Claude Code Security 출시: AI가 수십 년 된 보안 취약점 500개 이상 발견

규칙 기반 도구를 넘어선 AI 보안 분석

Anthropic이 2026년 2월 20일 Claude Code Security를 제한 연구 프리뷰로 출시했다. 웹 기반 Claude Code에 직접 통합된 이 기능은 기존의 규칙 기반 정적 분석 도구(SAST)와 근본적으로 다른 접근 방식을 취한다. 코드를 패턴 매칭으로 검사하는 대신, 인간 보안 연구자처럼 코드를 읽고 추론한다.

구체적으로 컴포넌트 간 상호작용을 이해하고, 데이터가 애플리케이션을 통해 이동하는 경로를 추적하며, 규칙 기반 도구가 놓치는 복합적 취약점을 포착한다. 이 접근 방식은 1년 이상의 사이버보안 연구와 경쟁 CTF(Capture-the-Flag) 이벤트, 핵심 인프라 방어 파트너십을 통해 개발됐다.

500개 이상의 미발견 취약점

Claude Code Security의 성과를 보여주는 핵심 수치는 500이다. Anthropic 팀은 Claude Opus 4.6을 사용해 프로덕션 오픈소스 코드베이스에서 500개 이상의 취약점을 발견했다. 이 취약점들은 수년에서 수십 년간 전문가 리뷰를 거쳤음에도 탐지되지 않은 것들이다.

이는 기존 보안 도구의 한계를 명확히 드러낸다. 규칙 기반 도구는 알려진 패턴만 탐지하기 때문에, 여러 컴포넌트에 걸쳐 발생하는 복합적 취약점이나 새로운 유형의 취약점을 놓칠 수밖에 없다.

다단계 검증 시스템

Claude Code Security는 오탐(false positive)을 줄이기 위해 다단계 검증 프로세스를 적용한다.

모든 수정 사항은 반드시 인간의 승인을 거쳐야 적용된다. 이는 AI가 코드 변경을 자동으로 수행하는 것이 아니라, 보안 분석가의 판단을 보조하는 도구라는 점을 명확히 한다.

대시보드와 워크플로우

Claude Code Security는 전용 대시보드를 제공한다. 보안 팀은 발견된 취약점 목록을 확인하고, 각 취약점의 상세 분석과 제안된 패치를 검토할 수 있다. 심각도와 신뢰도에 따라 우선순위를 정하고, 팀 내에서 할당 및 추적이 가능하다.

Claude Code 웹 인터페이스에 직접 통합되어 있어 별도의 도구를 설치하거나 워크플로우를 변경할 필요가 없다. 기존 개발 프로세스에 자연스럽게 녹아드는 구조다.

가격과 접근성

Claude Code Security는 현재 제한 연구 프리뷰 단계로, Enterprise와 Team 플랜 고객에게 제공된다. 오픈소스 저장소 관리자는 무료 우선 접근을 신청할 수 있다. 정식 가격은 아직 공개되지 않았다.

접근 신청은 claude.com/contact-sales/security에서 가능하다.

보안 커뮤니티 반응

보안 커뮤니티의 반응은 기대와 우려가 공존한다. Snyk은 산업 전체에 긍정적인 신호라고 평가했다. 반면 The Register에 따르면 일부 인포섹 커뮤니티에서는 AI 기반 보안 분석의 신뢰성과 공격 표면 확대 가능성에 대한 우려도 제기됐다.

특히 Check Point Research가 Claude Code 프로젝트 파일을 통한 원격 코드 실행(RCE)과 API 토큰 탈취 취약점(CVE-2025-59536, CVE-2026-21852)을 발견한 것은, AI 보안 도구 자체의 보안도 중요한 과제임을 보여준다.

결론

Claude Code Security는 코드 보안 분석의 패러다임을 규칙 기반에서 AI 추론 기반으로 전환하려는 시도다. 500개 이상의 미발견 취약점 발견은 이 접근 방식의 잠재력을 입증한다. 다단계 검증과 인간 승인 필수 구조는 AI 보안 도구의 신뢰성 문제를 해결하기 위한 설계다. Enterprise와 Team 고객, 오픈소스 관리자에게 우선 제공되며, 향후 가격과 정식 출시 일정이 주목된다.