- Authors
- Name
- 오늘의 바이브
보안 업계가 하루 만에 100억 달러를 잃었다
2026년 2월 20일, Anthropic이 Claude Code Security를 발표했다. 그날 S&P 500은 0.69% 올랐다. NASDAQ은 0.90% 상승했다. 시장 전체가 초록이었다. 그런데 사이버보안 섹터만 빨갛게 물들었다. CrowdStrike -7.95%, Cloudflare -8.05%, Okta -9.18%, SailPoint -9.4%, JFrog -24.94%. Global X Cybersecurity ETF(BUG)는 하루에 4.9% 빠지며 2023년 11월 이후 최저치를 기록했다.
AI 도구 하나가 발표됐을 뿐이다. 그것도 정식 출시가 아닌 리서치 프리뷰였다. 그런데 보안 업계 시총이 하루 만에 수십억 달러 증발했다. 단순히 "경쟁 제품이 나왔다" 수준의 반응이 아니다. 시장은 무언가 더 근본적인 것에 반응했다. 보안 전문가들이 진짜 패닉한 이유는 Claude Code Security라는 제품 자체가 아니라, 그것이 증명한 한 가지 사실 때문이다.
수십 년간 잡지 못한 버그 500개
Claude Code Security의 핵심은 코드 스캐닝 도구가 아니라, 그 도구가 찾아낸 결과에 있다. Anthropic의 Frontier Red Team은 오픈소스 프로젝트들을 대상으로 Claude Opus 4.6을 돌렸다. 결과는 500개 이상의 고위험 취약점 발견이었다.
이 숫자 자체는 충격적이지 않을 수 있다. 충격적인 건 맥락이다. 이 코드들은 수년에서 수십 년간 운영 환경에서 돌아갔다. 전 세계 개발자들이 코드 리뷰를 했다. Snyk, Veracode, Checkmarx, JFrog Xray 같은 상용 보안 도구가 반복적으로 스캔했다. 그런데도 잡지 못한 버그를 AI가 찾아냈다.
보안 업계의 존재 근거가 흔들린 순간이다. "우리 도구가 당신의 코드를 안전하게 지킨다"가 보안 회사들의 가치 제안이다. 그 가치 제안이 "아니, 500개나 놓쳤다"로 반증된 셈이다. 주가가 빠진 건 경쟁 때문이 아니라, 신뢰 기반의 붕괴 때문이다.
패턴 매칭 vs. 추론, 세대가 다르다
기존 보안 도구의 작동 원리는 규칙 기반 패턴 매칭이다. CVE(Common Vulnerabilities and Exposures) 데이터베이스에 등록된 취약점 패턴을 참조해서, 코드에서 해당 패턴이 발견되면 경고를 울린다. SQL 인젝션의 전형적 패턴, 노출된 API 키, 구식 암호화 알고리즘. 룰북에 있는 것만 잡는다.
Claude Code Security는 작동 원리 자체가 다르다. Anthropic의 표현을 빌리면, "인간 보안 연구원이 코드를 읽는 것처럼 읽고 추론한다." 데이터가 애플리케이션을 통해 어떻게 흘러가는지 추적한다. 컴포넌트 간 상호작용을 이해한다. 비즈니스 로직의 결함을 파악한다. CVE 데이터베이스에 없는 취약점, 즉 제로데이를 찾아낼 수 있다.
차이를 정리하면 이렇다.
| 항목 | 기존 보안 도구 (Snyk, JFrog 등) | Claude Code Security |
|---|---|---|
| 탐지 방식 | 규칙 기반 패턴 매칭 | AI 추론 기반 코드 분석 |
| 알려진 CVE | 데이터베이스 의존 | 데이터베이스 + 추론 |
| 제로데이 | 탐지 불가 | 탐지 가능 |
| 비즈니스 로직 결함 | 탐지 불가 | 탐지 가능 |
| 거짓 양성 | 높음 (노이즈 문제) | 다단계 자체 검증으로 필터링 |
| 패치 | 경고만 제공 | 구체적 패치 코드 자동 생성 |
| 과금 | 연간 엔터프라이즈 라이선스 | API 호출 기반 |
핵심은 "경고를 울린다" vs. "패치까지 만든다"의 차이다. 기존 도구는 "여기 위험해 보인다"고 말한다. Claude Code Security는 "여기가 위험하고, 이렇게 고치면 된다"고 말한다. 탐지에서 해결까지 한 단계로 압축한 셈이다. 보안 업계의 표현을 빌리면, "detect and alert"에서 **"solve and secure"**로의 전환이다.
CrowdStrike CEO는 왜 직접 나섰나
Claude Code Security 발표 직후, CrowdStrike CEO George Kurtz가 직접 성명을 냈다. "코드를 스캔하는 AI 기능이 Falcon 플랫폼이나 보안 프로그램을 대체하지 않는다. 보안에는 침해를 막기 위해 만들어진 독립적이고 실전 검증된 플랫폼이 필요하다." 시총 800억 달러 기업의 CEO가 리서치 프리뷰 단계의 도구에 직접 반응한 것 자체가 비정상적이다.
Kurtz의 반론은 기술적으로 맞다. CrowdStrike의 Falcon은 엔드포인트 런타임 보안 플랫폼이다. 코드 스캐닝과는 다른 영역이다. 코드에서 취약점을 찾는 것과, 실시간으로 침입을 탐지하고 차단하는 것은 다른 일이다. 하지만 Kurtz가 직접 나선 이유는 기술적 겹침 때문이 아니다. 서사의 전환 때문이다.
AI가 보안의 상류(코드 작성 단계)를 장악하면, 하류(런타임 보안)의 중요성이 상대적으로 줄어든다. 코드에서 취약점을 아예 없앤다면, 런타임에서 막아야 할 공격 벡터도 줄어든다. 물론 완벽한 코드란 없고, 런타임 보안은 여전히 필요하다. 하지만 시장의 서사가 "AI가 보안을 해결한다"로 바뀌면, 전통적 보안 기업의 프리미엄이 깎인다. Kurtz는 그 서사 전환을 조기에 차단하려 한 것이다.
Bank of America는 보고서에서 이 구분을 명확히 했다. Claude Code Security가 "유의미한 위협(significant threat)"인 대상은 코드 스캐닝 플랫폼이지, 엔드투엔드 보안 플랫폼이 아니라고. JFrog과 GitLab을 명시적으로 지목하면서, CrowdStrike와 Zscaler는 "직접적 위협이 아니다"라고 선을 그었다. Forrester의 Jeff Pollard도 같은 맥락에서 CrowdStrike와 Okta의 하락은 "심리적 전염(sentiment contagion)"이라고 분석했다. 실제로 코드 분석을 하지 않는 회사들의 주가가 같이 빠진 건, 공포가 사실보다 빠르게 퍼졌다는 뜻이다.
진짜 겁먹어야 하는 회사, 안 겁먹어도 되는 회사
시장의 공포가 모든 보안주에 균등하게 퍼졌지만, 실제 위협의 크기는 천차만별이다. 누가 진짜 위험하고 누가 과잉 반응인지를 구분해야 한다.
| 분류 | 기업 | 하락폭 | 실제 위협 수준 |
|---|---|---|---|
| 직접 겹침 | JFrog (-25%) | 핵심 사업 정면 충돌 | 높음 |
| 직접 겹침 | GitLab (-8.7%) | 코드 분석 사업 일부 노출 | 중간~높음 |
| 간접 연관 | CrowdStrike (-8%) | 런타임 보안, 직접 겹침 없음 | 낮음 |
| 간접 연관 | Cloudflare (-8%) | 네트워크 보안, 코드 무관 | 낮음 |
| 심리적 전염 | Okta (-9.2%) | 인증/접근 관리, 코드 무관 | 없음 |
| 심리적 전염 | SailPoint (-9.4%) | 아이덴티티 보안, 코드 무관 | 없음 |
JFrog이 25% 빠진 건 합리적이다. JFrog Xray와 SAST는 정확히 Claude Code Security가 하는 일을 한다. 연매출 5.3억 달러 중 보안 스캐닝이 포함된 Enterprise+ 구독이 57%다. 성장 스토리의 핵심이 직접 위협받고 있다.
반면 Okta가 9.2% 빠진 건 과잉 반응이다. Okta는 인증과 접근 관리를 한다. 코드 스캐닝과 겹치는 부분이 제로다. 하지만 "AI가 보안을 대체한다"는 헤드라인 하나에 시장이 보안주 전체를 매도했다. Dennis Dick(Triple D Trading 수석 트레이더)은 이 현상을 이렇게 설명했다. "이런 시장에서는 혼란의 힌트만 있어도 가격이 무자비하게 내려간다." 팩트보다 공포가 먼저 반영되는 시장의 전형적 패턴이다.
AI 보안 시장의 3파전
Anthropic만 보안 시장에 들어온 게 아니다. AI 빅3가 전부 코드 보안에 진출했다.
Anthropic Claude Code Security (2026년 2월). Claude Opus 4.6 기반. 오픈소스에서 500개 이상의 제로데이 발견. 다단계 검증으로 거짓 양성 필터링. 자동 패치 코드 생성. Enterprise/Team 고객 대상 리서치 프리뷰. 오픈소스 메인테이너에게는 무료 접근 제공.
OpenAI Aardvark (2025년 10월). CI/CD 파이프라인에 직접 임베딩되는 시맨틱 분석 도구. Codex와 통합되어 개발 워크플로 안에서 보안 검토가 이뤄진다. 개발자가 코드를 작성하는 순간에 보안을 검사하는 "shift-left" 접근법이다.
Google CodeMender (2025년 11월). Gemini의 추론 능력과 전통적 프로그램 분석 기법을 결합한 하이브리드 모델. 이전 프로젝트인 Big Sleep에서 발전했다. 자체 보안 LLM을 훈련시켜 코드 맥락을 이해한다.
한 회사의 실험이 아니라 산업 전체의 전략적 방향이라는 게 핵심이다. Forrester는 "AI 기업들이 교란 시간(disruption window)을 수년에서 수개월로 압축하려 경쟁하고 있다"고 표현했다. 클라우드 전환이 10년 걸렸다면, AI에 의한 보안 시장 재편은 몇 달 안에 일어날 수 있다는 경고다. 전통적 보안 기업 입장에서는 경쟁자가 하나가 아니라 셋이다. 그리고 셋 모두 세계에서 가장 큰 AI 기업이다.
Jefferies의 애널리스트 Joseph Gallo는 다른 시각을 제시한다. 사이버보안이 장기적으로는 AI의 **"순수혜자(net beneficiary)"**가 될 것이라고. 논리는 이렇다. AI가 공격도 더 정교하게 만들기 때문에, 방어에 대한 수요도 함께 늘어난다. 다만 "명확해지기 전에 헤드라인이 혼란을 증폭시킬 것"이라는 단서를 달았다.
규제라는 속도 제한기
패닉에 브레이크를 걸 수 있는 요인이 하나 있다. 규제다.
2025년 말 체결된 UK-US AI Safety Accord는 사이버 추론 프로토콜을 수립했다. 2026년 초 발표된 NIST Cyber AI Profile은 AI 보안 도구에 대한 Human-in-the-Loop 요구 사항을 명시한다. AI가 코드 취약점을 찾고 패치를 제안할 수 있지만, 실제 적용은 인간이 승인해야 한다는 원칙이다. Anthropic도 이 원칙을 따른다. "아무것도 인간의 승인 없이 적용되지 않는다. Claude Code Security는 문제를 식별하고 해결책을 제안하지만, 최종 판단은 항상 개발자의 몫이다."
금융, 의료, 국방 분야에서는 이 규제가 특히 중요하다. SOC 2, ISO 27001, FedRAMP 같은 인증을 요구하는 기업들은 새로운 도구 도입에 극히 보수적이다. JFrog은 이미 이 인증들을 보유하고 있다. Claude Code Security가 같은 수준의 인증을 받기까지는 시간이 걸린다.
하지만 규제는 속도 제한기이지 정지 신호가 아니다. Claude Code Security가 FedRAMP 인증을 받고, SOC 2 감사를 통과하는 순간, 규제 장벽은 사라진다. 문제는 "올 것인가"가 아니라 "언제 올 것인가"다. Anthropic의 규모와 Amazon, Alphabet의 백업을 감안하면, 그 시점이 멀지 않을 수 있다.
패닉 이후의 진짜 질문
보안 전문가들이 Claude에 패닉한 진짜 이유를 정리하면 이렇다. 경쟁 제품이 나와서가 아니다. 수십 년간 전문가와 도구가 검토한 코드에서 500개 이상의 제로데이가 나왔다는 사실이, 기존 보안 도구의 탐지 능력 자체에 의문부호를 붙인 것이다.
Raymond James는 보안주 매도세가 "과도하다(excessive)"고 평가했다. Morgan Stanley도 "실질적으로 과도하다(materially overdone)"고 봤다. 단기적으로는 이 판단이 맞을 가능성이 높다. Claude Code Security는 아직 리서치 프리뷰다. 거짓 양성 비율, 실제 운영 환경에서의 성능, 대규모 코드베이스 처리 능력은 아직 검증되지 않았다. Semgrep CEO Isaac Evans는 "500개 취약점의 심각도 평가가 정확한지, 거짓 양성이 얼마나 되는지에 대한 상세한 통계가 공개되지 않았다"고 지적했다.
하지만 장기적 질문은 다르다. 패턴 매칭이 추론을 이길 수 있는가. 알려진 취약점만 찾는 도구가, 알려지지 않은 취약점까지 찾는 도구와 어떻게 경쟁하는가. 경고만 하는 서비스가, 패치까지 만드는 서비스와 같은 가격을 받을 수 있는가.
Forrester가 말한 "SaaS-pocalypse"의 본질은 여기에 있다. AI 기업들이 기존 구독에 보안 기능을 번들로 끼워 넣으면, 갱신 주기마다 기존 업체들은 가격 불일치를 방어해야 한다. CrowdStrike처럼 Charlotte AI를 자사 플랫폼에 통합해 방어하는 기업은 살아남을 것이다. 하지만 규칙 기반 스캐닝이 유일한 무기인 기업에게, AI는 경쟁자가 아니라 멸종 이벤트가 될 수 있다. 보안 전문가들이 패닉한 건, 이 멸종 이벤트의 시작을 목격했기 때문이다.
출처:
- Claude Code Security Causes Panic Among Cybersecurity Pros — The Register
- Making frontier cybersecurity capabilities available to defenders — Anthropic
- Cybersecurity stocks drop as new Anthropic tool fuels AI disruption fears — CNBC
- Claude Code Security Triggers Cybersecurity Flash Crash — MarketMinute
- Claude Code Security Causes A SaaS-pocalypse In Cybersecurity — Forrester
- Why the JFrog sell-off is "excessive" according to Raymond James — Yahoo Finance