- Authors
- Name
- 오늘의 바이브
하루 만에 150억 달러가 사라졌다
2026년 2월 20일 금요일, 나스닥 장이 마감되자 사이버보안 업계에 침묵이 흘렀다. CrowdStrike 주가 -8%, Cloudflare -8.1%, Okta -9.2%, SailPoint -9.4%. 가장 큰 타격을 입은 건 소프트웨어 공급망 보안 업체 JFrog으로, 주가가 하루 만에 24.6% 폭락했다. Global X Cybersecurity ETF(BUG)는 4.9% 하락하며 2023년 11월 이후 최저치를 기록했다. 사이버보안 섹터 전체에서 증발한 시가총액은 150억 달러(약 21조 원)에 달한다.
원인은 실적 경고도, 해킹 사고도, 규제 뉴스도 아니었다. Anthropic이 그날 아침 발표한 단 하나의 제품이었다. 이름은 Claude Code Security. AI가 코드베이스를 스캔해 보안 취약점을 찾아내고, 패치까지 제안하는 도구다. Anthropic은 이 도구가 이미 오픈소스 프로젝트에서 500개 이상의 고위험 취약점을 발견했다고 밝혔다. 그중에는 수십 년 동안 인간 전문가와 기존 보안 도구가 놓친 제로데이도 포함됐다.
시장은 이 발표를 단순한 신제품 출시로 받아들이지 않았다. 사이버보안 산업의 존재 이유에 대한 도전으로 해석한 것이다.
Claude Code Security는 무엇이 다른가
기존 보안 스캐너는 **규칙 기반 정적 분석(SAST)**에 의존한다. 알려진 취약점 패턴을 데이터베이스에 등록해두고, 코드에서 해당 패턴이 나타나면 경고를 울리는 방식이다. 노출된 비밀번호, 구식 암호화 알고리즘, SQL 인젝션의 전형적인 패턴 같은 것들을 잡아낸다. 효과적이지만 한계가 명확하다. 패턴에 등록되지 않은 취약점은 찾을 수 없다.
Claude Code Security는 근본적으로 다른 접근법을 취한다. 코드를 패턴으로 매칭하는 게 아니라, 인간 보안 연구원처럼 코드를 읽고 추론한다. 애플리케이션의 구성 요소가 어떻게 상호작용하는지 파악하고, 데이터가 시스템을 통해 어떻게 흘러가는지 추적한다. 비즈니스 로직의 결함, 인증 우회, 권한 상승 같은 복잡한 취약점을 탐지할 수 있다는 뜻이다.
Anthropic의 Frontier Red Team이 공개한 GhostScript 사례가 이 차이를 잘 보여준다. 기존 퍼징(fuzzing) 도구와 수동 분석이 모두 실패한 뒤, Claude Opus 4.6은 전혀 다른 전략을 택했다. 코드 자체가 아니라 Git 커밋 히스토리를 뒤졌다. "스택 경계 검사" 관련 보안 커밋을 찾아낸 뒤, 그 맥락에서 Type 1 charstring의 MM blend value 처리 과정에 숨은 취약점을 발견했다. 인간이라면 택했을 법한, 하지만 기존 자동화 도구는 시도조차 하지 않는 접근법이었다.
발견된 취약점은 다단계 검증 절차를 거친다. Claude가 스스로 자신의 발견을 재검토해 거짓 양성을 걸러내고, 심각도 등급과 신뢰도 점수를 매긴다. 그 뒤 자연어로 취약점의 원인과 영향을 설명하고, 구체적인 패치 코드를 제안한다. 최종 적용은 반드시 인간이 승인해야 한다. Anthropic은 "인간의 승인 없이 적용되는 것은 없다(Nothing is applied without human approval)"는 점을 강조했다.
500개 제로데이, 수십 년간 숨어 있었다
숫자가 말해주는 사실이 있다. Claude Opus 4.6이 오픈소스 코드베이스에서 찾아낸 고위험 취약점은 500개 이상이다. 이 코드들은 수년에서 수십 년 동안 운영 환경에서 돌아가고 있었다. 수많은 개발자가 리뷰했고, 기존 보안 도구가 스캔했고, 전문 보안 감사를 통과한 코드에서 나온 결과다.
Anthropic은 이 발견을 red.anthropic.com을 통해 책임 있는 공개(responsible disclosure) 절차를 밟고 있다. 해당 프로젝트 메인테이너에게 먼저 통보하고, 패치가 배포된 뒤에 세부 정보를 공개하는 방식이다. 2월 20일 기준으로 초기 패치가 이미 반영되기 시작했으며, 나머지 취약점에 대해서도 메인테이너들과 협력 중이다.
이 숫자가 시장을 놀라게 한 이유는 단순히 양이 많아서가 아니다. 핵심은 이 취약점들이 기존 보안 도구의 사각지대에 있었다는 사실이다. Snyk, Veracode, Checkmarx 같은 상용 SAST 도구들이 수년간 같은 코드를 스캔했지만 잡아내지 못한 것들이다. 이것은 기존 도구의 접근법 자체에 구조적 한계가 있다는 증거로 읽힌다.
더 주목할 부분은 발견 과정이다. Anthropic에 따르면 Opus 4.6은 "특별한 도구, 커스텀 스캐폴딩, 전문화된 프롬프팅 없이(without task-specific tooling, custom scaffolding, or specialized prompting)" 이 결과를 냈다. 전용 보안 도구가 아니라 범용 AI 모델이 범용 추론만으로 보안 전문가를 뛰어넘은 셈이다. 15명으로 구성된 Frontier Red Team이 이 연구를 주도했는데, 이들이 수년간 고급 AI 시스템의 스트레스 테스트를 수행해온 팀이라는 점도 결과의 신뢰도를 높인다.
Frontier Red Team 리더 Logan Graham은 Fortune과의 인터뷰에서 "이중 용도(dual-use) 능력이라는 점을 우리는 분명히 인식하고 있다"고 말했다. 취약점을 찾는 능력은 방어에도, 공격에도 쓸 수 있다. 그래서 Anthropic은 악의적 사용을 탐지하는 안전장치를 구현했다고 밝혔다. Graham은 "방어자에게 확실한 우위를 주는 것이 정말 중요하다"고 덧붙였다.
Claude Code Security는 Enterprise와 Team 고객을 대상으로 제한적 리서치 프리뷰로 시작한다. 주목할 점은 오픈소스 메인테이너에게 무료 우선 접근을 제공한다는 것이다. 자원이 부족한 오픈소스 프로젝트가 가장 먼저 혜택을 받도록 설계한 셈이다. 소프트웨어 공급망의 가장 취약한 고리를 먼저 강화하겠다는 전략으로 읽힌다.
시장은 왜 패닉에 빠졌나
2월 20일의 매도세를 이해하려면, 사이버보안 업체들의 비즈니스 모델을 먼저 봐야 한다. CrowdStrike, Palo Alto Networks, Zscaler 같은 기업은 연간 구독 기반으로 수십억 달러의 매출을 올린다. 기업 고객은 엔드포인트 보호, 네트워크 보안, 취약점 관리를 위해 이들에게 매년 거액을 지불한다. 이 모델이 성립하는 전제는 하나다. 보안은 전문 업체만이 제공할 수 있는 고가치 서비스라는 것이다.
Claude Code Security는 그 전제에 균열을 냈다. AI가 기존 도구보다 더 많은 취약점을 더 빠르게 찾아낼 수 있다면, 연간 수백만 달러를 보안 소프트웨어에 쏟아야 할 이유가 줄어든다. 투자자들은 이 논리를 즉각 주가에 반영했다.
종목별 하락폭에서 시장의 해석이 드러난다.
| 종목 | 하락폭 | 영역 |
|---|---|---|
| JFrog (FROG) | -24.6% | 소프트웨어 공급망 보안 |
| SailPoint (SAIL) | -9.4% | ID 거버넌스 |
| Okta (OKTA) | -9.2% | 인증/접근 관리 |
| Cloudflare (NET) | -8.1% | 네트워크/앱 보안 |
| CrowdStrike (CRWD) | -8.0% | 엔드포인트 보안 |
| Zscaler (ZS) | -5.5% | 제로 트러스트 네트워크 |
| BUG ETF | -4.9% | 사이버보안 섹터 전체 |
JFrog의 하락이 압도적으로 큰 이유가 있다. JFrog은 소프트웨어 아티팩트 관리와 공급망 보안을 핵심 사업으로 한다. Claude Code Security가 코드베이스의 취약점을 직접 찾아 패치까지 제안한다면, JFrog의 보안 스캐닝 기능과 가장 직접적으로 경쟁하는 구도가 된다. 시장은 JFrog이 가장 큰 피해를 입을 것이라고 판단한 셈이다.
흥미로운 점은 이것이 Anthropic이 한 달 안에 일으킨 두 번째 기업용 소프트웨어 매도세라는 것이다. 이전에는 Claude Cowork 플러그인 발표로 생산성 소프트웨어 주가가 출렁인 바 있다. AI 회사의 제품 발표 하나하나가 기존 소프트웨어 산업의 특정 섹터를 직격하는 패턴이 반복되고 있다.
과잉 반응인가, 정당한 공포인가
매도세 다음 거래일, Barclays 애널리스트들이 리포트를 냈다. 결론은 단호했다. 이번 매도는 **"비논리적(illogical)"**이라는 것이다. Barclays는 Claude Code Security가 자신들이 커버하는 기존 보안 업체들과 직접 경쟁하지 않는다고 주장했다. 코드 취약점 스캐닝은 사이버보안 시장의 극히 일부에 불과하며, CrowdStrike의 엔드포인트 보호나 Zscaler의 제로 트러스트 네트워크와는 사업 영역이 다르다는 논리다.
일리 있는 지적이다. Claude Code Security가 하는 일은 좁게 보면 SAST의 영역이다. CrowdStrike는 런타임 위협 탐지, Okta는 ID 관리, Cloudflare는 네트워크 보안을 한다. 코드에서 버그를 찾는 것과 실시간으로 침입을 막는 것은 완전히 다른 문제다. 코드에 취약점이 없어도 사회공학적 공격은 막을 수 없고, 내부자 위협은 코드 스캐닝과 무관하다.
하지만 시장의 공포를 단순히 무지의 산물로 치부하기도 어렵다. 이유가 있다.
첫째, **경계 침식(boundary erosion)**의 문제다. Claude Code Security가 지금은 코드 스캐닝만 하지만, 같은 기술이 런타임 분석, 로그 분석, 네트워크 트래픽 분석으로 확장되지 말라는 법이 없다. AI가 코드를 "읽고 추론"할 수 있다면, 로그를 읽고 추론하는 것도 기술적으로 가능하다. Anthropic이 오늘 코드 보안에 진입했다면, 내일 엔드포인트 보안에 진입하지 말라는 보장이 없다.
둘째, 가격 파괴 가능성이다. 기존 보안 도구는 연간 수백만 달러의 엔터프라이즈 라이선스를 받는다. Claude Code Security는 API 호출 기반 과금이다. 같은 규모의 코드베이스를 스캔하는 데 드는 비용이 기존 도구의 1/10 수준이라면, 기업 고객은 예산을 재배분할 수밖에 없다.
셋째, OpenAI의 선례가 있다. OpenAI는 4개월 전 Aardvark라는 유사한 보안 도구를 출시한 바 있다. AI 업체 두 곳이 연달아 보안 시장에 진입했다는 건, 이것이 일시적 실험이 아니라 전략적 방향이라는 신호다. AI 기업들이 보안을 새로운 수익원으로 보고 있다는 뜻이다.
Raymond James 애널리스트는 JFrog에 대해 매도세가 "과도하다(excessive)"고 평가하면서도, AI 기반 보안 도구의 부상이 기존 업체들에 장기적 리스크라는 점은 인정했다.
기존 보안 업체의 딜레마
기존 보안 업체들은 이중의 딜레마에 처해 있다. AI를 도입하지 않으면 뒤처지고, 도입하면 자신의 프리미엄 가격을 정당화하기 어려워진다.
CrowdStrike는 이미 자사 플랫폼에 AI 기능을 통합해왔다. Charlotte AI라는 자체 AI 어시스턴트를 운영하며, 위협 탐지에 머신러닝을 활용한다. Palo Alto Networks도 Cortex XSIAM을 통해 AI 기반 보안 운영을 제공한다. 하지만 이들의 AI는 자사 플랫폼 안에서 작동하는 부가 기능이다. Claude Code Security처럼 독립적인 도구가 아니다.
문제는 AI 모델의 범용성이다. CrowdStrike의 AI는 CrowdStrike 데이터로 훈련되고, CrowdStrike 플랫폼에서만 작동한다. Claude Opus 4.6은 어떤 코드베이스든, 어떤 환경이든 적용할 수 있는 범용 추론 능력을 가졌다. 기존 업체의 AI가 도메인 특화된 좁은 AI라면, Anthropic의 접근법은 범용 추론으로 보안 문제를 푸는 것이다.
Calcalist의 심층 분석은 이 상황을 "사이버보안 업계의 기반이 흔들리고 있지만, 동시에 기회이기도 하다"고 표현했다. 기존 보안 업체가 AI 기업과 경쟁하는 대신, AI 기업의 도구를 자사 플랫폼에 통합하는 방향으로 갈 수 있다는 것이다. CrowdStrike가 Claude Code Security를 자사 Falcon 플랫폼의 코드 스캐닝 엔진으로 채택하는 시나리오는 이론적으로 가능하다.
하지만 그 선택은 양날의 검이다. AI 기업에 핵심 기능을 의존하면, 그 AI 기업이 경쟁 제품을 출시하거나 가격을 올릴 때 속수무책이 된다. Apple이 Xcode에 Claude를 넣은 것과 같은 딜레마다. 외부 기술을 수용하되 종속은 피해야 하는, 쉽지 않은 줄타기다.
보안 업체들에게 한 가지 유리한 점이 있다면, 규제와 컴플라이언스다. 금융, 의료, 국방 분야의 기업은 특정 보안 인증(SOC 2, ISO 27001, FedRAMP 등)을 요구한다. 이 인증을 받은 보안 플랫폼에서 벗어나기란 쉽지 않다. Claude Code Security가 아무리 뛰어나도, 규제 기관이 인정한 보안 프레임워크의 일부가 되기까지는 시간이 걸린다.
진짜 전쟁은 이제 시작이다
2월 20일의 매도세는 과잉 반응이었을까. 단기적으로는 그렇다. Claude Code Security는 아직 리서치 프리뷰 단계이고, CrowdStrike의 매출을 당장 깎아먹을 위치에 있지 않다. Barclays의 분석처럼, 코드 스캐닝과 엔드포인트 보안은 다른 시장이다.
하지만 장기적으로 보면 시장의 직감이 틀리지 않을 수 있다. AI가 코드를 인간처럼 읽고 추론할 수 있다는 사실은, 보안뿐 아니라 소프트웨어 산업 전체의 가정을 흔든다. 코드 리뷰, 품질 관리, 컴플라이언스 검증, 아키텍처 분석까지. 인간 전문가의 "추론"이 가치의 원천이었던 모든 영역이 재평가 대상이 된다.
Anthropic은 Claude Code Security를 방어자의 도구라고 포지셔닝했다. 공격자보다 방어자에게 먼저 최전선 역량을 제공하겠다는 것이다. 이 프레이밍은 전략적으로 정교하다. 보안 시장의 기존 플레이어를 적으로 만들지 않으면서, 동시에 그들의 기술적 한계를 부각시킨다. "우리는 경쟁자가 아니라 보완재다"라고 말하면서, 실질적으로는 기존 도구가 놓친 500개의 취약점을 증거로 내세운다.
150억 달러의 시가총액 증발은 AI와 기존 소프트웨어 산업 사이의 새로운 긴장 관계를 상징한다. Claude Cowork이 생산성 소프트웨어를 흔들었고, Claude Code Security가 보안 소프트웨어를 흔들었다. 다음은 어디일까. Anthropic의 다음 발표가 나올 때마다 월스트리트의 어떤 섹터가 출렁일지, 아무도 모른다.
보안 업계의 전문가들도 이 흐름을 체감하고 있다. Semgrep의 기술 블로그는 Claude Code와 OpenAI Codex를 활용한 웹 애플리케이션 취약점 탐지 실험 결과를 공개하며, AI 도구가 기존 정적 분석의 "보완 레이어"로 유효하다고 인정했다. DefectDojo는 Claude Code와 자사 취약점 관리 플랫폼을 연동하는 에이전틱 보안 워크플로를 공식 지원하기 시작했다. 기존 보안 생태계가 AI를 거부하는 게 아니라, 흡수하는 방향으로 움직이고 있다는 신호다.
한 가지 확실한 건 있다. CrowdStrike와 Okta의 주가가 반등하든 추가 하락하든, AI가 소프트웨어를 이해하는 방식은 되돌릴 수 없는 지점을 넘었다. 보안 업계의 진짜 전쟁은 주가가 아니라 기술의 경계에서 벌어지고 있다. 그리고 그 경계는 매달 AI 쪽으로 이동하고 있다.
출처:
- Cyber Stocks Slide as Anthropic Unveils 'Claude Code Security' — Bloomberg
- Making frontier cybersecurity capabilities available to defenders — Anthropic
- Cybersecurity stocks drop after Anthropic debuts Claude Code Security — SiliconANGLE
- AI can now hunt software bugs on its own — Fortune
- CrowdStrike, Okta lead cyber selloff after Anthropic's Claude update — Invezz
- Claude Code Security Wipes $15B From Cyber Stocks — Bitcoin Ethereum News
- JFrog (FROG) Stock Drops 20% After Anthropic's Claude Code Security Launch — CoinCentral
- "Cyber is on shaky ground, but this is also an opportunity" — Calcalist