2월 20일, Anthropic이 Claude Code Security를 발표함. Claude Code에 보안 취약점 탐지 기능을 내장한 건데, 단순한 린터 수준이 아니라 코드베이스 전체를 읽고 추론하면서 취약점을 찾아내는 방식이라 꽤 관심이 감.
발표 직후 미국 사이버보안 관련 주식이 일제히 하락했다는 뉴스가 나올 정도로 업계 반응이 큼. 기존 보안 도구 시장을 AI가 흔들 수 있다는 신호로 읽힌 듯.
기존 보안 도구와 뭐가 다른가
기존 정적 분석 도구(SAST)는 알려진 패턴을 규칙 기반으로 매칭하는 방식임. 효과적이긴 한데, 오탐이 많고 파일 간 상호작용이나 데이터 흐름을 추적하는 데 한계가 있음.
Claude Code Security는 접근 방식 자체가 다름. 사람 보안 연구자처럼 코드를 읽고 추론한다는 게 핵심. 컴포넌트 간 상호작용을 이해하고, 데이터가 애플리케이션을 통해 어떻게 흐르는지 추적함. 발견된 취약점마다 심각도 등급과 신뢰도 점수를 함께 제공하고, 수정 패치까지 제안함. 물론 자동 적용은 안 되고 개발자가 검토 후 승인하는 구조.
실제로 어떻게 쓰나
사용법은 두 가지 경로가 있음.
터미널에서 직접 실행: Claude Code를 최신 버전으로 업데이트한 뒤, 프로젝트 디렉토리에서 /security-review 명령어를 실행하면 됨. Claude가 코드베이스를 분석해서 잠재적 취약점을 찾아내고, 각 이슈에 대한 상세 설명을 제공함. 커밋 전에 빠르게 보안 점검할 때 유용.
GitHub Actions 연동: Anthropic이 claude-code-security-review GitHub Action도 함께 공개함. PR이 올라올 때 자동으로 보안 스캔이 돌아가는 구조. 개발 중에는 터미널로 빠르게 점검하고, 머지 전에는 GitHub Action이 안전망 역할을 하는 셈.
탐지 대상: SQL Injection, XSS(크로스 사이트 스크립팅), 인증/인가 결함, 안전하지 않은 데이터 처리, 의존성 취약점 등 주요 보안 이슈를 커버함.
기본 /security-review 명령어도 대부분의 프로젝트에서 잘 동작하지만, 프로젝트별로 커스터마이징이 필요하면 .claude/commands/ 폴더에 security-review.md를 복사해서 수정할 수 있음.
500개 넘는 취약점 발견
Anthropic 팀이 Claude Opus 4.6을 활용해서 오픈소스 코드베이스에서 500개 이상의 취약점을 발견했다고 함. 수십 년간 전문가 리뷰를 거쳤는데도 잡히지 않았던 버그들임. 이 숫자 자체가 기존 도구의 한계를 보여주는 셈.
다만 이게 “AI가 보안 전문가를 대체한다”는 의미는 아님. 오히려 사람이 놓치기 쉬운 패턴을 AI가 보완하는 구조에 가까움. 최종 판단은 여전히 사람 몫.
누가 쓸 수 있나
현재는 제한된 연구 프리뷰 단계.
| 대상 | 접근 방식 |
| Enterprise / Team 고객 | 신청 페이지에서 접근 요청 |
| 오픈소스 유지자 | 무료 우선 접근 (가속 제공) |
| 개인 / Free 플랜 | 현재 사용 불가 |
개인 사용자는 아직 쓸 수 없지만, /security-review 명령어 자체는 Claude Code에 내장되어 있어서 향후 범위가 넓어질 가능성이 있음.
개발자로서 드는 생각
솔직히 보안 리뷰는 개발 과정에서 가장 후순위로 밀리기 쉬운 작업임. 시간도 오래 걸리고, 전문 지식도 필요하고, 기존 도구는 오탐이 너무 많아서 결국 무시하게 되는 경우가 많음. 그런 면에서 AI가 신뢰도 점수와 함께 “이건 진짜 위험함”이라고 알려주는 건 실용적인 방향이라고 봄.
물론 우려되는 부분도 있음. 같은 능력이 공격에도 쓰일 수 있다는 점. Anthropic도 이걸 인지하고 있어서 방어자 쪽에 이 도구를 먼저 제공하겠다는 입장을 밝힘. 이 부분은 AI 보안 도구가 계속 풀어나가야 할 숙제.
어제 Gemini 3.1 Pro가 추론 성능으로 화제가 됐는데, 하루 만에 Anthropic이 보안이라는 실전 유스케이스로 응수한 느낌. AI 업계의 경쟁 속도가 정말 빠르고, 개발자 입장에서는 선택지가 계속 늘어나고 있음.
상세 내용은 Anthropic 공식 발표, GitHub Action은 anthropics/claude-code-security-review 저장소에서 확인할 수 있음.