[인공지능신문] 앤트로픽, AI 기반 취약점 탐지 전면화…‘클로드 코드 시큐리티’ 공개

앤트로픽(Anthropic)이 자사 인공지능(AI) 모델을 활용한 코드 보안 분석 기능 ‘클로드 코드 시큐리티(Claude Code Security)’를 제한적 연구 프리뷰 형태로 공개했다. 이번 기능은 웹 기반 개발 환경인 ‘클로드 코드(Claude Code)’에 통합돼, 코드베이스 전반의 보안 취약점을 탐지하고 수정 패치를 제안하는 것이 핵심이다.

앤트로픽은 20일(현지시간) 발표를 통해 “기존 정적 분석 도구(static analysis)가 놓치는 맥락 기반 취약점까지 AI가 추론 기반으로 탐지할 수 있다”고 밝혔다.

“규칙 기반을 넘어, 사람처럼 읽고 추론한다”

현재 보안팀이 직면한 가장 큰 문제는 ‘취약점은 많고, 이를 해결할 인력은 부족하다’는 점이다. 기존 자동화 보안 점검 도구는 알려진 취약 패턴을 기준으로 코드를 스캔하는 규칙 기반 방식이 대부분이다. 이로 인해 노출된 비밀번호, 오래된 암호화 방식 등은 비교적 쉽게 잡아낼 수 있지만, 비즈니스 로직 오류나 접근 제어 결함처럼 복합적이고 맥락 의존적인 취약점은 놓치기 쉽다.

클로드 코드 시큐리티는 이러한 한계를 보완한다. 단순히 패턴을 대조하는 대신, 코드 구성 요소 간 상호작용을 이해하고 데이터 흐름을 추적하며, 사람 보안 연구자처럼 코드 전체 맥락을 읽고 추론한다는 설명이다.

발견된 취약점은 다단계 검증 과정을 거친다. 클로드는 스스로 탐지 결과를 재검증하며 오탐(false positive)을 줄이고, 심각도(severity) 등급을 부여해 우선순위를 제시한다. 최종 결과는 대시보드에 표시되며, 개발자가 제안된 패치를 검토하고 승인해야만 적용된다. AI가 문제를 제안하지만, 최종 결정은 인간 개발자가 내리는 구조다.

‘프런티어 모델’ 기반 사이버 방어 역량 확장

이번 기능은 앤트로픽이 지난 1년간 축적해온 사이버 보안 연구의 연장선상에 있다. 회사의 프런티어 레드팀(Frontier Red Team)은 캡처 더 플래그(Capture-the-Flag) 대회 참가, 태평양북서부국립연구소(Pacific Northwest National Laboratory)와의 협력 실험 등을 통해 AI의 방어 역량을 시험해 왔다.

특히, 이달 초 공개된 클로드 오퍼스 4.6(Claude Opus 4.6)을 활용해 500건이 넘는 오픈소스 프로덕션 코드 취약점을 발견했다고 밝혔다. 이 중 일부는 수십 년간 전문가 검토를 거쳤음에도 발견되지 않았던 버그로, 현재 유지관리자들과 함께 책임 있는 공개(responsible disclosure) 절차를 진행 중이다.

앤트로픽은 자사 내부 코드 리뷰에도 클로드를 활용하고 있으며, 이를 통해 시스템 보안 수준을 크게 강화했다고 설명했다. 클로드 코드 시큐리티는 이러한 내부 방어 역량을 외부 기업과 오픈소스 커뮤니티에 확장하기 위한 시도다.

“공격자도 AI를 쓴다”… 방어 주도권 경쟁 본격화

앤트로픽은 인공지능이 보안 환경을 근본적으로 바꾸고 있다고 진단한다. 향후 전 세계 코드의 상당 부분이 AI에 의해 스캔될 가능성이 높으며, 공격자 역시 AI를 활용해 취약점을 빠르게 찾을 것으로 예상된다.

문제는 속도다. 공격자가 AI를 활용해 취약점을 선점하기 전에, 방어자가 먼저 발견하고 패치할 수 있느냐가 관건이라는 것이다. 클로드 코드 시큐리티는 이러한 ‘AI 대 AI’ 보안 경쟁에서 방어 측의 역량을 강화하는 도구로 설계됐다.

현재 클로드 코드 시큐리티는 엔터프라이즈 및 팀 고객을 대상으로 제한적 연구 프리뷰(보기)로 제공된다. 오픈소스 저장소 유지관리자에게는 무료·신속 접근 프로그램도 운영한다. 

앤트로픽은 “보안은 단일 기업이 해결할 수 있는 문제가 아니다”며 “책임 있는 배포와 생태계 협력을 통해 산업 전반의 보안 기준을 끌어올리는 것이 목표”라고 밝혔다.

AI가 공격과 방어 양측의 도구가 되는 시대, 코드 보안의 주도권을 둘러싼 경쟁이 본격화되고 있다. 클로드 코드 시큐리티는 그 분기점에서 등장한 ‘프런티어 AI 기반 보안 플랫폼’으로 평가된다.