UltraThink 워크플로우: Claude Code + SuperClaude + Superpowers

큰 그림 – “Claude Code 확장 생태계”

한 줄로 요약하면

Claude Code를 단순 코드 보조 도구가 아니라
“조직 표준 개발·보안 프로세스를 실행하는 플랫폼”으로 만드는 3요소

입니다.

1. SuperClaude Framework
   • Claude Code 위에서 동작하는 “구조화된 개발 플랫폼 프레임워크”
   • Slash 명령어, 페르소나, MCP 연동으로 엔드투엔드 개발 워크플로우를 만들어 줌
2. obra/superpowers
   • Claude Code용 “개발 스킬 라이브러리 + 워크플로우 플러그인”
   • TDD, 디버깅, 브레인스토밍, 계획/실행 패턴 같은 개발 방법론을 스킬로 캡슐화
3. Claude Plugin Marketplaces
   • 여러 플러그인을 카탈로그처럼 묶어 배포·관리하는 JSON 기반 마켓 구조
   • 팀/조직 단위로 “공식 플러그인 세트”를 정의하고 통제 가능

여기에 쉬운 표현으로 말한 “UltraThink 모드”는,

• Claude Code에게
  “대충 한 번 답하고 끝내지 말고, 여러 단계를 거쳐 깊게 분석/설계/검증하라”
  고 강제하는 프롬프트 패턴 + 워크플로우 를 의미한다고 보면 됩니다.

SuperClaude Framework – 구조화된 개발 플랫폼

1. 목적

SuperClaude Framework는 Claude Code를

• 단순 “코드 좀 고쳐줘” 도구에서
• “설계 → 구현 → 테스트 → 배포 → 문서화 → 리서치 → 협업”
  까지를 커버하는 개발 운영 플랫폼으로 끌어올리는 프레임워크입니다.

핵심 키워드

• Slash Commands
• 도메인별 Persona
• MCP 서버 통합
• 토큰 최적화 & 긴 컨텍스트 처리
• 증거 기반(Evidence-based) 개발 워크플로우

2. 주요 구성 요소

① Slash Commands (예: /sc:implement, /sc:test 등)

SuperClaude 설치 후 Claude Code에서

/sc:implement
/sc:test
/sc:design
/sc:research
/sc:pm
...

같은 명령을 쓰면, 각 명령이 사전에 정의된 “행동 시나리오”를 실행합니다.

예시 – /sc:implement 흐름 (개념적)

1. 요구사항/이슈 분석
2. 관련 코드 검색
3. 변경 설계
4. 코드 수정
5. 간단 테스트 코드/체크리스트 생성
6. 변경 내용 요약 및 커밋 메시지 제안

→ 개발자가 직접 단계별로 지시하지 않아도, 표준화된 개발 루틴이 자동으로 실행되는 느낌.

② Cognitive Personas (역할 기반 에이전트)

SuperClaude는 “전문가 역할(Persona)”를 제공합니다.

• 시스템 아키텍트
• 백엔드 개발자
• 프론트엔드 개발자
• 보안 엔지니어
• 퍼포먼스 튜너
• QA / 테스트 엔지니어
• 리팩토링 전문가 등

300x250

사용 예

지금부터는 "보안 엔지니어 페르소나"로 동작해주세요.

1) auth 관련 코드 흐름을 분석하고,
2) 인증/인가 취약점 가능성이 있는 부분을 OWASP Top10 기준으로 가설을 세우고,
3) 각 가설마다 실제 코드 상 근거와 수정안을 제시해주세요.

필요한 파일이 있으면 요청하면 제가 열어드리겠습니다.

→ 이렇게 하면 단순 코드 보조가 아니라, “보안 리뷰어” 역할 AI를 쉽게 만들 수 있습니다.

③ MCP 서버 통합

MCP 서버를 붙이면

• 외부 API 호출
• 문서 검색
• 브라우저 자동화
• 장기 메모리
• 토큰 최적화

등을 통해 긴 코드베이스 / 복잡한 작업에도 견디는 에이전트 환경을 구성할 수 있습니다.

 

예: “수만 줄짜리 레거시 인증 모듈 보안 점검 + 리팩토링 + 테스트 + 문서화” 같은 작업에서 효과적.

④ 설치 및 사용 예시

# (권장) pipx 사용
pipx install superclaude
superclaude install

# MCP 서버 설정 (선택)
superclaude mcp --list
superclaude mcp

Claude Code 재시작 후

/sc:design
/sc:implement
/sc:test
...

을 사용하면서, 앞에서 말한 UltraThink 스타일 프롬프트를 얹어주면 됩니다.

⑤ 보안 관점 활용 예시

상황: 인증/인가 시스템 대규모 리팩토링 + 취약점 점검

워크플로우 예시

1. /sc:design
   → 현재 인증 플로우 구조 분석 + 개선안 설계
2. /sc:implement
   → 개선안에 따라 단계별 코드 수정
3. /sc:test
   → 보안 테스트 케이스(TOTP, 세션 탈취, 권한 상승 등) 자동 생성 및 테스트 코드 제안
4. /sc:document (있다면)
   → 변경 내역 + 보안 영향 + 운영 상 주의사항 문서화

여기에 “보안 페르소나”를 붙여

각 단계에서 반드시
- 인증 우회 가능성
- 세션 고정/재사용
- 권한 검증 누락
- 로깅/모니터링 부족
를 체크리스트로 검증해주세요.

라고 하면, 보안 가이드라인을 작업 흐름에 직접 녹여 넣는 효과가 생깁니다.

obra/superpowers – 개발 스킬 / 방법론 플러그인

1. 목적

obra/superpowers는 Claude Code(및 일부 Codex 등)에 설치해서:

“코딩 잘하는 사람의 노하우(테스트, 디버깅, 브레인스토밍, 협업 패턴)를
SKILL 단위로 표준화하여, 에이전트가 항상 그 패턴을 따르게 만드는 플러그인”

이라고 이해하면 됩니다.

즉,
SuperClaude가 “플랫폼 + 워크플로우” 측면에 가깝다면,
Superpowers는 “코딩/생각 스킬 세트”에 초점이 있습니다.

2. 핵심 개념

① Skills – 개발 방법론의 캡슐화

스킬 예시(개념)

• test-driven-development
  • RED → GREEN → REFACTOR 루프 강제
• structured-debugging
  • 현상 정리 → 재현 → 가설 → 검증 → 원인 확정 → 예방책 작성
• brainstorming
  • 문제 분해 → 옵션 나열 → 리스크 → 추천안 → TODO 정리
• collaborative-review
  • 변경 요약 → 영향 범위 → 위험도 → 리뷰 포인트 → 추천 수정

Point: 에이전트가 “스킬을 반드시 써서 답하게” 만드는 게 superpowers의 본질.

② using-superpowers – 강제 룰

using-superpowers 라는 스킬이 세션 시작 시 자동으로 로드되는데,

• “스킬을 사용하는 건 선택이 아니라 의무다”
• 스킬을 안 쓰기 위해 자주 하는 변명 8가지를 미리 적어두고,
  이런 핑계를 쓰지 못하게 막음
• 질문에 답하기 전 반드시 거쳐야 할 체크리스트를 제시

같은 내용이 담겨 있습니다.

→ 이걸 통해 에이전트가 “귀찮으니까 그냥 바로 답할래요” 하는 패턴을 차단합니다.

③ 워크플로우 커맨드 예시

• /superpowers:brainstorm
  • 문제를 구조적으로 분석 + 옵션 + 리스크 + 추천안까지 뽑아줌
• /superpowers:write-plan
  • 실제 구현/수정 계획을 단계별로 만듦
• /superpowers:execute-plan
  • 계획에 따라 순차 실행 + 상태 업데이트 + 계획 보정

보안 관련 작업이라면 이렇게 쓸 수 있습니다.

/superpowers:brainstorm

역할: 보안 아키텍트

목표:
1) 현재 인증/인가 구조에서 발생 가능성이 높은 취약점 후보를 브레인스토밍하고,
2) 각 취약점에 대해 "발생 조건 / 영향 / 탐지 방법 / 완화 방안"을 정리해주세요.
3) 그 중 우선순위 TOP 5를 선정해 주세요.

이후

/superpowers:write-plan

위에서 정리된 TOP 5 취약점에 대해
1) 코드 레벨 수정 계획
2) 테스트/검증 계획
3) 모니터링/로그 계획
까지 포함한 실행 플랜을 작성해주세요.

→ SuperClaude의 명령과도 개념이 잘 맞물립니다.

③ 설치 개요

Claude Code에서 (예시)

/plugin marketplace add obra/superpowers-marketplace
/plugin install superpowers@superpowers-marketplace

설치 후

/superpowers:brainstorm
/superpowers:write-plan
...

같은 커맨드를 사용합니다.

3. 보안 관점 활용법

가장 강력한 활용은

조직의 SSDLC(보안 개발 생명주기) 체크리스트를
superpowers-skills 스타일로 스킬로 만드는 것

예를 들어, 조직용 커스텀 스킬 컨셉

# (개념적 YAML 예시, 실제 superpowers-skills 포맷은 별도지만 느낌만)
skill: security-code-review
steps:
  - name: entry-point
    checklist:
      - 입력 검증 누락 여부
      - 인증/인가 우회 가능성
      - 민감정보 로그/평문 저장 여부
      - 외부 연동(HTTP, DB, MQ)에서 보안 옵션 적용 여부
  - name: threat-model
    ...

이걸 superpowers에 통합하면,

• 개발자가 보안 리뷰할 때마다 /superpowers:brainstorm → security-code-review 스킬 호출
• 모든 PR/리팩토링 작업에 일관된 보안 체크 관점이 강제

되는 구조를 만들 수 있습니다.

Claude Plugin Marketplaces – 플러그인 배포/통제의 인프라

1. 개념 정리

Marketplace = 플러그인 카탈로그 JSON입니다.

• 여러 개의 플러그인을
  하나의 marketplace.json 파일에 나열
• 각 플러그인이 어디서 설치되는지(source), 버전, 설명 등의 메타데이터 포함
• GitHub / GitLab / HTTP URL / 로컬 디렉터리 등에 호스팅 가능

사용자는

/plugin marketplace add owner/repo
/plugin install plugin-name@marketplace-name

만으로 플러그인을 쉽게 설치/관리할 수 있습니다.

2. marketplace.json 구조 예시

{
  "name": "pageskr-internal",
  "owner": {
    "name": "Pages in Korea Security Team",
    "email": "security@pages.kr"
  },
  "metadata": {
    "description": "내부 표준 Claude Code 플러그인 모음",
    "version": "1.0.0"
  },
  "plugins": [
    {
      "name": "superclaude-framework",
      "source": {
        "source": "github",
        "repo": "SuperClaude-Org/SuperClaude_Framework"
      },
      "description": "구조화된 개발/보안 워크플로우 플랫폼",
      "version": "4.0.0",
      "author": { "name": "SuperClaude-Org" },
      "category": "framework"
    },
    {
      "name": "superpowers",
      "source": {
        "source": "github",
        "repo": "obra/superpowers"
      },
      "description": "코딩 스킬/방법론 라이브러리",
      "category": "skills"
    },
    {
      "name": "pageskr-security-skills",
      "source": "./plugins/pageskr-security-skills",
      "description": "내부 SSDLC/보안 체크리스트 스킬 모음",
      "strict": false,
      "category": "security"
    }
  ]
}

이 파일을 GitHub pageskr/claude-marketplace 리포의 .claude-plugin/marketplace.json에 두고

/plugin marketplace add pageskr/claude-marketplace

하면, 조직 전체가 동일한 플러그인 셋을 쉽게 설치할 수 있습니다.

3. 프로젝트 단위 자동 적용 (.claude/settings.json)

프로젝트 리포 내에

{
  "extraKnownMarketplaces": {
    "pageskr-internal": {
      "source": {
        "source": "github",
        "repo": "pageskr/claude-marketplace"
      }
    }
  },
  "enabledPlugins": [
    "superclaude-framework@pageskr-internal",
    "superpowers@pageskr-internal",
    "pageskr-security-skills@pageskr-internal"
  ]
}

같이 설정해두고,
해당 폴더를 Claude Code에서 trusted folder로 지정하면

• 프로젝트를 열 때 자동으로
  • pageskr-internal 마켓플레이스 등록
  • 필요한 플러그인 설치

→ “이 프로젝트에서는 반드시 이 플러그인들을 쓴다”라는 조직 규칙을 강제하기 쉬워집니다.

4. 보안 관점 – 거버넌스 포인트

1. 플러그인 출처 통제
   • 내부에서 승인한 Marketplace만 사용하도록 안내
   • 외부 Marketplace 사용 금지/제한 정책 수립 가능
2. 승인 절차
   • 새 플러그인 추가 전
     • 코드 리뷰
     • 라이선스 확인
     • 외부 통신/데이터 처리 여부 검토
     • 로그/토큰 등 민감정보 처리 정책 확인
3. 변경관리
   • marketplace.json 업데이트 시
     • 버전 관리 → 깃 PR + 리뷰 절차
     • 변경 로그 작성
     • 보안팀/플랫폼팀 승인 후 merge
4. 감사/모니터링
   • “어떤 프로젝트에서 어떤 Marketplace/플러그인 버전을 사용 중인지”
     를 리스트업 해두면, 취약 플러그인 발견 시 패치 범위를 쉽게 파악 가능

셋 다 합쳐서 보는 “실전 그림”

마지막으로, 지금까지 나온 걸 한 번에 묶어서 “내부에서 쓴다고 가정한 시나리오”로 정리해볼게요.

1. 목표

• Claude Code를 개발자 개인 장난감이 아니라,
  • 표준 개발 프로세스
  • 보안 점검 절차(SSDLC)
  • 테스트/리팩토링 문화
    를 자동으로 따라가게 만드는 플랫폼으로 사용.

2. 구성 요소

1. 내부 Claude Marketplace 리포
   • 예: pageskr/claude-marketplace
   • SuperClaude, Superpowers, 내부 보안 스킬 플러그인 포함
2. SuperClaude Framework
   • Slash Commands로 업무 워크플로우 정리
   • /sc:design, /sc:implement, /sc:test, /sc:document 등
3. obra/superpowers
   • TDD, 디버깅, 브레인스토밍, 협업, 메타 스킬 제공
   • using-superpowers로 “대충 답하기 금지”
4. 내부 보안 스킬 플러그인
   • pageskr-security-skills
   • 예: security-code-review, threat-modeling-web, log-design, least-privilege-check 등

3. 실제 개발자/보안 담당자 워크플로우 예시

상황: 신규 로그인 기능 개발 + 보안 점검

1. 개발자가 프로젝트 Repo를 열면
   • .claude/settings.json에 설정된 대로 pageskr-internal Marketplace + 필요한 플러그인 자동 설치
2. 요구사항 분석 단계

   /superpowers:brainstorm
   
   역할: 시스템 아키텍트 + 보안 엔지니어
   
   새로운 로그인 기능(소셜 로그인 포함)을 설계하려고 합니다.
   
   1) 기능 요구사항, 보안 요구사항(계정 탈취 방지, MFA, 세션 관리 포함)을 정리하고,
   2) 고려해야 할 아키텍처 옵션(예: OIDC provider, Gateway level auth, 백엔드 세션 관리)을 나열한 뒤,
   3) 보안/운영 관점 장단점을 비교해 주세요.
   4) 내부환경(멀티 테넌시, 고객 계정 분리)을 고려한 추천안을 제시해주세요.

3. 설계/구현 단계

   /sc:design
   
   위에서 확정한 아키텍처 안을 기준으로,
   
   1) 필요한 모듈/엔드포인트/데이터 모델을 설계하고,
   2) 인증/인가, 세션, 로깅, 모니터링 포인트, 에러 처리 방식을 구조적으로 정리해 주세요.
   3) 보안 취약점 가능성이 높은 지점을 사전에 표시해 주세요.

   → 결과 설계를 보고 보안 검토/코멘트 후 확정.
4. 구현 단계

   /sc:implement
   
   지금까지 논의한 설계에 따라, 먼저
   
   - 로그인 엔드포인트
   - 토큰 발급/검증 모듈
   - 세션 저장 로직
   
   을 구현하는 단계부터 진행해주세요.
   
   각 단계:
   
   1) 수정/추가할 파일 목록,
   2) 변경 코드,
   3) 간단한 설명과 주의사항
   
   을 포함해서 제시해 주세요.

5. 보안 코드 리뷰 단계

   /superpowers:brainstorm
   
   보안 스킬: security-code-review 를 사용해서,
   
   1) 입력 검증
   2) 인증/인가
   3) 세션/토큰
   4) 민감정보 처리
   5) 로깅/모니터링
   
   각 항목별로
   
   - “문제 있음 / 가능성 있음 / 문제 없음”
   - 코드 근거
   - 수정 권고
   
   를 정리해주세요.

6. 테스트 & 문서화 단계

   /sc:test
   
   위 기능에 대해,
   1) 정상/경계/에러 케이스 테스트 시나리오,
   2) 보안 테스트 시나리오(잘못된 토큰, 만료 토큰, 세션 고정, 재사용 등),
   3) 자동화 가능한 테스트 코드 제안(Jest/pytest 등)
   
   을 생성해주세요.

   /sc:document
   
   이번 로그인 기능 추가에 대한
   - 기술 설계 요약
   - 보안 영향 요약
   - 운영 상 주의사항(로그 모니터링, 알림 규칙 등)
   
   을 위키 문서 형식으로 작성해주세요.

→ 이 전체 흐름이 “개발자 개인 스타일”이 아니라,
조직이 정의한 표준 워크플로우 + 스킬에 따라 움직이게 되는 그림입니다.

 

지금까지 내용을 한 문장씩만 다시 정리하면

• SuperClaude Framework
  → Claude Code를 “엔드투엔드 개발 플랫폼”으로 만드는 프레임워크 & 워크플로우 도구
• obra/superpowers
  → TDD/디버깅/브레인스토밍/협업 같은 개발 스킬과 방법론을 강제로 쓰게 만드는 플러그인
• Claude Plugin Marketplaces
  → 여러 플러그인을 정의·배포·통제하기 위한 JSON 기반 카탈로그 시스템
• UltraThink 스타일 사용법
  → “깊게 생각하고, 단계별로 분석·계획·실행·검증하라”는
  프롬프트 + 워크플로우 패턴을 Claude Code에 체화시키는 방식
• 보안 입장에서
  → 이 셋을 잘 조합하면
  “보안 정책/SSDLC → 에이전트 워크플로우 → 개발 현장 자동 실행”
  이라는 구조를 만들 수 있고,
  “개발자마다 들쭉날쭉한 보안 체크”를 줄이고 일관된 보안 품질을 확보하는 데 도움됩니다.