주가가 9% 빠졌다는 헤드라인은 사실 가장 안 중요한 부분이에요. 진짜 뉴스는 따로 있어요. AI가, 수십 년 동안 수많은 전문가가 눈으로 훑고도 못 잡아낸 보안 취약점 500개 이상을 찾아냈다는 것. 그것도 사람이 코드를 읽듯 "추론"해서요.
그래서 발표 다음 날, 사이버보안 주식이 일제히 무너졌어요. 시장은 단순한 신제품이 아니라 "보안 엔지니어가 하던 일을 AI가 대신할 수 있다면, 보안 소프트웨어를 파는 회사는 어떻게 되나"라는 질문에 베팅한 거예요. 이 글은 그 질문을 당신의 자리에서 다시 던져요 — 코드를 짜는 사람이든, 보안 도구에 돈을 쓰는 사람이든.
"룰 대조"에서 "코드 읽기"로 — 이게 진짜 전환점이에요
기존 보안 도구의 한계를 한 문장으로 요약하면 이래요. 아는 것만 잡는다. 정적 분석(Static Analysis) 도구들은 알려진 취약점 패턴을 데이터베이스에 모아두고, 코드를 그 패턴과 하나씩 대조해요. 노출된 비밀번호, 낡은 암호화 같은 흔한 문제는 잘 잡죠. 하지만 비즈니스 로직 오류나 인증 우회처럼 "맥락을 이해해야 보이는" 취약점은 번번이 놓쳤어요. 패턴 목록에 없으니까요.
2026년 2월 20일 발표된 Claude Code Security의 발상은 정반대예요. "인간 보안 연구자가 코드를 읽듯이 추론한다." 컴포넌트끼리 어떻게 상호작용하는지 이해하고, 데이터가 애플리케이션을 통해 어디로 흐르는지 추적하면서, 룰 목록엔 없던 맥락 의존적 취약점을 잡아내요.
"Opus 4.6의 에이전트 능력 덕분에 AI가 코드베이스를 단계별로 탐색하고, 각 컴포넌트를 테스트하며, 단서를 따라가요. 주니어 보안 연구자가 하는 것처럼요 — 다만 훨씬 빠르게." — Logan Graham, Anthropic Frontier Red Team 리더
말로만 그런 게 아니에요. Anthropic 내부에서 Opus 4.6으로 프로덕션 오픈소스 프로젝트를 스캔했더니, 수십 년간 전문가 리뷰를 통과했던 고위험 취약점이 500개 넘게 쏟아졌어요. 메모리 손상, 인젝션, 인증 우회, 복잡한 로직 오류 — 지금은 오픈소스 유지보수자들에게 책임 있는 공개(Responsible Disclosure) 절차를 밟는 중이고요.
오해 주의 — 자동으로 고치지 않아요
Claude Code Security는 절대 스스로 패치를 적용하지 않아요. 모든 발견은 다단계 검증을 거친 뒤, 심각도 등급과 신뢰도 점수와 함께 대시보드에 표시돼요. 개발자가 직접 확인하고 승인해야만 수정이 적용돼요. "AI가 멋대로 코드 고치는 거 아냐?"라는 걱정은 접어두세요.
왜 시장이 그렇게 놀랐을까 — 한 장으로 보는 차이
주가가 빠진 이유는 이 표 하나면 이해돼요. 왼쪽이 지금 돈 내고 쓰는 도구, 오른쪽이 새로 등장한 접근법이에요.
| 기존 정적 분석 도구 | Claude Code Security | |
|---|---|---|
| 탐지 방식 | 알려진 패턴 룰 매칭 | AI가 코드를 읽고 추론 |
| 탐지 범위 | 일반적 취약점 (SQL 인젝션, XSS 등) | 비즈니스 로직 오류, 인증 우회 등 복잡한 취약점까지 |
| 오탐지(False Positive) | 많음 → 분석가 피로 유발 | 다단계 자가 검증으로 필터링 |
| 결과 설명 | 룰 ID + 위치 정보 | 자연어 설명 + 패치 제안 |
| 적용 방식 | 수동 패치 작성 | AI 패치 제안 → 사람이 승인 |
발표 당일, 시장은 곧장 반응했어요.
| 종목 | 하락폭 | 비고 |
|---|---|---|
| SailPoint | -9.4% | ID 보안 |
| Okta | -9.2% | 인증/ID 관리 |
| Cloudflare | -8.1% | 웹 보안/CDN |
| CrowdStrike | -8.0% | 엔드포인트 보안 |
| Zscaler | -5.5% | 클라우드 보안 |
| Palo Alto Networks | -1.5% | 네트워크 보안 |
| BUG ETF | -4.9% | 글로벌 사이버보안 ETF, 2023년 11월 이후 최저 |
Benzinga는 시장의 핵심 우려를 이렇게 짚었어요 — AI가 '보조 도구'에서 '전문 보안 소프트웨어의 직접적 대체재'로 진화하고 있다는 것. 레거시 보안 업체들의 장기 가격 결정력에 의구심이 커진 거죠. 이건 Anthropic이 올해 일으킨 두 번째 기업 소프트웨어 셀오프예요. 첫 번째는 1월 말 Claude Cowork 플러그인 때였고요. 경쟁사 OpenAI도 2025년 10월 'Aardvark'라는 자동화 보안 도구를 내놨는데, 격리된 샌드박스에서 취약점을 실제로 악용해보며 위험도를 추정하는 기능까지 갖췄어요. 양쪽 모두 CI/CD 파이프라인 통합을 예고하고 있어서, 기존 벤더의 핵심 영역까지 들어올 가능성이 높아요.
지금 당신 자리에서 할 수 있는 것
여기서 많은 사람이 "그래서 나랑 무슨 상관?"하고 닫아요. 그런데 입장에 따라 오늘 당장 할 일이 분명히 있어요. 둘 중 본인에 해당하는 쪽을 보세요.
① 코드를 짜는 사람이라면 — 풀 프리뷰를 기다릴 필요 없어요
Claude Code Security 자체는 Enterprise/Team 리서치 프리뷰라 대기가 걸릴 수 있어요. 하지만 같은 추론 기반 보안 검토의 맛은 이미 일반 Claude Code에서 볼 수 있어요. 핵심 발상(룰이 아니라 추론으로 코드를 읽게 한다)을 오늘 바로 적용하는 흐름이에요.
- 변경분부터 좁게 검토
커밋·PR 단위로 "이 디프에서 인증 우회, 인젝션, 권한 상승, 비밀값 노출 가능성을 데이터 흐름까지 추적해서 점검해줘"라고 시켜요. 전체 스캔보다 변경분 집중이 노이즈가 적어요. - 발견마다 3종 세트를 강제
그냥 "취약점 찾아줘"로 끝내지 말고, 각 항목에 심각도 / 악용 시나리오 / 패치 제안을 같이 달라고 해요. 공식 도구가 대시보드로 주는 것과 같은 구조를 프롬프트로 재현하는 거예요. - 오탐을 스스로 거르게
"각 발견이 실제로 악용 가능한지 다시 검증하고, 확신이 낮으면 그 이유를 적어"라고 한 번 더 돌려요. 다단계 자가 검증이 오탐 피로를 줄이는 핵심이에요. - 패치는 사람이 최종 승인
"Suggest Fix"든 직접 작성이든, AI가 만든 패치는 반드시 사람이 읽고 머지. 공식 도구도 자동 적용은 0건이에요 — 같은 원칙을 그대로 지키세요. - 풀 버전이 필요하면 신청
대규모 코드베이스 상시 스캔이 필요하면 claude.com/contact-sales/security 에서 프리뷰를 신청해요. 오픈소스 유지보수자는 무료 우선 액세스가 있어요. 다만 아직 CI/CD 통합 미지원 — 도입보다 평가·피드백 목적이 맞아요.
② 보안 도구에 돈을 쓰는 사람이라면 — 갱신 전에 이 질문을 던지세요
주가가 빠졌다는 건, 반대로 말하면 벤더와의 협상 카드가 생겼다는 뜻이기도 해요. 다음 계약 갱신·신규 도입 평가 때 이 다섯 가지를 그대로 물어보세요. 표의 오른쪽 항목을 질문으로 바꾼 거예요.
- "룰 매칭만 하나요, 코드 맥락을 추론하나요?" — 비즈니스 로직 오류와 인증 우회를 어떻게 잡는지 구체적 사례를 요구하세요.
- "오탐률은 얼마고, 어떻게 줄이나요?" — 분석가 피로는 곧 비용이에요. 자가 검증·필터링 메커니즘을 확인하세요.
- "결과를 비전문가도 이해할 설명으로 주나요?" — 룰 ID만 던지는 도구와, 자연어 설명+패치 제안을 주는 도구는 팀 생산성이 다릅니다.
- "AI 기반 검토 로드맵이 있나요?" — 없다면 그 벤더는 시장이 우려하는 바로 그 자리에 있는 거예요.
- "가격, 다시 협상 가능한가요?" — 대체재 등장은 가장 정당한 협상 명분이에요.
현실 체크
AI 추론 검토가 강력해도, 사람을 대체한다기보다 증폭하는 단계예요. Logan Graham도 이 도구를 보안 팀의 "포스 멀티플라이어"라고 표현했죠. 기존 도구를 당장 버리지 말고, "AI 검토를 한 겹 더 얹는다"는 관점으로 접근하는 게 안전해요. 그리고 어느 쪽이든 패치 적용은 사람이 최종 결정한다는 원칙은 변하지 않아요.





