앤트로픽이 웹 인터페이스용 Claude Code에 ‘Claude Code Security’라는 새로운 기능을 도입했습니다. 이 도구는 코드베이스를 검사하여 보안 취약점을 찾아내고, 이에 맞는 수정 패치를 제안합니다. 다만 모든 수정 사항은 여전히 인간이 검토해야 합니다. 현재 이 기능은 Enterprise 및 Team 고객을 위한 제한적인 연구용 미리보기(Research Preview) 형태로 제공되며, 오픈소스 프로젝트 유지관리자는 무료이자 우선적으로 접근 신청이 가능합니다.

패턴 매칭을 넘어 인간처럼 코드를 이해하는 AI

기존의 분석 도구들은 주로 미리 정해진 규칙에 따라 코드를 알려진 취약점 패턴과 대조합니다. 이러한 방식은 노출된 비밀번호나 오래된 암호화 방식 같은 일반적인 문제는 잡아낼 수 있지만, 비즈니스 로직 오류나 잘못된 접근 제어와 같은 복잡한 결함은 발견하지 못하는 경우가 많습니다.

앤트로픽은 이에 반해 Claude Code Security가 인간 보안 연구자가 코드를 읽고 추론하는 방식으로 작동하도록 설계되었다고 설명합니다. 이 도구는 코드 구성요소 간의 상호작용을 이해하고, 애플리케이션 내 데이터의 흐름을 추적하며, 규칙 기반 도구가 놓칠 수 있는 복합적인 취약점을 찾아냅니다. 

다단계 검증과 우선순위 관리

각 탐지 결과는 분석가에게 전달되기 전에 여러 단계의 검증 과정을 거칩니다. Claude는 스스로의 결과를 다시 검토하고, 이를 재확인하거나 반박하는 과정을 통해 오탐(false positive)을 걸러냅니다. 모든 결과에는 심각도(severity)와 신뢰도(confidence) 등급이 함께 표시되어, 팀이 가장 긴급한 문제를 우선 해결할 수 있게 돕습니다.

실제 코드에서 500개 이상의 취약점 발견

앤트로픽은 이번 기능이 Claude의 사이버보안 능력에 대한 1년 이상 연구의 성과를 토대로 만들어졌다고 밝혔습니다. 회사의 내부 보안 연구팀인 Frontier Red 팀은 이 능력을 검증하기 위해 캡처 더 플래그(CTF) 해킹 대회, 미국 태평양북서국립연구소(PNNL)와 협력한 핵심 인프라 방어 프로젝트, 그리고 현실 세계의 보안 취약점을 탐지·패치하는 지속적 연구를 통해 Claude를 체계적으로 테스트해 왔습니다.

이번 달 초 출시된 Claude Opus 4.6 버전에서는, 팀이 실제 오픈소스 코드베이스(production codebase)에서 500개 이상의 취약점을 찾아냈다고 밝혔습니다. 일부 버그는 전문가들의 다년간 검토에도 불구하고 수십 년 동안 발견되지 않았던 것들입니다. 현재 이 취약점들에 대한 분류(triage)와 책임 있는 공개(responsible disclosure) 절차가 유지관리자들을 대상으로 진행 중입니다.

앤트로픽은 가까운 미래에 전 세계의 코드 상당 부분이 AI에 의해 자동으로 검사될 것으로 내다보고 있습니다. AI 모델이 점점 발전함에 따라 오래된 버그와 보안 문제를 더 정밀하게 찾아낼 수 있기 때문입니다. 그러나 동시에 회사는 공격자들 역시 AI를 활용해 악용 가능한 취약점을 그 어느 때보다 빠르게 찾아낼 것이라고 경고했습니다.

발표 이후 사이버보안 관련 주가 급락

앤트로픽의 발표는 월가에 즉각적인 영향을 미쳤습니다. 블룸버그에 따르면, 발표 당일 사이버보안 관련 주가가 급격히 떨어졌습니다. CrowdStrike는 8% 하락했고, Cloudflare는 8.1%, Okta는 9.2%, SailPoint는 9.4% 하락했습니다. Global X Cybersecurity ETF 역시 4.9% 떨어지며 2023년 11월 이후 최저 수준을 기록했습니다.

(후략)