인공지능(AI) 개발사 앤트로픽이 소프트웨어 취약점을 탐지하고 수정안을 제시하는 새로운 보안 도구 '클로드 코드 시큐리티'의 제한적 연구 프리뷰를 출시했다고 5일(현지시간) 밝혔다.
이 도구는 엔터프라이즈 및 팀 고객에게 제공되며, 오픈소스 프로젝트 관리자에게는 무료 우선 접근권이 부여된다. 샌프란시스코에 본사를 둔 앤트로픽은 가까운 미래에 AI가 전 세계 코드의 상당 부분을 검사하게 될 것이라고 전망했다.
클로드 코드 시큐리티는 기존 보안 도구와 달리 인간 연구원처럼 전체 코드베이스를 분석한다. 시스템 전반에서 데이터가 이동하는 경로를 추적해 표준 스캐너가 놓치는 문제를 포착한다고 회사 측은 설명했다.
앤트로픽의 최신 모델인 클로드 오푸스 4.6을 기반으로 작동하는 이 도구는 자체 보안팀 테스트 과정에서 실제 운영 중인 오픈소스 코드베이스에서 500개 이상의 취약점을 발견했다. 일부 취약점은 수십 년간 전문가 검토를 거쳤음에도 발견되지 않았던 것으로 나타났다.
앤트로픽은 현재 해당 프로젝트 관리자들에게 통보 절차를 진행 중이라고 밝혔다. 회사는 자체 내부 코드에도 클로드를 적용해 양호한 결과를 얻었다고 덧붙였다.
이 소식에 사이버보안 업체 주가가 일제히 급락했다. 크라우드스트라이크는 전날 6.8% 하락했고, 오타는 9.2% 떨어졌다. 클라우드플레어는 6.7%, 세일포인트는 9.1%, 팔로알토네트웍스는 1.5% 하락했다. 지스케일러도 5.47% 내렸다. 글로벌 사이버보안 기업을 추종하는 글로벌X 사이버보안 ETF는 거의 5% 하락 마감했다.
다만 바클레이스 애널리스트들은 이 같은 시장 반응이 부적절하다며 코드 보안 도구가 크라우드스트라이크나 팔로알토네트웍스의 실제 사업 영역과 직접 경쟁하지 않는다고 평가했다.
앤트로픽의 AI가 수년간, 일부는 수십 년간 어떤 인간 전문가도 발견하지 못한 500개 이상의 취약점을 찾아냈다는 사실은 보안 업계에 큰 충격을 안겼다.
한편 보안 수호자로 포지셔닝된 클로드 오푸스 4.6 모델이 불과 며칠 전 탈중앙화금융(DeFi) 대출 프로토콜 문웰에서 178만 달러 손실을 초래한 사고에 연루됐다는 논란이 제기됐다.
앤트로픽은 보도자료에서 "공격자들은 AI를 사용해 그 어느 때보다 빠르게 악용 가능한 취약점을 찾을 것"이라며 "하지만 신속하게 움직이는 방어자들은 동일한 취약점을 찾아 패치하고 공격 위험을 줄일 수 있다"고 강조했다.
회사는 지난해 12월 발표한 내부 연구에서 이전 버전인 클로드 오푸스 4.5가 통제된 환경에서 최소한의 인간 개입만으로 최대 460만 달러 가치의 스마트계약 취약점을 독자적으로 식별하고 악용할 수 있음을 보여줬다.
앤트로픽은 자사 모델이 양날의 검이 될 수 있다는 점을 인식하고 있으며, 클로드 코드 시큐리티는 공격자보다 먼저 방어자의 손에 동일한 능력을 제공하기 위한 답이라고 설명했다.
경쟁사인 오픈AI는 지난해 10월 자체 자동화 보안 도구 '아드바크'를 공개한 바 있어, AI 기반 보안이 경쟁 영역으로 부상하고 있음을 시사했다.