Claude Code strictPluginOnlyCustomization: 팀 확장 기능을 안전하게 잠그는 법 | DAKER 커뮤니티
Claude Code strictPluginOnlyCustomization은 팀이 승인하지 않은 skills, agents, hooks, MCP 서버가 로컬에서 섞이는 일을 줄이는 관리 설정입니다. strictPluginOnlyCustomization이란 Claude Code 커스터마이징 출처를 관리 설정과 플러그인으로 제한하는 정책입니다. 오늘은 2026년 7월 16일 KST 기준 공식 문서에서 확인한 관리 설정, strictKnownMarketplaces, skills·agents·hooks·MCP 잠금 범위를 팀 보안 기준으로 정리합니다.

문제 상황: 로컬 확장 기능을 어디까지 믿어야 할까?
팀원이 각자 만든 skill, agent, hook, MCP 서버를 자유롭게 섞으면 생산성은 빨라질 수 있습니다. 하지만 보안 검토를 거치지 않은 확장 기능이 프로젝트 설정에 들어오면 권한, 외부 도구 접근, 자동 명령 실행 경계가 흐려집니다. 관리형 환경에서는 확장 기능의 출처부터 잠그는 정책이 먼저 필요합니다.
핵심 개념: strictPluginOnlyCustomization은 무엇을 막을까?
한 줄 요약: 이 설정은 사용자와 프로젝트 출처의 커스터마이징을 막고, 관리 설정이나 승인된 플러그인 출처로 좁히는 장치입니다. 공식 settings 문서 기준으로 전체 표면을 true로 잠글 수도 있고, skills, agents, hooks, MCP servers 중 필요한 표면만 배열로 잠글 수도 있습니다.

단계별 사용법: 확장 공급망을 어떻게 잠글까?
- 먼저 팀이 허용할 확장 표면을 skills, agents, hooks, MCP servers로 나누어 적습니다.
- 개인 로컬 설정에서 허용해도 되는 표면과 관리 설정에서만 허용할 표면을 분리합니다.
- 허용 marketplace가 있다면 strictKnownMarketplaces 기준과 함께 문서화합니다.
- hooks나 MCP처럼 외부 실행과 데이터 접근이 있는 표면은 더 좁게 시작합니다.
- 잠금 뒤에는 기존 프로젝트 skill과 hook이 필요한 업무를 막지 않는지 작은 저장소에서 먼저 확인합니다.
짧은 예시: hooks와 MCP부터 잠그는 팀
팀이 skill 공유는 허용하되 셸 명령 자동 실행과 외부 도구 연결은 엄격히 보려면 hooks와 MCP servers를 먼저 관리 설정 출처로 제한할 수 있습니다. 이때 위험 명령 차단 hooks 글의 실행 경계와 플러그인 마켓플레이스 글의 출처 점검 기준을 함께 보면 정책 설명이 쉬워집니다.
팀 적용 체크리스트: 잠금 전에 무엇을 확인할까?
- 현재 팀이 쓰는 skill, agent, hook, MCP 서버 목록을 먼저 뽑습니다.
- 각 항목의 출처, 담당자, 필요한 권한을 적습니다.
- 승인되지 않은 marketplace나 로컬 확장 경로를 운영 문서에서 제거합니다.
- 잠금 뒤 실패할 수 있는 개발자 루틴을 미리 공지합니다.
- 권한 모드 운영은 Manual 권한 모드 글과 함께 검토합니다.
공식 출처 기준으로 무엇을 조심해야 할까?
작성 기준일은 2026년 7월 16일 KST입니다. 공식 settings 문서는 이 설정을 managed settings 항목으로 설명하므로 개인 실험용 설정과 조직 배포 설정을 구분해야 합니다. 공개 본문에는 외부 공식 링크를 넣지 않았고, 기능 사실은 private verification에서만 확인했습니다.
자주 묻는 질문
true와 배열 설정은 어떻게 다르나요?
true는 네 가지 표면 전체를 잠그는 방식이고, 배열은 skills나 hooks처럼 필요한 표면만 골라 잠그는 방식입니다.
strictKnownMarketplaces도 꼭 같이 써야 하나요?
플러그인 출처까지 통제하려면 함께 검토하는 편이 좋습니다. 한쪽은 설치 가능한 marketplace를, 다른 한쪽은 커스터마이징 출처를 좁히는 역할입니다.
개발자 개인 skill을 모두 금지해야 하나요?
항상 금지할 필요는 없습니다. 다만 보안 저장소, 고객 데이터 접근 저장소, 배포 자동화 저장소에서는 관리 출처 중심으로 좁히는 편이 안전합니다.
오늘 바로 점검할 항목은 무엇인가요?
팀 저장소의 hooks와 MCP 서버 목록을 먼저 확인하고, 누가 승인했는지와 어떤 권한이 필요한지 적어 보세요.
오늘은 전체 잠금부터 시작하기보다, 가장 위험한 확장 표면 하나를 골라 관리 설정으로 옮길 기준을 정해 보세요.