AI가 코드도 지킨다… 앤트로픽, 클로드에 자동 보안 기능 탑재

앤트로픽이 자사의 AI 코딩 툴인 클로드 코드(Claude Code)에 자동 보안 검토 기능을 추가하며, 인공지능이 생성한 코드에서 급증하는 취약점 문제 해결에 나섰다. AI가 생성하는 코드의 양이 폭증하면서 보안 검토 리소스가 부족하다는 지적이 이어지는 가운데, 앤트로픽의 이번 조치는 급증하는 코드 생산 속도에 보안이 뒤처지지 않도록 하기 위한 실질 해법으로 주목받고 있다.

앤트로픽은 이번 기능을 통해 보안 분석을 개발자의 워크플로 안에 통합, 명령어 입력이나 깃허브(GitHub) 리뷰 자동화를 통해 간편하게 실행할 수 있도록 했다. 개발자는 터미널에서 '/security-review' 명령어만 입력하면 AI가 코드에 존재하는 SQL 인젝션, 교차 사이트 스크립팅(XSS), 인증 취약점 등 주요 위험 요소를 감지하고 이에 대한 수정 방안을 제시한다. 또한 클로드는 깃허브에서의 풀 리퀘스트 제출 시 코드를 자동 검토하며, 위험 요소에 대한 즉각적인 주석을 달아준다.

앤트로픽의 프런티어 레드팀 소속 개발자 로건 그레이엄(Logan Graham)은 “앞으로 전 세계에서 생성되는 코드량은 지금보다 10배, 100배, 아니 1000배까지도 불어날 수 있다”며 “이러한 시대에 보안을 유지하려면 코드 생성에 쓰이는 AI 자체로 보안을 자동화해야 한다”고 강조했다.

이 기술은 이미 앤트로픽의 내부 코드에도 적용돼 실효성을 입증했다. 한 예로, 내부 툴 개발 중 설정된 HTTP 서버가 외부 공격에 취약하다는 점을 GitHub Action 도구가 사전에 지적, 원격 코드 실행 공격을 방지할 수 있었다. 또 다른 사례로는 내부 인증 프록시 시스템에서 발생할 수 있는 SSRF(Server Side Request Forgery) 취약점을 조기 발견해 배포 전에 수정했다.

특히 이번 보안 기능은 대기업뿐 아니라 보안 인력이 부족한 소형 개발팀에게도 유용할 수 있도록 설계됐다. 그레이엄에 따르면 “보안 검토를 단 15개의 키 입력만으로 실행할 수 있으며, 클로드 API 기반 기능들과 동일한 인터페이스로 구동된다”고 설명했다.

보안 시스템은 '에이전틱 루프(agentic loop)' 방식으로 작동한다. 클로드는 코드 변경 내용을 이해하고, 프로젝트 전체 맥락을 파악해 잠재적 위험 요소를 식별한다. 기업은 레거시 정책에 맞춰 보안 규칙을 수정하거나, 간단한 마크다운 명령어로 자체 보안 명령어를 구현할 수 있다.

시장 경쟁도 본격화하고 있다. 앤트로픽은 이번 발표 전날 클로드 오퍼스 4.1(Claude Opus 4.1)을 출시했고, 오픈AI는 곧 차세대 모델인 GPT-5를 공개할 예정이다. 메타는 최대 1억 달러(약 1,440억 원)의 계약금으로 고급 AI 인재를 확보하며 경쟁에 불을 지르고 있다. 그러나 앤트로픽 CEO 다리오 아모데이(Dario Amodei)는 임직원의 80%가 경쟁사의 입사 제안을 거절했다며 자사의 안정성을 강조했다. 이는 오픈AI 67%, 메타 64%의 직원 유지율보다 높은 수치다.

앤트로픽은 최근 클로드 코드에 윈도우 지원, 관리자용 분석 대시보드, 다중 디렉토리 통합 등 기업 고객 대상 기능도 잇따라 공개하고 있다. 미국 정부도 앤트로픽을 연방조달청(GSA) 공식 등록 기업으로 선정, 공공부문 도입에도 속도가 붙고 있다.

그럼에도 앤트로픽 측은 자동화된 보안 솔루션이 기존의 보안 활동을 완전히 대체할 수는 없다고 강조한다. 그레이엄은 “AI가 생성하는 소프트웨어가 폭증하는 지금, AI를 활용해 그 코드를 지키는 것 역시 중요 과제가 됐다”며 “이제 모든 주요 인프라 소프트웨어를 사전 검토하고 보완하는 데 AI가 역할을 해야 할 시점”이라고 말했다.

이번 보안 기능은 모든 클로드 코드 사용자에게 즉시 배포되며, GitHub 액션은 개발팀의 간단한 초기 설정만으로 사용 가능하다. 문제는 속도다. 기하급수적으로 늘고 있는 AI 생성 코드의 보안 문제를 AI 기술이 얼마나 신속하게 따라잡을 수 있을지, 그 답은 아직 현장에서 실험 중이다.