Anthropic, Linux에는 못 들어갑니다 — Cowork는 Ubuntu VM 위에서 돌아가는데

Ubuntu 안에서 돌아가는데 Ubuntu는 안 된다

Pluto Security의 분석에 따르면 Anthropic의 Cowork 에이전트는 macOS에서 Apple Virtualization Framework로 Ubuntu 22.04 VM을 부팅하고 그 안에서 Claude Code 바이너리를 실행한다. Linux 개발자들이 요구하는 환경을 Anthropic이 이미 쓰고 있다 — 단지 맥 껍데기 안에 숨긴 채로.

공식 다운로드 페이지는 2026년 6월 기준 macOS와 Windows 링크만 제공한다. 그런데 Claude Code 설치 문서를 보면 CLI는 linux-x64·arm64·musl 변형을 apt/dnf/apk 서명 저장소로 이미 배포 중이다. 배포 인프라는 이미 존재한다. 이것은 기술 문제가 아니라 제품 결정이다.

자격증명 앱을 비감사 채널로 강요하다

Claude Desktop은 채팅 앱이 아니다. OAuth 토큰·API 키·MCP Extension 구성을 처리하는 자격증명 앱이다. Stack Overflow 2025 개발자 서베이에서 Ubuntu는 전문 개발자 27.7%의 주 OS다. 이 공백을 aaddrick/claude-desktop-debian이 채웠다 — 4.7k 스타, 114 릴리즈, 서명 저장소까지 갖춘 인상적인 프로젝트다.

문제는 유지관리자의 신뢰성이 아니라 구조다. GitHub 이슈 #65697이 Hacker News에서 220+ 업보트를 받으며 짚은 핵심: Anthropic이 감사하지 않은 서드파티 채널에 자격증명 신뢰를 구조적으로 외주화한다. 오늘의 선량한 유지관리자가 저장소 소유권을 넘기는 순간, 수천 명의 개발자 자격증명이 닿아 있는 이 채널은 공급망 공격 벡터가 된다.

MCP 확장이 배제 반경을 키운다

Desktop Extension은 Claude Desktop 위에서 테스트·배포된다. Linux 개발자는 MCP 플러그인 생태계에 소비자로도 생산자로도 공식 진입로가 없다. 개발자 커뮤니티를 핵심 타깃으로 삼으면서 그 27%를 공식 채널 밖에 두는 것은 자기잠식이다. MCP 에코시스템이 커질수록 Desktop이 처리하는 자격증명의 범위와 민감도도 커진다. 배제의 비용은 시간이 갈수록 복리로 불어난다.

침묵이 말하는 것

Anthropic은 이슈 #65697에 현재까지 공식 입장을 내지 않았다. Electron 앱의 Linux 배포에는 Wayland/X11 분기, 패키지 포맷 파편화(deb/rpm/flatpak/apk) 등 실질적인 공학 비용이 따른다. 그러나 CLI 멀티아키텍처 파이프라인을 이미 운용하고 Cowork 내부에서 Ubuntu VM을 직접 쓰는 회사가 인프라 부재를 이유로 들기는 어렵다.

'아직 안 했다'와 '안 할 것이다' 사이 어딘가에서 Anthropic의 침묵은 공급망 위험을 암묵적으로 외주화하는 구조를 고착시킨다. AI 에이전트 시대에 자격증명 앱의 보안 책임 범위를 기업이 어디까지 져야 하는가 — 이 사안은 단순한 기능 요청을 넘어 그 질문을 제기한다.