의 경우 기본값은 네트워크 액세스 없음입니다.
송신은 샌드박스 외부에서 적용됩니다. 샌드박스를 떠나는 모든 트래픽은 샌드박스가 재구성하거나 우회할 수 없는 필수 프록시를 통과하며, 허용 목록에 있는 대상만 도달 가능합니다.
단기 자격 증명만 해당합니다. 샌드박스는 몇 시간 내에 만료되는 세션 범위 토큰만 보유합니다. 커넥터 인증 토큰은 샌드박스에 들어가지 않으며, 커넥터 호출은 서버 측에서 수행됩니다.
데이터 계층에서의 테넌트 격리. 저장된 모든 레코드는 조직 및 계정으로 범위가 지정됩니다.
원격 세션이 로컬 파일이나 브라우저와 같이 사용자의 기기에 있는 것이 필요할 때, 요청은 Anthropic 중개 연결을 통해 해당 기기의 Claude Desktop 앱을 통해 이동합니다. 로컬 파일 액세스는 멤버가 데스크톱에서 연결한 폴더로 제한되며, 각 로컬 도구 호출은 실행 전에 멤버의 권한에 대해 확인됩니다. 데스크톱 앱이 오프라인이면 원격 세션은 기기에 도달할 수 없습니다.
원격 세션은 Anthropic의 서버에서 실행되므로, 데스크톱 앱을 통해 열린 로컬 파일을 포함한 에이전트의 작업은 기기에 남아 있지 않고 Anthropic의 서버에서 처리됩니다. 대화 데이터는 다른 팀 및 엔터프라이즈 데이터와 동일한 상업적 약정에 따라 처리되며 Claude를 학습시키는 데 사용되지 않습니다.
로컬 세션 아키텍처
로컬 세션은 기존 데스크톱 배포에 적용되며 멤버의 기기에서 두 가지 실행 환경을 사용합니다:
에이전트 루프는 기기에서 기본적으로 실행됩니다. 여기에는 Claude의 대화 처리, 연결된 폴더의 파일 읽기 및 쓰기, 웹 가져오기 및 로컬 플러그인 MCP 서버가 포함됩니다. 액세스는 멤버의 연결된 폴더 규칙과 조직의 네트워크 송신 설정을 적용하는 애플리케이션 계층 권한 시스템에 의해 제어됩니다.
코드 실행은 격리된 가상 머신(VM)에서 실행됩니다. 셸 명령 및 Claude가 작성한 모든 코드는 전용 Linux VM 내에서 실행되며, 플랫폼의 하이퍼바이저(macOS의 Apple Virtualization.framework, Windows의 Hyper-V)에 의해 호스트 운영 체제에서 격리됩니다. VM은 자체 네트워크 송신 필터링, 시스템 호출 제한 및 세션별 사용자 격리를 적용합니다.
자세한 기술 개요는 Trust Center의 Claude Cowork 데스크톱 보안 아키텍처 개요를 참조하세요.
관리되는 기기에 대한 관리자 제어
두 개의 MDM 키를 사용하면 관리되는 기기에서 Cowork의 범위를 제한할 수 있습니다. 둘 다 조직 설정이 아닌 MDM 솔루션을 통해 적용되는 기기 수준의 설정입니다.
로컬 MCP 서버 비활성화:
isLocalDevMcpEnabled를 false로 설정하여 플러그인 번들 및 로컬로 구성된 MCP 서버를 비활성화합니다.데스크톱 확장 비활성화:
isDesktopExtensionEnabled를 false로 설정하여 MCPB 및 DXT 확장 서버가 실행되지 않도록 차단합니다.
두 제어 모두 Claude Desktop용 엔터프라이즈 구성에 설명되어 있습니다.
이러한 MDM 키는 Claude Desktop 앱을 관리하므로 로컬 세션 및 원격 세션이 데스크톱 앱을 통해 도달하는 모든 것에 적용됩니다. 로컬 MCP 서버는 원격 세션에서 실행되지 않습니다.
조직 설정 > Cowork의 조직 전체 Cowork 토글(조직에 대해 활성화)은 Cowork를 사용할 수 있는지 여부를 제어합니다. 위의 기기 수준 제어는 Cowork가 활성화된 경우에만 적용됩니다.
원격 세션에 대한 조직 제어
조직 전체 Cowork 토글 외에도 원격 세션은 조직 설정에서 자체 제어를 가집니다:
로컬 데스크톱 Cowork를 사용 가능하게 두면서 조직에 대해 원격 세션을 켜거나 끕니다.
원격 세션이 도달할 수 있는 대상을 결정하는 네트워크 액세스 정책을 설정합니다.
지속적인 "항상 허용"을 끄고 멤버가 호출별 승인 프롬프트 없이 세션을 실행할 수 있는지 여부를 제어하여 모든 권한 제어 도구 호출에 대해 새로운 승인을 요구합니다.
원격 세션에 대해 신뢰할 수 있는 기기 등록 및 최근 로그인을 요구합니다. 활성화되면 조직의 모든 원격 세션에 적용됩니다.
위의 기기 수준 MDM 키는 Claude Desktop 앱을 관리하므로 원격 세션이 앱을 통해 도달할 수 있는 것에도 적용됩니다. 관리되는 기기에서 로컬 MCP 서버가 비활성화된 경우, 폴더 제한 데스크톱 파일 도구만 원격 세션에 사용 가능합니다.
자주 묻는 질문
멤버의 기기가 VM을 시작할 수 없으면 어떻게 됩니까?
이는 로컬 세션에 적용됩니다. Cowork는 VM을 사용할 수 없는 동안 파일 및 웹 도구를 계속 실행합니다. 셸 명령 및 코드 실행은 VM이 복구될 때까지 "작업 공간을 사용할 수 없음"을 보고합니다.
원격 세션이 사용자의 기기나 네트워크에 액세스할 수 있습니까?
기본적으로는 아닙니다. 원격 세션은 Anthropic의 서버에서 격리된 환경에서 실행되며 네트워크 외부에 있으며 개인 또는 내부 주소에 도달할 수 없습니다. 원격 세션은 해당 기기의 Claude Desktop 앱을 통해서만, 멤버가 연결한 폴더에 대해서만, 앱이 온라인 상태일 때만 멤버의 로컬 파일이나 브라우저에 도달합니다.
Cowork 활동이 감사 로그에 표시됩니까?
현재는 아닙니다. Cowork 활동은 감사 로그, 규정 준수 API 또는 데이터 내보내기에 캡처되지 않습니다. Cowork 활동 모니터링에 대한 지침은 OpenTelemetry를 사용하여 Claude Cowork 활동 모니터링을 참조하세요.
엔드포인트 감지(EDR) 도구가 VM 내부의 활동을 검사할 수 있습니까?
아니요. VM은 설계상 호스트 기반 보안 도구에서 격리되며, 원격 세션은 엔드포인트 외부에서 완전히 실행되므로 EDR 도구도 이를 관찰할 수 없습니다. 규정 준수 상태가 엔드포인트 가시성에 따라 달라지는 경우 Cowork를 출시하기 전에 이를 고려하세요.
