Anthropic, AI 기반 취약점 스캐닝 위한 Claude Code Security 출시

인공지능 기업 Anthropic이 새로운 보안 도구인 Claude Code Security를 출시했습니다. 이 도구는 Claude Code에 기본으로 내장되어 있으며, 현재 제한된 형태의 연구 프리뷰로 제공되고 있습니다.

Claude Code Security는 코드베이스를 자동으로 검사하여 보안 취약점을 찾고, 개발자가 직접 검토할 수 있는 맞춤형 수정 프로그램을 권장합니다. 이를 통해 기존 방법으로는 발견하기 어려웠던 보안 문제들을 찾아내고 해결할 수 있게 됩니다.

보안팀이 겪는 어려움

현재 많은 보안팀들이 심각한 인력 부족 문제를 안고 있습니다. 소프트웨어 취약점이 계속해서 늘어나는 반면, 이를 처리할 전문 인력은 턱없이 부족한 상황입니다. 기존에 사용하던 분석 도구들은 어느 정도 도움이 되지만, 주로 알려진 패턴만을 탐지하는 데 그칠 뿐입니다. 공격자들이 자주 악용하는 복잡하고 상황마다 다른 취약점을 발견하려면 경험 많은 보안 전문가가 필요하지만, 이 전문가들은 점점 커지는 업무량에 시달리고 있습니다.

인공지능이 이러한 상황을 바꾸고 있습니다. 최근 연구에서 클로드가 새로 나타난 심각한 취약점을 탐지할 수 있음이 입증되었습니다. 하지만 방어자를 돕는 동일한 기술이 공격자에게 악용될 가능성도 있습니다.

Claude Code Security의 작동 방식

정적 분석은 자동화된 보안 테스트의 일반적인 형태로, 알려진 취약점 패턴과 코드를 비교하는 방식입니다. 이는 비밀번호 노출이나 구버전 암호화 같은 일반적인 문제는 잡낼 수 있지만, 비즈니스 로직 결함이나 접근 통제 실패처럼 더 복잡한 취약점은 놓치기가 쉽습니다.

Claude Code Security는 단순히 규칙을 스캔하는 대신, 인간 보안 연구자가 코드를 읽고 이해하는 방식처럼 동작합니다. 구성 요소가 서로 어떻게 연결되어 있는지 이해하고, 애플리케이션 내에서 데이터가 어떻게 흐르는지 추적하며, 기존 규칙 기반 도구들이 감지하지 못하는 복잡한 취약점을 발견합니다.

모든 발견 사항은 분석가에게 전달되기 전에 여러 단계의 검증 과정을 거칩니다. 클로드는 각 결과를 다시 검토하여 자신의 발견을 확인하거나 반박하려 하고, 잘못된 경고를 걸러냅니다. 발견 사항마다 심각도 등급이 주어져 팀이 가장 중요한 수정 사항에 먼저 집중할 수 있습니다.

검증된 발견 사항은 Claude Code Security 대시보드에 표시되며, 팀은 권장되는 수정 프로그램을 검토하고 수정을 승인할 수 있습니다. 이러한 문제는 소스 코드만으로 평가하기 어려운 복잡한 뉘앙스를 포함하는 경우가 많기 때문에, 클로드는 각 발견 사항에 대한 신뢰도 등급도 제공합니다. 무엇이든 인간의 승인 없이 자동으로 적용되지는 않습니다. Claude Code Security는 문제를 찾아 해결책을 제안하지만, 최종 결정은 개발자가 내립니다.

사이버보안을 위한 클로드 활용

Claude Code Security는 클로드의 사이버보안 역량에 대한 1년 이상의 연구를 바탕으로 만들어졌습니다. Anthropic의 프론티어{red} 팀은 이러한 역량을 체계적으로 테스트해왔습니다. 클로드를 경쟁적인 캡쳐더플래그 이벤트에 참가시키고, 국립 연구소와 협력하여 인공지능을 활용하여 중요 시설을 방어하는 실험을 수행했으며, 실제 코드에서 취약점을 찾고 수정하는 클로드의 능력을 개선해왔습니다.

그 결과 클로드의 사이버방어 능력이 크게 향상되었습니다. 이번 달 초에 출시된 Claude Opus 4.6을 사용하여 팀은 실제 운영 중인 오픈소스 코드베이스에서 500개 이상의 취약점을 발견했습니다. 이러한 버그는 수년에 걸친 전문가 검토에도 불구하고 수십 년 동안 감지되지 않았던 것들입니다. 현재 유지 관리자와 함께 발견 사항의 분류와 책임 있는 공개를 위한 작업을 진행하고 있으며, 앞으로 오픈소스 커뮤니티와 함께 보안 작업을 더욱 확대할 계획입니다.

Anthropic은 자체 코드 검토에도 클로드를 사용하고 있으며, Anthropic 시스템을 보호하는 데 매우 효과적임을 입증했습니다. Claude Code Security는 동일한 방어 기능을 보다 널리 제공하기 위해 만들어졌습니다. Claude Code를 기반으로 하기 때문에 팀은 이미 사용 중인 도구 내에서 발견 사항을 검토하고 수정 작업을 진행할 수 있습니다.

앞으로의 방향

지금은 사이버보안의 중대한 전환기에 놓여 있습니다. 인공지능 모델이 숨겨진 버그와 보안 문제를 발견하는 데 점점 더 능해지고 있어서, 가까운 미래에 세계의 상당한 코드가 인공지능으로 검사될 것으로 예상됩니다.

공격자는 인공지능을 사용하여 이전보다 훨씬 빠르게 악용 가능한 약점을 발견할 것입니다. 하지만 빠르게 대응하는 방어자는 동일한 약점을 찾아 수정하고 공격 위험을 줄일 수 있습니다. Claude Code Security는 보다 안전한 코드베이스와 업계 전체의 더 높은 보안 수준이라는 목표를 향한 한 걸음입니다.

시작하는 방법

오늘부터 Claude Code Security의 제한된 연구 프리뷰를 Enterprise 및 Team 고객에게 제공합니다. 참여자들은 먼저 접근 권한을 받고 도구의 기능을 개선하기 위해 Anthropic 팀과 직접 협력할 수 있습니다. 또한 오픈소스 프로젝트 유지 관리자도 무료로 신속한 접근을 신청할 것을 권장합니다.