Anthropic이 Claude Code에 내장된 새로운 보안 기능 ‘Claude Code Security’를 출시했다. 이 도구는 코드베이스의 보안 취약점을 스캔하고 인간 검토를 위한 맞춤형 소프트웨어 패치를 제안한다.
보안 전문가 부족 현실에 도전
보안 팀이 직면한 가장 큰 도전은 소프트웨어 취약점이 너무 많은 반면, 이를 해결할 사람이 부족하다는 점이다. 기존 분석 도구들이 도움이 되기는 하지만, 주로 알려진 패턴을 찾는 데 그친다. 공격자들이 자주 악용하는 미묘하고 맥락에 의존하는 취약점을 발견하려면 전문 인력이 필요하지만, 이들의 업무량은 갈수록 증가하고 있다.
AI가 이러한 현실을 바꾸기 시작했다. Anthropic은 최근 Claude가 새로 발견된 심각한 취약점을 탐지할 수 있음을 입증했다. 그러나 방어자에게 취약점 발견과 수정을 돕는 동일한 역량이 공격자에게 악용될 수도 있다는 점을 인식하고 있다.
Claude Code Security는 이러한 힘을 방어자 측에 집중시키고, 새로운 범주의 AI 기반 공격으로부터 코드를 보호하기 위해 설계되었다. 기능성을 미세 조정하고 책임감 있게 배포하기 위해 기업 및 팀 고객에게 제한된 리서치 프리뷰로 제공되며, 오픈소스 저장소 관리자에게는 우선 접근 권한을 부여한다.
Claude Code Security 작동 원리
정적 분석은 널리 배포된 자동화된 보안 테스트 형식이며, 일반적으로 규칙 기반으로 알려진 취약점 패턴과 코드를 매칭한다. 이는 노출된 비밀번호나 오래된 암호화와 같은 일반적인 문제를 발견하지만, 비즈니스 논리 결함이나 접근 제어 문제와 같은 더 복잡한 취약점을 자주 놓친다.
Claude Code Security는 알려진 패턴을 스캔하는 대신, 인간 보안 연구자가 코드를 읽고 추론한다. 구성 요소 간의 상호작용을 이해하고, 애플리케이션을 통한 데이터 흐름을 추적하며, 규칙 기반 도구들이 놓치는 복잡한 취약점을 발견한다.
모든 발견 사항은 분석가에게 도달하기 전에 다단계 검증 프로세스를 거친다. Claude는 각 결과를 다시 검토하여 자체 발견을 증명하거나 반박하려고 시도하고, 오탐을 필터링한다. 발견 사항에는 심각도 등급이 부여되어 팀이 가장 중요한 수정 사항에 집중할 수 있다.
검증된 발견 사항은 Claude Code Security 대시보드에 표시되며, 팀은 이를 검토하고 제안된 패치를 검사하며 수정을 승인할 수 있다. 이러한 문제는 소스 코드만으로는 평가하기 어려운 뉘앙스를 자주 포함하기에, Claude는 각 발견 사항에 대한 신뢰도 등급도 제공한다. 인간 승인 없이는 아무것도 적용되지 않는다. Claude Code Security는 문제를 식별하고 솔루션을 제안하지만, 개발자가 항상 최종 결정을 내린다.
사이버보안을 위한 Claude 활용
Claude Code Security는 Claude의 사이버보안 역량에 대한 1년 이상의 연구를 기반으로 구축되었다. Anthropic의 프론티어 레드 팀은 이러한 역량을 체계적으로 스트레스 테스트해왔다. 경쟁적인 CTF(Capture-the-Flag) 이벤트에 Claude를 참가시키고, Pacific Northwest National Laboratory와 AI를 활용하여 중요한 인프라를 방어하는 실험을 수행했으며, 실제 코드에서 취약점을 발견하고 패치하는 Claude의 역량을 개선해왔다.
그 결과 Claude의 사이버방어 역량이 크게 향상되었다. 이번 달 초에 출시된 Claude Opus 4.6을 활용하여 Anthropic 팀은 프로덕션 오픈소스 코드베이스에서 500개 이상의 취약점을 발견했다. 이들은 수십 년 동안 탐지되지 못한 버그로, 수년간의 전문가 검토에도 불구하고 발견되지 않았던 것들이다. 현재 관리자와 협력하여 트라이아지와 책임 있는 공개를 진행 중이며, 오픈소스 커뮤니티와 보안 작업을 확대할 계획이라고 밝혔다.
Anthropic은 자체 코드 검토에도 Claude를 사용하며, Anthropic 시스템 보안을 위해 매우 효과적임을 입증했다. Claude Code Security는 이러한 동일한 방어 기능을 더 광범위하게 제공하기 위해 구축되었으며, Claude Code 기반으로 구축되었기에 팀은 이미 사용 중인 도구 내에서 발견 사항을 검토하고 수정 사항을 반복할 수 있다.
향후 전망
지금은 사이버보안의 중대한 전환점이다. 모델이 숨겨진 버그와 보안 문제를 발견하는 데 얼마나 효과적인지 고려할 때, 향후 세계 코드의 상당 부분이 AI로 스캔될 것으로 예상된다.
공격자는 이전보다 훨씬 빠르게 악용 가능한 취약점을 찾기 위해 AI를 사용할 것이다. 그러나 방어자가 신속하게 행동하면 동일한 취약점을 발견하고, 패치하고, 공격 위험을 줄일 수 있다. Claude Code Security는 더 안전한 코드베이스와 업계 전반의 더 높은 보안 기준이라는 목표를 향한 한 걸음이다.
시작하는 방법
오늘부터 Claude Code Security의 제한된 리서치 프리뷰를 기업 및 팀 고객에게 제공한다. 참여자는 조기 접근 권한을 얻고, 도구의 기능성을 미세 조정하기 위해 Anthropic 팀과 직접 협력할 수 있다. 무료 우선 접근 권한을 신청할 수도 있다.
더 자세한 내용은 Anthropic 공식 웹사이트에서 확인할 수 있다.