Anthropic, SaaS 주식을 폭락시킨 지 3주 만에 사이버보안 주식도 폭락시켰다. 이 도구는 인간이 놓친 버그를 찾아냈다.
Source: Dev.to
번역할 전체 텍스트를 제공해 주시면, 요청하신 대로 한국어로 번역해 드리겠습니다.
소개
2월 20일, Anthropic은 Claude Code Security를 출시했습니다—Claude Code에 내장된 AI‑기반 취약점 스캐너로, 인간 보안 연구자가 코드를 분석하듯 코드베이스를 추론합니다. 데이터 흐름을 추적하고, 구성 요소 상호작용을 매핑하며, 정적‑분석 도구가 전혀 놓치는 논리적 취약점을 표시합니다.
시장 반응은 즉각적이었습니다:
- CrowdStrike 8 % 하락
- Cloudflare 8 % 하락
- Okta 9.2 % 손실
- SailPoint 9 % 이상 하락
- Global X Cybersecurity ETF가 2023년 11월 이후 최저치를 기록
이는 Anthropic이 3주 만에 전체 소프트웨어 섹터를 붕괴시킨 두 번째 사례였습니다. 1월 31일, Claude Cowork—AI 직장 에이전트—가 매도 사태를 촉발해 SaaS 주식에서 약 2,850 억 달러를 소멸시켰습니다 (ServiceNow ‑ 7.6 %, Salesforce ‑ 7 %, LegalZoom ‑ 20 %).
두 제품. 두 섹터. 한 기업.
Claude Code Security가 실제로 하는 일
도구는 GitHub 저장소에 연결하고 Anthropic의 Opus 4.6 모델을 사용해 코드베이스를 스캔합니다. 그것은:
- SQL 인젝션을 가능하게 할 수 있는 입력 필터링 격차를 감지합니다
- 인증 우회 취약점을 식별합니다
- 심각도에 따라 결과를 순위 매기고 쉬운 언어로 설명합니다
- 인간 검토를 위한 제안 패치를 생성합니다(자동으로 수정은 적용되지 않습니다)
전통적인 정적 분석과 구별되는 점은 찾는 버그의 종류가 아니라 방법입니다. 기존 스캐너는 알려진 취약점 시그니처와 패턴을 매칭합니다. Claude Code Security는 보안 엔지니어가 코드를 읽는 방식대로 코드를 읽습니다: 실행 경로를 따라가고, 구성 요소 상호작용을 이해하며, 규칙 라이브러리에는 없는 논리적 결함을 식별합니다.
내부 테스트 동안 Frontier Red Team—Anthropic의 가장 진보된 모델을 스트레스 테스트하는 약 15명의 연구원—이 Opus 4.6을 실제 오픈소스 코드베이스에 적용했습니다. 모델은 기업 및 핵심 인프라 소프트웨어에서 수년, 경우에 따라 수십 년 동안 탐지되지 않았던 고심각도 제로데이 취약점을 발견했으며, 이는 작업‑특정 도구, 맞춤형 스캐폴딩, 혹은 특수 프롬프트 없이 이루어졌습니다.
“보안 팀에게 큰 힘이 될 것입니다,” 라고 Anthropic Frontier Red Team 리더인 Logan Graham이 말했습니다. “이것은 그들이 더 많은 일을 할 수 있게 해줄 것입니다.”
시장이 왜 공황 상태에 빠졌는가
사이버보안 산업은 지난 3년간 AI가 대체할 수 없는 필수적인 인간 판단 레이어로 자신을 포지셔닝해 왔습니다. CrowdStrike는 알고리즘이 아니라 분석가가 기업을 보호한다는 점을 강조하고, Palo Alto Networks는 인간‑기계 파트너십을 판매합니다. 전체 관리형 탐지 및 대응(MDR) 시장은 보안에 숙련된 인간의 사고가 필요하다는 전제 위에 구축되어 있습니다.
Claude Code Security는 인간이 독특하게 잘할 수 있다고 여겨졌던, 코드를 전체적으로 읽고 패턴 매칭으로 놓치는 버그를 찾아내는 일을 실제로 수행함으로써 그 서사를 깨뜨립니다. 이 모델은 정적 분석 도구와 단순히 맞먹는 수준을 넘어, 그 도구들을 지원하도록 설계된 보안 연구원들을 능가하는 성과를 보였습니다.
시장은 Claude Code Security의 현재 역량을 가격에 반영하고 있지는 않습니다—이 서비스는 현재 기업 및 팀 고객을 위한 제한된 연구 미리보기 형태로 제공되며, 오픈‑소스 유지관리자를 위해 무료 가속 접근이 제공됩니다. 대신 투자자들은 그 향후 궤적을 가격에 반영하고 있습니다. 만약 Opus 4.6이 특수한 프롬프트 없이도 수십 년 된 제로‑데이를 찾아낼 수 있다면, 다음 세대는 무엇을 발견할 수 있을까요?
The pattern
OpenAI는 Aardvark를 네 달 전에 출시했으며, 이는 격리된 샌드박스에서 결과를 테스트해 취약점 악용 난이도를 평가하는 유사한 취약점 스캐너입니다. AI가 버그를 찾을 수 있다는 아이디어가 이미 시장에 반영돼 있었기 때문에 사이버보안 주식이 급락하지 않았습니다.
Anthropic이 다르게 한 점은 실제 운영 환경에서 이를 입증했다는 것입니다—벤치마크가 아니라, 샌드박스가 아니라, 실제 보안 팀이 검토했지만 놓친 실제 코드에서 말이죠.
CrowdStrike, Palo Alto 등에게 불편한 질문은 AI가 그들의 작업을 보조할 수 있느냐가 아니라, AI가 그들의 마진을 방어할 수 없게 만들느냐입니다. 보안 연구원처럼 사고하지만 API 호출 비용만으로 실행되는 취약점 스캐너는 전체 200 억 달러 규모의 사이버보안 시장 가격을 재조정합니다.
Anthropic은 이 분야를 없애려는 것이 아니라, 인간 판단 프리미엄—보안 기업이 70‑80 %의 총 마진을 유지하는 근거—을 모델이 몇 센트만에 할 수 있는 일에 대한 추가 요금처럼 보이게 만드는 제품을 만들고 있습니다.
두 번의 제품 출시. 두 번의 매각. 하나의 패턴: 투자자들의 인식에서 AI가 “코파일럿”에서 “대체제”로 이동하고 있으며, 기존 기업들은 다음에 무엇이 일어날지에 대한 명확한 답을 가지고 있지 않습니다.