앤트로픽, AI 기반 보안 취약점 탐지 도구 '클로드 코드 시큐리티' 출시...방어자 역량 강화 나서

엔터프라이즈·팀 고객 대상 제한 프리뷰 공개, 오픈소스 관리자도 신청 가능

[한국정보기술신문] AI 기업 앤트로픽이 2026년 2월 20일, 소프트웨어 보안 취약점을 자동으로 탐지하고 패치를 제안하는 새로운 도구인 '클로드 코드 시큐리티(Claude Code Security)'를 발표했다. 이 기능은 클로드 코드 웹 버전에 내장되며, 현재 엔터프라이즈 및 팀 고객을 대상으로 제한적인 연구 프리뷰 형태로 제공되고 있다.

기존 정적 분석 도구의 한계를 넘다

기존의 보안 분석 도구들은 알려진 패턴을 기준으로 코드를 검사하는 정적 분석 방식에 의존해왔다. 이는 노출된 패스워드나 오래된 암호화 방식 같은 일반적인 취약점은 잡아낼 수 있지만, 비즈니스 로직 결함이나 잘못된 접근 제어처럼 맥락에 따라 다르게 나타나는 복잡한 취약점은 놓치는 경우가 많았다.

클로드 코드 시큐리티는 이러한 한계를 극복하기 위해 사람 보안 연구자처럼 코드를 읽고 추론하는 방식을 택한다. 각 컴포넌트가 어떻게 상호작용하는지, 데이터가 애플리케이션 내에서 어떻게 흐르는지를 이해하고, 기존 도구가 놓쳤던 복잡한 취약점을 탐지한다.

탐지된 결과는 분석가에게 전달되기 전 다단계 검증 과정을 거친다. 클로드는 각 결과를 재검토해 오탐을 걸러내고, 심각도 등급을 매겨 팀이 가장 중요한 수정 작업부터 집중할 수 있도록 돕는다. 최종적으로 검증된 결과는 대시보드에 표시되며, 개발팀은 이를 검토한 뒤 패치 적용 여부를 직접 결정한다. 모든 수정 작업은 사람의 승인 없이는 자동으로 적용되지 않는다.

1년 이상의 연구 성과를 집약

앤트로픽은 1년 이상에 걸친 사이버보안 역량 연구를 이번 도구에 녹여냈다고 밝혔다. 앤트로픽의 프론티어 레드팀은 경쟁형 보안 대회인 CTF 참가, 태평양 북서국립연구소와의 협력을 통한 핵심 인프라 방어 실험 등을 통해 클로드의 사이버 방어 능력을 체계적으로 검증하고 개선해왔다.

특히 이달 초 출시된 클로드 오퍼스 4.6을 활용한 연구에서 팀은 실제 서비스 중인 오픈소스 코드베이스에서 수십 년간 발견되지 않았던 취약점 500개 이상을 탐지하는 데 성공했다. 현재 앤트로픽은 해당 취약점의 트리아지 및 책임 있는 공개 절차를 관련 유지관리자들과 함께 진행하고 있다.

AI가 공격과 방어 모두에 활용될 수 있다는 점 직시

앤트로픽은 AI의 사이버보안 역량이 공격자와 방어자 모두에게 활용될 수 있다는 점을 명확히 인식하고 있다. 회사 측은 클로드 코드 시큐리티가 이 강력한 능력을 방어자의 손에 온전히 쥐여주기 위해 설계되었다고 강조했다.

이를 위해 앤트로픽은 이번 도구를 엔터프라이즈 및 팀 고객에게 우선 공개하되, 오픈소스 저장소 관리자에게는 무료로 신속한 접근을 제공하는 방식을 택했다. 기업들이 먼저 도구를 사용하면서 피드백을 제공하면, 앤트로픽이 이를 바탕으로 기능을 개선하고 책임 있는 배포 방식을 함께 확립해나가겠다는 계획이다.

향후 전망

앤트로픽은 가까운 미래에 세계 코드의 상당 부분이 AI에 의해 보안 검사를 받게 될 것이라고 전망하며, 이 시기를 사이버보안에 있어 중요한 전환점으로 규정했다. 공격자가 AI를 이용해 취약점을 더 빠르게 찾아낼수록, 방어자 역시 AI를 활용해 먼저 취약점을 발견하고 패치하는 것이 중요해진다는 논리다.

클로드 코드 시큐리티는 클로드 코드를 기반으로 구축되어 있어, 개발팀이 기존에 사용하던 도구 안에서 취약점 탐지 결과를 확인하고 수정 작업을 이어나갈 수 있다. 접근 신청은 claude.com/contact-sales/security에서 할 수 있으며, 자세한 내용은 claude.com/solutions/claude-code-security에서 확인할 수 있다.

한국정보기술신문 정보보안분과 오상진 기자 news@kitpa.org