앤트로픽(Anthropic)이 AI 기반 코딩 도구인 클로드 코드(Claude Code)에 자동 보안 리뷰 기능을 도입했다. 이는 개발자가 소프트웨어 개발 과정 초기에 취약점을 식별하고 수정할 수 있도록 지원한다.

이번 업데이트에는 깃허브 액션 연동과 함께 ‘/security-review’ 명령어가 추가됐다. 개발자는 이를 통해 클로드에 보안 문제 스캔과 수정 방안을 요청할 수 있다.

업데이트에 앞서 앤트로픽은 신규 AI 모델 클로드 오퍼스(Claude Opus) 4.1을 공개한 바 있다. 앤트로픽은 이 모델이 코딩 작업 처리 능력에서 큰 폭의 향상을 제공한다고 설명했다.

이런 움직임은 특히 AI 분야에서 경쟁이 심화되고 있음을 보여준다. 오픈AI는 새 모델인 GPT-5를 공개했으며, 메타(Meta)는 수백만 달러 규모의 조건으로 에 나서고 있다.

신규 기능 출시 소식은 AI 도구가 개발자 사이에서 빠르게 확산되고 있는 시점에 맞춰 발표됐다. 2025년 에 따르면, 응답자의 84%가 개발 워크플로에 AI를 사용하거나 사용할 계획이라고 답했다. 이는 2024년의 76%에서 크게 상승한 수치다.

다만 AI 생성 결과물에 대한 신뢰도는 엇갈렸다. 해당 조사에서 33%의 개발자가 도구의 정확성을 신뢰한다고 답했으나 46%는 불신을 표했다. 결과를 매우 신뢰한다는 비율도 3%에 그쳤다.

코드 보안 재정의

앤트로픽은 ‘/security-review’ 명령어를 통해 개발자가 코드를 커밋하기 전에 터미널에서 즉시 보안 검사를 실행할 수 있다고 밝혔다.

앤트로픽은 “에서 해당 명령어를 실행하면, 클로드가 코드베이스를 검색해 잠재적 취약점을 찾아내고, 발견된 문제에 대해 상세한 설명을 제공한다”라고 설명했다.

이 명령어는 보안 특화 프롬프트를 사용해 위험, , 인증 및 인가 문제, 안전하지 않은 데이터 처리, 종속성 관련 보안 결함 등 공통 취약점 패턴을 탐지한다.

개발자는 또한 클로드 코드에 발견된 문제를 즉시 수정하도록 지시해, 내부 개발 루프 내에서 보안 리뷰를 수행하고 개발 초기 단계에서 문제를 해결할 수 있다.

분석가들은 이 기능이 생성형 AI 기반 소프트웨어 개발에서 책임성이 중요해지고 있다는 신호라고 진단했다.

클로드에 따르면 기존의 정적 분석 도구는 대량의 오탐(false positives)을 보고하는 경우가 있지만, 해당 모델은 대규모 컨텍스트 윈도우를 활용해 파일 간, 아키텍처 레이어 전반의 코드를 이해한다. 더욱이 발견된 각 문제에 대해 설명 가능한 분석 근거를 제공해 단순한 이진 경고 이상의 정보를 전달한다.

그레이하운드리서치(Greyhound Research)의 CEO 는 “이는 더 지능적이고 신뢰도 높은 분석 결과를 가능하게 한다. 이른바 ‘바이브 코딩(vibe coding)’이라 불리는 생성형 AI 기반 개발이 코드 작성 속도와 복잡성을 높이는 상황에서 이런 분석은 특히 중요하다. 다만 기업의 데브섹옵스(DevSecOps) 관행을 근본적으로 재편하려면 클로드는 방대한 코드베이스, 맞춤형 위협 모델, 다양한 규제 요건 전반에서 대규모 환경에 대한 회복력을 입증해야 한다”라고 말했다.

클로드의 자동 보안 리뷰가 보안 전문가의 부담을 줄이면서도 개발 초기 단계의 보안을 간소화하는 데 도움이 될 수 있다는 의견도 제시됐다.

에베레스트그룹(Everest Group)의 수석 애널리스트 는 “클로드의 코드 리뷰 기능은 파이프라인에서 가장 많은 시간이 소요되는 작업 중 하나인 수동 보안 리뷰를 자동화해 기업 데브섹옵스 워크플로우를 실질적으로 개선할 수 있다. 개발자가 자연어 명령만으로 리뷰를 시작할 수 있도록 함으로써 시프트 레프트(Shift-left) 방식의 보안 관행을 가속화하고, 개발 프로세스(SDLC) 초기에 보안을 내재화한다”라고 말했다.

파이프라인에 최적화된 보안 점검

앤트로픽은 풀 리퀘스트가 열릴 때마다 새로운 클로드 코드용 깃허브 액션(GitHub Action for Claude Code)이 이를 분석해 자동 보안 리뷰를 한층 강화한다고 밝혔다.

앤트로픽에 따르면 이 도구는 자동으로 실행돼 코드 변경 사항을 보안 취약점 관점에서 스캔하고, 사용자 정의 규칙을 적용해 오탐을 줄이며 이미 알려진 이슈를 필터링한다. 이후 풀 리퀘스트 내에 수정 권장 사항을 인라인 코멘트 형태로 바로 게시한다.

이 기능은 개발팀 전반의 보안 리뷰를 표준화하고 취약한 코드가 운영 환경에 반영되는 것을 방지한다는 데 목적이 있다. 기존 CI/CD 파이프라인과 통합되며, 조직의 보안 정책에 맞춰 설정할 수 있다.

분석가들은 향후 소프트웨어 개발에서의 생성형 AI 활용 방식이 변화할 수 있다고 봤다. 클로드와 같은 도구가 단순한 코딩 보조 역할을 넘어 보안 집행과 거버넌스 영역까지 담당하기 시작했다는 설명이다.

고기아는 “깃허브 코파일럿은 여전히 인기 있는 AI 기반 코드 보조 도구지만, 풀 리퀘스트 수준의 보안 제안 기능은 최근에야 추가됐다. 마이크로소프트 시큐리티 코파일럿(Microsoft Security Copilot)은 텔레메트리가 풍부한 SOC 환경에서는 강력하지만, 개발 도구와의 깊은 통합은 아직 부족하다. 구글의 제미니 코드 어시스트(Gemini Code Assist)는 코드 요약과 품질 개선 기능이 뛰어나지만, 규제가 엄격한 환경에서 취약점 탐지 능력은 아직 검증되지 않았다”라고 분석했다.

기업 활용 시 이점과 위험

AI 기반 코드 리뷰는 효율성을 높일 수 있지만, 일부 분석가는 기업이 신중하게 관리해야 할 새로운 리스크도 있다고 말했다.

고기아는 “기업 AI 보안 도구에서 가장 큰 리스크는 유창함과 정확성을 혼동하는 데 있다. 클로드 코드를 포함한 다른 LLM 기반 도구는 설득력 있는 결론을 제시할 수 있지만, 사실과 다른 내용을 포함할 수도 있다. 이는 기존 점검 절차를 약화시키는 허위 보안 인식을 만들 수 있다”라고 지적했다.

클로드 코드의 가치를 온전히 실현하려면 기업은 그 결과물을 구조화된 SDLC 통제 체계에 통합해야 한다. 여기에는 규제 준수 점검, 수동 검토, 감사 준비 문서화 등이 포함된다.
dl-ciokorea@foundryco.com