보안주 하루 새 20조 증발… AI가 보안 기업 대체하나 [클로드 코드 시큐리티①] 작성일 02-27 35 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">진화된 에이전트형 도구지만 코드 보안 분야에 한정돼</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="fAxG78rNJ8"> <p contents-hash="06a98e761250d19dc1b21fdb51fcfd9d8a7da370e935ed6a774b6004a54d403d" dmcf-pid="4MqmGUnQR4" dmcf-ptype="general">앤트로픽이 지난 20일 코드 보안 점검 도구 '클로드 코드 시큐리티(Claude Code Security)'를 발표하자 글로벌 보안주가 즉각 출렁였다. 크라우드스트라이크와 옥타, 클라우드플레어 등 주요 종목이 하루 새 5~9% 하락했고, 사이버 보안 상장지수펀드(ETF)인 BUG도 4.9% 떨어졌다. 단 하루 만에 약 100억~150억달러(약 13조~20조원) 규모의 시가총액이 증발했다는 추정이 제기됐다.</p> <div contents-hash="2556b90e0cff146fb9c47c699eebdc2a2ec2c9cb87f899870b793cd10753590e" dmcf-pid="8RBsHuLxMf" dmcf-ptype="general"> 시장에서는 "인공지능(AI)이 보안 기업의 역할을 상당 부분 대체하는 것 아니냐"는 해석이 빠르게 확산됐다. 그러나 도구의 실제 기능과 적용 범위를 들여다보면, 클로드 코드 시큐리티는 보안 산업 전반을 겨냥한 범용 플랫폼이라기보다 '코드 보안' 영역의 고도화된 AI 도구에 가깝다는 평가가 나온다. </div> <figure class="figure_frm origin_fig" contents-hash="168a8d7765763969381d357c59b2eab675ed6c18eb052fbd4fb8e8517f368735" data-idxno="437728" data-type="photo" dmcf-pid="6ebOX7oMJV" dmcf-ptype="figure"> <p class="link_figure"><img alt="앤트로픽이 2월 20일 '클로드 코드 시큐리티(Claude Code Security)'를 발표했다. / 클로드 홈페이지 갈무리" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/27/552810-SDi8XcZ/20260227070004525ygxq.jpg" data-org-width="1280" dmcf-mid="VWj7PoYCJ6" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/27/552810-SDi8XcZ/20260227070004525ygxq.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 앤트로픽이 2월 20일 '클로드 코드 시큐리티(Claude Code Security)'를 발표했다. / 클로드 홈페이지 갈무리 </figcaption> </figure> <p contents-hash="075050c8a51b24922c325f4ef67f57dfb29628348abd90c1e5e950f340b725f3" dmcf-pid="PdKIZzgRL2" dmcf-ptype="general"><strong>SAST·DAST 넘어선 '에이전트형' 분석</strong></p> <p contents-hash="98433f87e4e8c47bc9d3531594f1c2e91b2bfeca2c3515bf3bf7a303a230a185" dmcf-pid="QJ9C5qaeL9" dmcf-ptype="general">클로드 코드 시큐리티는 기존 정적분석(SAST), 동적분석(DAST) 도구와는 접근 방식이 다르다. 사전에 정의된 취약점 패턴을 대조하는 데 그치지 않고, 프로그램의 처리 흐름과 모듈 간 상호작용, 업무 규칙에 맞지 않는 동작까지 추론한다고 앤트로픽은 설명한다.</p> <p contents-hash="5c9ba7eb50ee234e4a09887c102e69da0d94ca067fe0c8528e46930ef13fdd89" dmcf-pid="xi2h1BNdJK" dmcf-ptype="general">취약점을 발견하면 별도 AI가 공격자 관점에서 이를 재검증하고, 심각도와 신뢰도를 평가한 뒤 구체적인 수정 코드까지 제안한다. 단순 탐지 도구를 넘어 스스로 업무를 수행하는 '에이전트형(Agentic)' 성격을 갖췄다는 점이 핵심이다.</p> <p contents-hash="ecd322dee87f9bed8c028e70e7a25f8ea352b41bc7d331f456a5f05056b748d6" dmcf-pid="yZO4Lw0HLb" dmcf-ptype="general">개발 환경과의 연계도 특징이다. 깃허브와 같은 개발 플랫폼과 연동해 코드 변경 요청(Pull Request)이 등록될 때마다 자동으로 보안 검토를 수행하고, 문제 지점과 수정 방향을 댓글 형태로 제시한다. 개발 공정(Pipeline) 안에 상주하는 보안 담당자가 하나 더 생긴 것과 유사한 구조다.</p> <p contents-hash="a4ac911c064ad664b5194b7633ceb0f0cb3f54e08f07c31b78cb4e2c6b06874c" dmcf-pid="W5I8orpXeB" dmcf-ptype="general">앤트로픽은 외부 연구자들과 함께 오픈소스 라이브러리를 분석한 결과, 수십 년간 사람과 기존 도구가 발견하지 못했던 500건 이상의 심각한 취약점을 찾아냈다고 밝혔다. 이는 AI 기반 코드 분석의 잠재력을 보여주는 사례로 평가된다.</p> <p contents-hash="93234dcb53260341ab98ca9035c51732b0aa6c0497fc520ba3b269e0856aa109" dmcf-pid="Y1C6gmUZLq" dmcf-ptype="general"><strong>오탐과 '사람의 개입'이라는 현실</strong></p> <p contents-hash="65b85d66561a4b20a9fc41f7de5f4e1ebd0ba64fc855f55096f37e31954d8edc" dmcf-pid="GthPasu5iz" dmcf-ptype="general">다만 사람의 역할이 완전히 사라지는 단계는 아니라는 지적도 나온다. 셈그렙(Semgrep)이 클로드 코드 시큐리티 발표 전 버전을 이용해, 지난해 11월 웹 애플리케이션 11종을 대상으로 진행한 실험에서는 클로드 코드 에이전트를 활용해 실제 취약점 46건을 찾아냈다. 하지만 이 가운데 정확히 위험을 짚어낸 비율은 14%에 그쳤고 86%는 오탐으로 판정됐다.</p> <p contents-hash="e3a94681d8558f4f8713e1149619c56a814f6aae0bd44f80bb3d3f66981cfbc8" dmcf-pid="H0vMACqFL7" dmcf-ptype="general">앤트로픽 역시 이번에 클로드 코드 시큐리티를 발표하면서 자동으로 제안된 수정은 반드시 사람이 검토해야 한다는 'HITL(Human-in-the-Loop)' 설계 원칙을 공개적으로 밝히고 있다. 아직까지 클로드 코드 시큐리티가 사람을 대체하는 완전 자동 보안 시스템이라기보다, 코드 보안 점검을 지원하는 AI 보조 연구자에 가깝다는 평가가 나오는 배경이다.</p> <p contents-hash="adaebaa7838ede92df4887c19cd7be513c5f515d123f2c5758e17f12d9e9479c" dmcf-pid="XpTRchB3iu" dmcf-ptype="general"><strong>영향 범위는 '코드 보안' 일부</strong></p> <p contents-hash="1be5f2b2bc051559a6338562b27094264a9f397d541c513c0e3e8aacf8846f3c" dmcf-pid="ZUyeklb0MU" dmcf-ptype="general">보안 시장은 단말 침입 탐지·대응, 네트워크·인터넷 접속 보호, 클라우드 보안, 계정·권한 관리, 데이터 보호, 애플리케이션 보안 등 여러 층위로 구성된다. 클로드 코드 시큐리티가 직접 겨냥하는 영역은 이 가운데 애플리케이션 보안, 특히 개발 단계의 코드 점검과 구성 요소 분석(SCA), 애플리케이션 보안 형상 관리(ASPM) 일부에 가깝다.</p> <p contents-hash="cb5185bd5b7ba602c2e8bb558619b130466779d58a83b68050e3efd0d4028c14" dmcf-pid="5uWdESKpdp" dmcf-ptype="general">코드 점검 결과는 다른 보안 영역에서 참고 자료로 활용될 수는 있지만, 단말 악성행위 탐지나 네트워크 차단, 계정 통제와 같은 런타임(Runtime) 보안 기능을 대체하는 구조는 아니다.</p> <p contents-hash="07402f1c56355aa8cc3efd2ce38ed466e12fbbe8180cc6b970f5887321a00bba" dmcf-pid="17YJDv9UM0" dmcf-ptype="general">클로드 코드 시큐리티는 코드 보안 점검 기술의 진화를 상징하는 사건임은 분명하다. 다만 기술적 진전이 곧바로 보안 산업 전반의 대체로 이어진다고 단정하기에는, 적용 범위와 한계 역시 분명하다는 평가가 함께 제기되고 있다.</p> <p contents-hash="faf2c790ce4a179de245160158ae6dcc44c55668ed5a5b33c75a654cb4e21ad1" dmcf-pid="tzGiwT2ue3" dmcf-ptype="general">보안 업계 한 관계자는 "코드가 안전해진다고 해서 보안 리스크가 사라지는 것은 아니다"라며 "실제 침해사고의 상당수는 계정 탈취, 설정 오류, 사회공학 기법 등 운영 단계에서 발생한다"고 말했다. 이어 "개발 단계 보안은 분명 중요하지만, 런타임 환경에서의 탐지·대응 역량과는 결이 다르다"고 덧붙였다.</p> <p contents-hash="0420845912a0afb6ee04b85812917cbe44295d494822f435ab67ccacfea7e3e1" dmcf-pid="FqHnryV7LF" dmcf-ptype="general">정종길 기자<br>jk2@chosunbiz.com</p> </section> </div> <p class="" data-translation="true">Copyright © IT조선. 무단전재 및 재배포 금지.</p> 관련자료 이전 “이래라저래라 하지마” BTS 정국, 방송 도중 손가락 욕설 02-27 다음 “AI가 대신 못할 아티스트 손맛” 엑스피펜 타블렛 2선 [2026 기대주] 02-27 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
