AI가 오픈소스 코드에서 수십 년간 숨어 있던 보안 취약점 500개 이상을 찾아냈어요. 전문가들이 수년간 리뷰했는데도 못 찾은 것들이요. 그리고 그 다음 날, 사이버보안 주식이 일제히 폭락했습니다.
이게 뭔데?
2026년 2월 20일, Anthropic이 Claude Code Security를 발표했어요. Claude Code(Anthropic의 AI 코딩 도구)에 내장된 보안 취약점 스캐닝 기능인데요, 기존 보안 도구들과는 접근법이 근본적으로 달라요.
기존의 정적 분석(Static Analysis) 도구들은 알려진 취약점 패턴을 데이터베이스에 저장해두고, 코드를 그 패턴과 하나씩 대조하는 방식이에요. 노출된 비밀번호나 오래된 암호화 방식 같은 흔한 문제는 잘 잡지만, 비즈니스 로직 오류나 인증 우회 같은 복잡한 취약점은 놓치는 경우가 많았죠.
Claude Code Security는 "인간 보안 연구자가 코드를 읽듯이 추론한다"는 게 핵심이에요. 컴포넌트 간 상호작용을 이해하고, 데이터가 애플리케이션을 통해 어떻게 흐르는지 추적하면서, 룰 기반 도구가 놓치는 맥락 의존적 취약점을 잡아내요.
Fortune과의 독점 인터뷰에서 Anthropic Frontier Red Team 리더 Logan Graham은 이렇게 말했어요. "Opus 4.6의 에이전트 능력 덕분에 AI가 코드베이스를 단계별로 탐색하고, 각 컴포넌트의 동작을 테스트하며, 단서를 따라가요. 마치 주니어 보안 연구자가 하는 것처럼요 — 다만 훨씬 빠르게." 그는 이 도구가 보안 팀의 "포스 멀티플라이어"가 될 거라고 했어요.
실제로 Anthropic 내부에서 Opus 4.6을 사용해 프로덕션 오픈소스 프로젝트를 스캔했더니, 수십 년간 전문가 리뷰에도 발견되지 않았던 고위험 취약점 500개 이상이 나왔어요. 메모리 손상, 인젝션 취약점, 인증 우회, 복잡한 로직 오류 등이었는데요 — 이 버그들은 현재 오픈소스 유지보수자들에게 책임 있는 공개(Responsible Disclosure) 절차를 밟고 있대요.
핵심 포인트
Claude Code Security는 절대 자동으로 패치를 적용하지 않아요. 모든 발견 사항은 다단계 검증을 거친 뒤, 심각도 등급과 신뢰도 점수와 함께 대시보드에 표시돼요. 개발자가 직접 확인하고 승인해야만 수정이 적용되는 구조예요.
현재는 Enterprise와 Team 고객 대상 리서치 프리뷰로 제공 중이고, 오픈소스 저장소 유지보수자에게는 무료 우선 액세스를 제공하고 있어요.
뭐가 달라지는 건데?
보안 도구 시장의 판이 바뀌고 있어요. 기존 정적 분석 도구와 Claude Code Security를 비교해볼게요.
| 기존 정적 분석 도구 | Claude Code Security | |
|---|---|---|
| 탐지 방식 | 알려진 패턴 룰 매칭 | AI가 코드를 읽고 추론 |
| 탐지 범위 | 일반적 취약점 (SQL 인젝션, XSS 등) | 비즈니스 로직 오류, 인증 우회 등 복잡한 취약점까지 |
| 오탐지(False Positive) | 많음 → 분석가 피로 유발 | 다단계 자가 검증으로 필터링 |
| 결과 설명 | 룰 ID + 위치 정보 | 자연어 설명 + 패치 제안 |
| 적용 방식 | 수동 패치 작성 | AI 패치 제안 → 사람이 승인 |
시장의 반응은 즉각적이었어요. 발표 당일인 2월 20일, 사이버보안 주식이 일제히 폭락했거든요.
| 종목 | 하락폭 | 비고 |
|---|---|---|
| SailPoint | -9.4% | ID 보안 |
| Okta | -9.2% | 인증/ID 관리 |
| Cloudflare | -8.1% | 웹 보안/CDN |
| CrowdStrike | -8.0% | 엔드포인트 보안 |
| Zscaler | -5.5% | 클라우드 보안 |
| Palo Alto Networks | -1.5% | 네트워크 보안 |
| BUG ETF | -4.9% | 글로벌 사이버보안 ETF, 2023년 11월 이후 최저 |
Benzinga에 따르면, 시장의 핵심 우려는 이거예요 — AI가 '보조 도구'에서 '전문 보안 소프트웨어의 직접적 대체재'로 진화하고 있다는 것. 레거시 보안 업체들의 장기 가격 결정력에 대한 의구심이 커지고 있어요.
이건 Anthropic이 올해 두 번째로 일으킨 기업 소프트웨어 업계 셀오프(sell-off)예요. 첫 번째는 1월 말 Claude Cowork 플러그인 출시 때였고요. 경쟁사인 OpenAI도 2025년 10월에 'Aardvark'라는 유사한 자동화 보안 도구를 출시한 바 있어요. Aardvark는 격리된 샌드박스에서 취약점을 테스트해 해커가 악용하기 얼마나 어려운지까지 추정하는 기능을 갖추고 있어요.
정리하면, "AI가 보안 엔지니어가 하는 일을 할 수 있다면, 보안 소프트웨어를 파는 회사들은 문제가 생긴다"는 게 시장의 판단이에요. 양쪽 AI 기업 모두 CI/CD 파이프라인과의 통합을 예고하고 있어서, 기존 보안 벤더들의 핵심 영역까지 침투할 가능성이 높아요.
핵심만 정리: 시작하는 법
현재 리서치 프리뷰 단계라 대기가 있을 수 있지만, 흐름을 미리 알아두세요.
- 플랜 확인
Claude Enterprise 또는 Team 플랜이 필요해요. 오픈소스 프로젝트 유지보수자라면 무료 우선 액세스를 신청할 수 있어요. - 액세스 신청
claude.com/contact-sales/security 에서 리서치 프리뷰를 신청해요. Anthropic 팀과 직접 협업하며 도구를 다듬어가는 구조예요. - GitHub 저장소 연결
Claude Code Security에 스캔할 GitHub 저장소를 연결하고, AI에게 코드 보안 검토를 요청해요. - 대시보드에서 결과 확인
발견된 취약점이 심각도 등급, 자연어 설명, 신뢰도 점수와 함께 표시돼요. 우선순위대로 처리하면 돼요. - 패치 검토 & 승인
"Suggest Fix" 버튼으로 AI가 제안한 패치를 확인하고, 문제없으면 승인. 모든 수정은 사람의 최종 승인이 필수예요.
주의
현재 리서치 프리뷰 단계예요. 아직 CI/CD 파이프라인 통합은 미지원이고, 가용성이 제한적이에요. 본격 도입보다는 평가와 피드백 목적으로 접근하는 게 맞아요.
