이번 주 인공지능(AI) 거대 기업 앤스로픽(Anthropic)은 취약점을 찾아내고 패치를 초안 작성하는 AI 기반 코드 스캐닝 도구인 Claude Code Security를 출시하며 사이버보안 시장을 뒤흔드는 동시에 일자리와 산업 권력 이동에 대한 날카로운 질문을 던졌다.
Anthropic, Claude Code 보안을 출시하며 사이버보안 주식을 뒤흔들다
Claude Code Security는 인간 스캐너를 대체할 수 있을까?
앤스로픽의 Claude Code 플랫폼에 새로 추가된 기능은 간단한 제안을 내세운다. 숙련된 보안 연구자처럼 AI가 전체 코드베이스를 읽고, 다른 도구들이 놓치는 부분을 찾아내게 하자는 것이다. 회사의 발표에 따르면 Claude Code Security는 취약점을 스캔하고 패치를 제안하며, 심각도와 신뢰도 등급과 함께 결과를 제시하되, 승인 권한은 확실히 인간에게 남겨둔다.
사전에 정의된 패턴에 의존하는 전통적인 정적 애플리케이션 보안 테스트(SAST) 도구와 달리, Claude Code Security는 Claude Opus 4.6을 포함한 고도화된 대규모 언어 모델(LLM)을 바탕으로 데이터 흐름과 구성 요소 간 상호작용을 추론한다. 즉, 규칙 기반 스캐너가 놓치기 쉬운 비즈니스 로직 결함이나 깨진 접근 제어 같은 문제를 포착하는 것을 목표로 한다.
내부 테스트에서 앤스로픽은 Opus 4.6이 운영 환경의 오픈소스 코드베이스에서 고심각도 취약점 500건 이상을 식별했으며, 그중 일부는 수년간 발견되지 않았던 것들이라고 밝혔다. 이러한 결과는 현재 분류(triage) 및 책임 있는 공개(responsible disclosure) 절차를 거치고 있어, 이 도구의 목표가 단순한 겉치레 수정에 그치지 않음을 시사한다.
워크플로는 안전장치를 갖추도록 구성돼 있다. 포괄적 스캔 이후 시스템은 자체 검증(self-verification)을 수행하며, 대시보드에 제안 패치와 함께 제시하기 전에 스스로의 발견 사항을 확인하거나 반박하려고 시도한다. 자동으로 “프로덕션에 푸시”하는 방식은 아니다. 적어도 현재로서는 모든 수정에 인간의 승인이 필요하다.
앤스로픽은 Frontier Red Team을 통해 1년 이상에 걸쳐 이 역량을 개발했으며, Pacific Northwest National Laboratory 같은 기관과의 협업과 더불어 CTF(Capture the Flag) 대회 등 사이버보안 경진대회에서 테스트했다고 밝혔다. 이 도구는 현재 엔터프라이즈 및 팀 고객을 대상으로 제한적인 연구 프리뷰 형태로 제공되며, 오픈소스 메인테이너에게는 신속 접근이 지원된다.
하지만 월가는 세부 내용을 기다리지 않았다. 발표 직후 주요 사이버보안 기업들의 주가가 급락했는데, 크라우드스트라이크와 클라우드플레어는 각각 약 8% 하락했고, Zscaler, Okta, Gitlab 등도 타격을 받았다. 더 넓게는 Global X Cybersecurity ETF가 약 5% 하락하며 업계 전반의 불안감을 반영했다.
일부 분석가들은 이번 반응이 구조적 변화라기보다 헤드라인에 이끌린 것으로 보며, AI가 취약점 탐지를 범용화(상품화)할 수 있다는 두려움이 만든 “미니 플래시 크래시”라고 설명했다. 반면 다른 이들은 이번 매도세가 AI가 소프트웨어 보안의 경제성을 어떻게 재편할지에 대한 더 깊은 우려를 보여준다고 주장한다.
온라인 논의, 특히 X에서는 일자리 불안이 증폭됐다. AI 기반 스캐너가 취약점 평가와 수정(remediation) 역할을 “쓸어버릴” 수 있으며, 특히 초급 버그 분류(triage) 업무가 타격을 받을 것이라는 경고가 나온다. 이미 자동화와 씨름 중인 업계에서, 이번 발표의 타이밍은 의미심장하게 느껴진다.
그러나 많은 전문가들은 더 차분한 시각을 제시한다. 앤스로픽의 로건 그레이엄(Logan Graham)은 “만약 여러분이 AGI에 강하게 몰입해 있다면, 사이버보안에 매우 큰 관심을 가져야 합니다. 사이버-물리 인프라는 AGI가 ‘세상에 손을 뻗는’ 방식이기 때문입니다. 그래서 우리는 클로드가 그것을 안전하게 만들길 원합니다.”라고 말했다. 그는 또한 앤스로픽이 “사이버보안 인력을 채용 중”이라고 덧붙였다. 또 다른 많은 사람들은 Claude의 새 기능이 팀을 대체하기보다, 과중한 팀이 백로그를 관리하도록 돕기 위해 설계됐다고 설명했다.
중요하게도 Claude Code Security는 런타임 테스트를 수행하거나, API 요청을 보내거나, 실제 환경에서 익스플로잇 가능성을 검증할 수 없다. 즉, 동적 테스트와 인간의 감독은 여전히 필수다. 더 넓은 배경 또한 무시하기 어렵다. AI가 코드 생성과 사이버공격 모두를 가속화하면서, 방어자들은 기계 속도로 시스템을 탐색(probe)할 수 있는 적과 마주하고 있다.
앤트로픽, AI 능력 가속화로 사이버 공격 장벽이 무너졌다고 경고
AI가 새로운 능력을 통해 공격 및 방어 작전에 대해 사이버 보안을 어떻게 변화시키고 있는지 탐구하십시오. read more.
지금 읽기
앤트로픽, AI 능력 가속화로 사이버 공격 장벽이 무너졌다고 경고
AI가 새로운 능력을 통해 공격 및 방어 작전에 대해 사이버 보안을 어떻게 변화시키고 있는지 탐구하십시오. read more.
지금 읽기앤트로픽, AI 능력 가속화로 사이버 공격 장벽이 무너졌다고 경고
지금 읽기AI가 새로운 능력을 통해 공격 및 방어 작전에 대해 사이버 보안을 어떻게 변화시키고 있는지 탐구하십시오. read more.
앤스로픽은 이 도구를 방어 측의 균형추로 제시하며, AI의 이중용도(dual-use) 특성을 인정하는 동시에 안전한 개발의 기준선을 끌어올린다고 강조한다. 그런 의미에서 Claude Code Security는 해고 통지서 생성기라기보다 역할 재작성자에 더 가깝다. 보안 전문가들은 반복적인 경고를 뒤지는 데 쓰는 시간을 줄이고, 아키텍처 설계, 익스플로잇 검증, AI 보조 워크플로를 조율하는 데 더 많은 시간을 쓰게 될 수 있다.
이번 시장의 진동이 일시적일지, 아니면 구조적 전환을 의미할지는 도입 속도, 기존 스택과의 통합, 그리고 핵심 인프라에서 AI를 활용하는 모든 형태의 접근 방식에 달려 있다. 현재로서는 Claude Code Security가 사이버보안에서 드문 일을 해냈다. 코드 리뷰를 금융과 노동 논쟁의 중심으로 끌어올린 것이다.
FAQ ❓
- Claude Code Security란 무엇인가요?
앤스로픽의 AI 기반 도구로, 전체 코드베이스에서 취약점을 스캔하고 인간 검토를 거친 패치를 제안합니다. - Claude Code Security가 인간 보안 팀을 대체하나요?
아니요. 수정 사항에는 인간의 승인이 필요하며 런타임 테스트를 수행할 수 없기 때문에, 대체가 아니라 보조 도구로 자리매김합니다. - 출시 후 사이버보안 주식이 하락한 이유는 무엇인가요?
투자자들은 AI 기반 취약점 스캐닝이 전통적인 보안 소프트웨어 비즈니스 모델을 교란할 수 있다는 우려에 반응했습니다. - 현재 누가 Claude Code Security에 접근할 수 있나요?
엔터프라이즈 및 팀 고객을 대상으로 제한적인 연구 프리뷰로 제공되며, 오픈소스 메인테이너에게는 신속 접근이 지원됩니다.
