보안 전문가들이 수십 년간 들여다봤는데도 발견하지 못한 버그를, AI가 찾아냈습니다. 그것도 500개 이상.

Anthropic이 Claude Code에 보안 취약점 탐지 기능을 통합한 Claude Code Security를 출시했습니다. 코드베이스를 스캔해 취약점을 찾고 패치까지 제안하는 이 도구는 현재 Enterprise·Team 고객 대상 리서치 프리뷰로 제공 중이며, 오픈소스 프로젝트 관리자는 무료 조기 접근을 신청할 수 있습니다.

출처: Making frontier cybersecurity capabilities available to defenders – Anthropic

기존 보안 도구가 놓치는 것들

지금까지 널리 쓰이던 자동화 보안 테스트(정적 분석, Static Analysis)는 기본적으로 패턴 매칭 방식입니다. 코드에서 노출된 패스워드, 구식 암호화 방식처럼 “알려진 취약 패턴”을 찾아내는 거죠. 빠르고 일관적이지만, 이 방식으로는 잡기 어려운 것들이 있습니다. 비즈니스 로직의 결함이나 접근 제어 오류처럼, 코드가 “어떻게 돌아가는지”를 전체적으로 이해해야만 보이는 취약점들입니다.

공격자들이 실제로 노리는 건 대부분 후자입니다. 전자는 이미 잘 막혀있으니까요.

코드를 ‘읽는’ 것과 ‘이해하는’ 것의 차이

Claude Code Security는 패턴을 찾는 대신, 인간 보안 연구자처럼 코드를 추론합니다. 컴포넌트 간 상호작용을 파악하고, 데이터가 애플리케이션을 통해 어떻게 흐르는지를 추적하며, 그 흐름에서 생길 수 있는 복잡한 취약점을 잡아냅니다.

발견된 결과는 분석가에게 전달되기 전에 다단계 검증을 거칩니다. Claude가 자신의 판단을 스스로 재검토해 오탐(False Positive)을 걸러내고, 심각도와 신뢰도 점수를 함께 제공합니다. 최종적으로 검증된 항목만 대시보드에 표시되고, 패치 적용 여부는 항상 개발자가 결정합니다. 자동으로 코드를 수정하지는 않아요.

이미 증명된 성과, 그리고 주가 반응

이 기능은 1년 이상의 내부 연구를 기반으로 합니다. Anthropic의 Frontier Red Team은 Claude를 Capture-the-Flag 대회에 참가시키고, 미국 태평양 북서부 국립연구소(PNNL)와 함께 주요 인프라 방어 실험을 진행하며 역량을 검증해 왔습니다. 그 결과, Claude Opus 4.6으로 프로덕션 오픈소스 코드베이스에서 500개 이상의 취약점을 발견했는데, 수십 년간 전문가들의 검토를 통과했던 버그들이었습니다.

발표 당일 시장 반응도 즉각적이었습니다. CrowdStrike -8%, Okta -9.2%, SailPoint -9.4% 등 주요 사이버보안 기업 주가가 일제히 급락했습니다. AI가 기존 보안 도구 시장을 잠식할 수 있다는 우려가 반영된 것이죠. 다만 the-decoder의 분석처럼, 유지보수·컴플라이언스·시스템 통합 등 운영 비용까지 AI가 대체하기는 어렵다는 시각도 있습니다. 생산 비용이 낮아진다고 해서 운영 비용까지 사라지는 건 아니니까요.

AI가 공격과 방어 양쪽을 바꾸는 시대

Anthropic이 이 도구를 출시하면서 강조한 한 가지 맥락이 있습니다. AI는 이미 취약점을 찾는 데 활용되고 있는데, 그 능력이 공격자에게도 열려 있다는 점입니다. Claude Code Security는 이 상황에서 방어자에게 같은 무기를 쥐어주겠다는 의도로 설계되었습니다.

오픈소스에서 발견된 500개 취약점의 책임 공개(Responsible Disclosure)가 현재 진행 중이고, 이 결과가 실제로 어느 수준의 위협이었는지도 순차적으로 공개될 예정입니다. 기술적 세부사항과 벤치마크 데이터는 Anthropic의 원문에서 확인할 수 있습니다.