엔터프라이즈용 스킬

빌드스킬

엔터프라이즈를 위한 Skills

엔터프라이즈 규모에서 Agent Skills를 배포하기 위한 거버넌스, 보안 검토, 평가 및 조직 지침.

이 가이드는 조직 전반에 걸쳐 Agent Skills를 관리해야 하는 엔터프라이즈 관리자 및 아키텍트를 위한 것입니다. Skills를 규모에 맞게 검토, 평가, 배포 및 관리하는 방법을 다룹니다. 작성 지침은 모범 사례를 참조하세요. 아키텍처 세부 정보는 Skills 개요를 참조하세요.

보안 검토 및 검증

엔터프라이즈에서 Skills를 배포하려면 두 가지 별개의 질문에 답해야 합니다:

Skills는 일반적으로 안전한가요? 플랫폼 수준의 보안 세부 정보는 개요의 보안 고려 사항 섹션을 참조하세요.
특정 Skill을 어떻게 검증하나요? 아래의 위험 평가 및 검토 체크리스트를 사용하세요.

위험 등급 평가

배포를 승인하기 전에 다음 위험 지표에 따라 각 Skill을 평가하세요:

위험 지표	확인 사항	우려 수준
코드 실행	Skill 디렉토리의 스크립트 (`.py`, `.sh`, `*.js`)	높음: 스크립트가 전체 환경 접근 권한으로 실행됨
명령어 조작	안전 규칙 무시, 사용자로부터 작업 숨기기, 또는 조건부로 Claude의 동작을 변경하는 지시문	높음: 보안 제어를 우회할 수 있음
MCP 서버 참조	MCP 도구를 참조하는 명령어 (`ServerName:tool_name`)	높음: Skill 자체를 넘어 접근 범위 확장
네트워크 접근 패턴	URL, API 엔드포인트, `fetch`, `curl`, 또는 `requests` 호출	높음: 잠재적 데이터 유출 벡터
하드코딩된 자격 증명	Skill 파일 또는 스크립트의 API 키, 토큰, 또는 비밀번호	높음: Git 기록 및 컨텍스트 창에 노출된 비밀 정보
파일 시스템 접근 범위	Skill 디렉토리 외부 경로, 광범위한 glob 패턴, 경로 탐색 (`../`)	중간: 의도하지 않은 데이터에 접근할 수 있음
도구 호출	Claude에게 bash, 파일 작업 또는 기타 도구 사용을 지시하는 명령어	중간: 수행되는 작업 검토 필요

검토 체크리스트

제3자 또는 내부 기여자의 Skill을 배포하기 전에 다음 단계를 완료하세요:

모든 Skill 디렉토리 내용을 읽으세요. SKILL.md, 참조된 모든 마크다운 파일, 번들된 스크립트 또는 리소스를 검토하세요.
스크립트 동작이 명시된 목적과 일치하는지 확인하세요. 샌드박스 환경에서 스크립트를 실행하고 출력이 Skill의 설명과 일치하는지 확인하세요.
악의적인 명령어를 확인하세요. Claude에게 안전 규칙을 무시하거나, 사용자로부터 작업을 숨기거나, 응답을 통해 데이터를 유출하거나, 특정 입력에 따라 동작을 변경하도록 지시하는 명령어를 찾으세요.
외부 URL 가져오기 또는 네트워크 호출을 확인하세요. 스크립트와 명령어에서 네트워크 접근 패턴 (http, requests.get, urllib, curl, fetch)을 검색하세요.
하드코딩된 자격 증명이 없는지 확인하세요. Skill 파일에서 API 키, 토큰, 또는 비밀번호를 확인하세요. 자격 증명은 환경 변수 또는 보안 자격 증명 저장소를 사용해야 하며, Skill 내용에 절대 나타나서는 안 됩니다.
Skill이 Claude에게 호출하도록 지시하는 도구와 명령어를 식별하세요. 모든 bash 명령어, 파일 작업 및 도구 참조를 나열하세요. Skill이 파일 읽기와 네트워크 도구를 함께 사용할 때의 결합된 위험을 고려하세요.
리디렉션 대상을 확인하세요. Skill이 외부 URL을 참조하는 경우, 예상 도메인을 가리키는지 확인하세요.
데이터 유출 패턴이 없는지 확인하세요. 민감한 데이터를 읽은 다음 Claude의 대화 응답을 통한 전송을 포함하여 외부 전송을 위해 작성, 전송 또는 인코딩하는 명령어를 찾으세요.

신뢰할 수 없는 출처의 Skills는 전체 감사 없이 절대 배포하지 마세요. 악의적인 Skill은 Claude에게 임의 코드를 실행하거나, 민감한 파일에 접근하거나, 외부로 데이터를 전송하도록 지시할 수 있습니다. Skill 설치를 프로덕션 시스템에 소프트웨어를 설치하는 것과 동일한 엄격함으로 처리하세요.

배포 전 Skills 평가

Skills가 잘못 트리거되거나, 다른 Skills와 충돌하거나, 잘못된 명령어를 제공하면 에이전트 성능이 저하될 수 있습니다. 프로덕션 배포 전에 평가를 요구하세요.

평가 대상

Skills를 배포하기 전에 다음 차원에 대한 승인 게이트를 설정하세요:

차원	측정 항목	실패 예시
트리거 정확도	Skill이 올바른 쿼리에 대해 활성화되고 관련 없는 쿼리에 대해 비활성 상태를 유지하는가?	사용자가 단순히 데이터에 대해 논의하고 싶을 때도 모든 스프레드시트 언급에 Skill이 트리거됨
격리 동작	Skill이 단독으로 올바르게 작동하는가?	Skill이 디렉토리에 존재하지 않는 파일을 참조함
공존	이 Skill을 추가하면 다른 Skills가 저하되는가?	새 Skill의 설명이 너무 광범위하여 기존 Skills의 트리거를 빼앗음
명령어 따르기	Claude가 Skill의 명령어를 정확하게 따르는가?	Claude가 유효성 검사 단계를 건너뛰거나 잘못된 라이브러리를 사용함
출력 품질	Skill이 올바르고 유용한 결과를 생성하는가?	생성된 보고서에 형식 오류 또는 누락된 데이터가 있음

평가 요구 사항

Skill 작성자에게 Skill당 3-5개의 대표적인 쿼리로 구성된 평가 스위트를 제출하도록 요구하세요. 이는 Skill이 트리거되어야 하는 경우, 트리거되지 않아야 하는 경우, 그리고 모호한 엣지 케이스를 포함해야 합니다. Skill 효과는 모델에 따라 다르므로 조직에서 사용하는 모델(Haiku, Sonnet, Opus) 전반에 걸쳐 테스트를 요구하세요.

평가 구축에 대한 자세한 지침은 모범 사례의 평가 및 반복을 참조하세요. 일반적인 평가 방법론은 테스트 케이스 개발을 참조하세요.

수명 주기 결정을 위한 평가 활용

평가 결과는 언제 조치를 취해야 하는지 신호를 보냅니다:

트리거 정확도 저하: Skill의 설명 또는 명령어 업데이트
공존 충돌: 겹치는 Skills 통합 또는 설명 범위 축소
지속적으로 낮은 출력 품질: 명령어 재작성 또는 유효성 검사 단계 추가
업데이트 전반에 걸친 지속적인 실패: Skill 폐기

Skill 수명 주기 관리

계획
반복적이거나, 오류가 발생하기 쉽거나, 전문 지식이 필요한 워크플로를 식별하세요. 이를 조직 역할에 매핑하고 Skills 후보를 결정하세요.
생성 및 검토
Skill 작성자가 모범 사례를 따르도록 하세요. 위의 검토 체크리스트를 사용하여 보안 검토를 요구하세요. 승인 전에 평가 스위트를 요구하세요. 직무 분리를 확립하세요: Skill 작성자는 자신의 검토자가 되어서는 안 됩니다.
테스트
격리 상태(Skill 단독)와 기존 Skills와 함께(공존 테스트) 평가를 요구하세요. 프로덕션 승인 전에 활성 Skill 세트 전반에 걸쳐 트리거 정확도, 출력 품질 및 회귀 부재를 확인하세요.
배포
워크스페이스 전체 접근을 위해 Skills API를 통해 업로드하세요. 업로드 및 버전 관리는 API로 Skills 사용하기를 참조하세요. 목적, 소유자 및 버전과 함께 내부 레지스트리에 Skill을 문서화하세요.
모니터링
사용 패턴을 추적하고 사용자로부터 피드백을 수집하세요. 워크플로와 모델이 발전함에 따라 드리프트 또는 회귀를 감지하기 위해 주기적으로 평가를 재실행하세요. 사용 분석은 현재 Skills API를 통해 제공되지 않습니다. 요청에 포함된 Skills를 추적하기 위해 애플리케이션 수준 로깅을 구현하세요.
반복 또는 폐기
새 버전을 프로모션하기 전에 전체 평가 스위트가 통과되도록 요구하세요. 워크플로가 변경되거나 평가 점수가 하락할 때 Skills를 업데이트하세요. 평가가 지속적으로 실패하거나 워크플로가 폐기될 때 Skills를 폐기하세요.

규모에 맞는 Skills 구성

리콜 한계

일반적인 지침으로, 안정적인 리콜 정확도를 유지하기 위해 동시에 로드되는 Skills 수를 제한하세요. 각 Skill의 메타데이터(이름 및 설명)는 시스템 프롬프트에서 주의를 위해 경쟁합니다. 너무 많은 Skills가 활성화되면 Claude가 올바른 Skill을 선택하지 못하거나 관련 Skills를 완전히 놓칠 수 있습니다. Skills를 추가할 때 평가 스위트를 사용하여 리콜 정확도를 측정하고, 성능이 저하되면 추가를 중단하세요.

API 요청은 요청당 최대 8개의 Skills를 지원합니다(API로 Skills 사용하기 참조). 역할에 단일 요청이 지원하는 것보다 더 많은 Skills가 필요한 경우, 좁은 Skills를 더 넓은 것으로 통합하거나 작업 유형에 따라 다른 Skill 세트로 요청을 라우팅하는 것을 고려하세요.

구체적으로 시작하고 나중에 통합하기

팀이 광범위한 다목적 Skills보다는 좁고 워크플로 특화된 Skills로 시작하도록 권장하세요. 조직 전반에 걸쳐 패턴이 나타나면 관련 Skills를 역할 기반 번들로 통합하세요.

평가를 사용하여 언제 통합할지 결정하세요. 통합된 Skill의 평가가 대체하는 개별 Skills와 동등한 성능을 확인할 때만 좁은 Skills를 더 넓은 것으로 병합하세요.

예시 진행:

시작: formatting-sales-reports, querying-pipeline-data, updating-crm-records
통합: sales-operations (평가가 동등한 성능을 확인할 때)

명명 및 카탈로그화

조직 전반에 걸쳐 일관된 명명 규칙을 사용하세요. 모범 사례의 명명 규칙 섹션에서 형식 지침을 제공합니다.

각 Skill에 대해 다음을 포함하는 내부 레지스트리를 유지하세요:

목적: Skill이 지원하는 워크플로
소유자: 유지 관리를 담당하는 팀 또는 개인
버전: 현재 배포된 버전
의존성: 필요한 MCP 서버, 패키지 또는 외부 서비스
평가 상태: 마지막 평가 날짜 및 결과

역할 기반 번들

각 사용자의 활성 Skill 세트를 집중적으로 유지하기 위해 조직 역할별로 Skills를 그룹화하세요:

영업팀: CRM 작업, 파이프라인 보고, 제안서 생성
엔지니어링: 코드 검토, 배포 워크플로, 인시던트 대응
재무: 보고서 생성, 데이터 유효성 검사, 감사 준비

각 역할 기반 번들에는 해당 역할의 일상적인 워크플로와 관련된 Skills만 포함되어야 합니다.

배포 및 버전 관리

소스 제어

기록 추적, 풀 리퀘스트를 통한 코드 검토 및 롤백 기능을 위해 Skill 디렉토리를 Git에 저장하세요. 각 Skill 디렉토리(SKILL.md 및 번들된 파일 포함)는 자연스럽게 Git 추적 폴더에 매핑됩니다.

API 기반 배포

Skills API는 워크스페이스 범위의 배포를 제공합니다. API를 통해 업로드된 Skills는 모든 워크스페이스 구성원이 사용할 수 있습니다. 업로드, 버전 관리 및 관리 엔드포인트는 API로 Skills 사용하기를 참조하세요.

버전 관리 전략

프로덕션: Skills를 특정 버전에 고정하세요. 새 버전을 프로모션하기 전에 전체 평가 스위트를 실행하세요. 모든 업데이트를 전체 보안 검토가 필요한 새 배포로 처리하세요.
개발 및 테스트: 최신 버전을 사용하여 프로덕션 프로모션 전에 변경 사항을 검증하세요.
롤백 계획: 이전 버전을 폴백으로 유지하세요. 새 버전이 프로덕션에서 평가에 실패하면 즉시 마지막으로 알려진 정상 버전으로 되돌리세요.
무결성 검증: 검토된 Skills의 체크섬을 계산하고 배포 시 검증하세요. Skill 저장소에서 서명된 커밋을 사용하여 출처를 보장하세요.

크로스 서피스 고려 사항

커스텀 Skills는 서피스 간에 동기화되지 않습니다. API에 업로드된 Skills는 claude.ai 또는 Claude Code에서 사용할 수 없으며, 그 반대도 마찬가지입니다. 각 서피스는 별도의 업로드 및 관리가 필요합니다.

단일 진실 소스로 Git에 Skill 소스 파일을 유지하세요. 조직이 여러 서피스에 걸쳐 Skills를 배포하는 경우, 일관성을 유지하기 위해 자체 동기화 프로세스를 구현하세요. 자세한 내용은 크로스 서피스 가용성을 참조하세요.

다음 단계

Agent Skills 개요

아키텍처 및 플랫폼 세부 정보

모범 사례

Skill 작성자를 위한 작성 지침

API로 Skills 사용하기

프로그래밍 방식으로 Skills 업로드 및 관리

Was this page helpful?

빌드스킬

엔터프라이즈를 위한 Skills

엔터프라이즈 규모에서 Agent Skills를 배포하기 위한 거버넌스, 보안 검토, 평가 및 조직 지침.

보안 검토 및 검증

엔터프라이즈에서 Skills를 배포하려면 두 가지 별개의 질문에 답해야 합니다:

Skills는 일반적으로 안전한가요? 플랫폼 수준의 보안 세부 정보는 개요의 보안 고려 사항 섹션을 참조하세요.
특정 Skill을 어떻게 검증하나요? 아래의 위험 평가 및 검토 체크리스트를 사용하세요.

위험 등급 평가

배포를 승인하기 전에 다음 위험 지표에 따라 각 Skill을 평가하세요:

위험 지표	확인 사항	우려 수준
코드 실행	Skill 디렉토리의 스크립트 (`.py`, `.sh`, `*.js`)	높음: 스크립트가 전체 환경 접근 권한으로 실행됨
명령어 조작	안전 규칙 무시, 사용자로부터 작업 숨기기, 또는 조건부로 Claude의 동작을 변경하는 지시문	높음: 보안 제어를 우회할 수 있음
MCP 서버 참조	MCP 도구를 참조하는 명령어 (`ServerName:tool_name`)	높음: Skill 자체를 넘어 접근 범위 확장
네트워크 접근 패턴	URL, API 엔드포인트, `fetch`, `curl`, 또는 `requests` 호출	높음: 잠재적 데이터 유출 벡터
하드코딩된 자격 증명	Skill 파일 또는 스크립트의 API 키, 토큰, 또는 비밀번호	높음: Git 기록 및 컨텍스트 창에 노출된 비밀 정보
파일 시스템 접근 범위	Skill 디렉토리 외부 경로, 광범위한 glob 패턴, 경로 탐색 (`../`)	중간: 의도하지 않은 데이터에 접근할 수 있음
도구 호출	Claude에게 bash, 파일 작업 또는 기타 도구 사용을 지시하는 명령어	중간: 수행되는 작업 검토 필요

검토 체크리스트

제3자 또는 내부 기여자의 Skill을 배포하기 전에 다음 단계를 완료하세요:

모든 Skill 디렉토리 내용을 읽으세요. SKILL.md, 참조된 모든 마크다운 파일, 번들된 스크립트 또는 리소스를 검토하세요.
스크립트 동작이 명시된 목적과 일치하는지 확인하세요. 샌드박스 환경에서 스크립트를 실행하고 출력이 Skill의 설명과 일치하는지 확인하세요.
악의적인 명령어를 확인하세요. Claude에게 안전 규칙을 무시하거나, 사용자로부터 작업을 숨기거나, 응답을 통해 데이터를 유출하거나, 특정 입력에 따라 동작을 변경하도록 지시하는 명령어를 찾으세요.
외부 URL 가져오기 또는 네트워크 호출을 확인하세요. 스크립트와 명령어에서 네트워크 접근 패턴 (http, requests.get, urllib, curl, fetch)을 검색하세요.
하드코딩된 자격 증명이 없는지 확인하세요. Skill 파일에서 API 키, 토큰, 또는 비밀번호를 확인하세요. 자격 증명은 환경 변수 또는 보안 자격 증명 저장소를 사용해야 하며, Skill 내용에 절대 나타나서는 안 됩니다.
Skill이 Claude에게 호출하도록 지시하는 도구와 명령어를 식별하세요. 모든 bash 명령어, 파일 작업 및 도구 참조를 나열하세요. Skill이 파일 읽기와 네트워크 도구를 함께 사용할 때의 결합된 위험을 고려하세요.
리디렉션 대상을 확인하세요. Skill이 외부 URL을 참조하는 경우, 예상 도메인을 가리키는지 확인하세요.
데이터 유출 패턴이 없는지 확인하세요. 민감한 데이터를 읽은 다음 Claude의 대화 응답을 통한 전송을 포함하여 외부 전송을 위해 작성, 전송 또는 인코딩하는 명령어를 찾으세요.

배포 전 Skills 평가

평가 대상

Skills를 배포하기 전에 다음 차원에 대한 승인 게이트를 설정하세요:

차원	측정 항목	실패 예시
트리거 정확도	Skill이 올바른 쿼리에 대해 활성화되고 관련 없는 쿼리에 대해 비활성 상태를 유지하는가?	사용자가 단순히 데이터에 대해 논의하고 싶을 때도 모든 스프레드시트 언급에 Skill이 트리거됨
격리 동작	Skill이 단독으로 올바르게 작동하는가?	Skill이 디렉토리에 존재하지 않는 파일을 참조함
공존	이 Skill을 추가하면 다른 Skills가 저하되는가?	새 Skill의 설명이 너무 광범위하여 기존 Skills의 트리거를 빼앗음
명령어 따르기	Claude가 Skill의 명령어를 정확하게 따르는가?	Claude가 유효성 검사 단계를 건너뛰거나 잘못된 라이브러리를 사용함
출력 품질	Skill이 올바르고 유용한 결과를 생성하는가?	생성된 보고서에 형식 오류 또는 누락된 데이터가 있음

평가 요구 사항

평가 구축에 대한 자세한 지침은 모범 사례의 평가 및 반복을 참조하세요. 일반적인 평가 방법론은 테스트 케이스 개발을 참조하세요.

수명 주기 결정을 위한 평가 활용

평가 결과는 언제 조치를 취해야 하는지 신호를 보냅니다:

트리거 정확도 저하: Skill의 설명 또는 명령어 업데이트
공존 충돌: 겹치는 Skills 통합 또는 설명 범위 축소
지속적으로 낮은 출력 품질: 명령어 재작성 또는 유효성 검사 단계 추가
업데이트 전반에 걸친 지속적인 실패: Skill 폐기

Skill 수명 주기 관리

계획
반복적이거나, 오류가 발생하기 쉽거나, 전문 지식이 필요한 워크플로를 식별하세요. 이를 조직 역할에 매핑하고 Skills 후보를 결정하세요.
생성 및 검토
Skill 작성자가 모범 사례를 따르도록 하세요. 위의 검토 체크리스트를 사용하여 보안 검토를 요구하세요. 승인 전에 평가 스위트를 요구하세요. 직무 분리를 확립하세요: Skill 작성자는 자신의 검토자가 되어서는 안 됩니다.
테스트
격리 상태(Skill 단독)와 기존 Skills와 함께(공존 테스트) 평가를 요구하세요. 프로덕션 승인 전에 활성 Skill 세트 전반에 걸쳐 트리거 정확도, 출력 품질 및 회귀 부재를 확인하세요.
배포
워크스페이스 전체 접근을 위해 Skills API를 통해 업로드하세요. 업로드 및 버전 관리는 API로 Skills 사용하기를 참조하세요. 목적, 소유자 및 버전과 함께 내부 레지스트리에 Skill을 문서화하세요.
모니터링
사용 패턴을 추적하고 사용자로부터 피드백을 수집하세요. 워크플로와 모델이 발전함에 따라 드리프트 또는 회귀를 감지하기 위해 주기적으로 평가를 재실행하세요. 사용 분석은 현재 Skills API를 통해 제공되지 않습니다. 요청에 포함된 Skills를 추적하기 위해 애플리케이션 수준 로깅을 구현하세요.
반복 또는 폐기
새 버전을 프로모션하기 전에 전체 평가 스위트가 통과되도록 요구하세요. 워크플로가 변경되거나 평가 점수가 하락할 때 Skills를 업데이트하세요. 평가가 지속적으로 실패하거나 워크플로가 폐기될 때 Skills를 폐기하세요.

규모에 맞는 Skills 구성

리콜 한계

구체적으로 시작하고 나중에 통합하기

예시 진행:

시작: formatting-sales-reports, querying-pipeline-data, updating-crm-records
통합: sales-operations (평가가 동등한 성능을 확인할 때)

명명 및 카탈로그화

조직 전반에 걸쳐 일관된 명명 규칙을 사용하세요. 모범 사례의 명명 규칙 섹션에서 형식 지침을 제공합니다.

각 Skill에 대해 다음을 포함하는 내부 레지스트리를 유지하세요:

목적: Skill이 지원하는 워크플로
소유자: 유지 관리를 담당하는 팀 또는 개인
버전: 현재 배포된 버전
의존성: 필요한 MCP 서버, 패키지 또는 외부 서비스
평가 상태: 마지막 평가 날짜 및 결과

역할 기반 번들

각 사용자의 활성 Skill 세트를 집중적으로 유지하기 위해 조직 역할별로 Skills를 그룹화하세요:

영업팀: CRM 작업, 파이프라인 보고, 제안서 생성
엔지니어링: 코드 검토, 배포 워크플로, 인시던트 대응
재무: 보고서 생성, 데이터 유효성 검사, 감사 준비

각 역할 기반 번들에는 해당 역할의 일상적인 워크플로와 관련된 Skills만 포함되어야 합니다.

배포 및 버전 관리

소스 제어

API 기반 배포

버전 관리 전략

프로덕션: Skills를 특정 버전에 고정하세요. 새 버전을 프로모션하기 전에 전체 평가 스위트를 실행하세요. 모든 업데이트를 전체 보안 검토가 필요한 새 배포로 처리하세요.
개발 및 테스트: 최신 버전을 사용하여 프로덕션 프로모션 전에 변경 사항을 검증하세요.
롤백 계획: 이전 버전을 폴백으로 유지하세요. 새 버전이 프로덕션에서 평가에 실패하면 즉시 마지막으로 알려진 정상 버전으로 되돌리세요.
무결성 검증: 검토된 Skills의 체크섬을 계산하고 배포 시 검증하세요. Skill 저장소에서 서명된 커밋을 사용하여 출처를 보장하세요.

크로스 서피스 고려 사항

다음 단계

Agent Skills 개요

아키텍처 및 플랫폼 세부 정보

모범 사례

Skill 작성자를 위한 작성 지침

API로 Skills 사용하기

프로그래밍 방식으로 Skills 업로드 및 관리

Was this page helpful?