인공지능(AI)이 소프트웨어를 무용지물로 만들 것이란 우려가 지속되는 가운데 최근 미국 AI 기업 앤트로픽이 출시한 보안 점검 도구 '클로드 코드 시큐리티'가 보안 업계에 파장을 일으키고 있다. 스스로 보안 취약점을 찾아내는 보안 AI 에이전트(비서)가 전통적인 보안 솔루션을 대체할 것이란 전망이 나오면서 주요 사이버보안 기업의 주가가 일제히 급락했다. 실제 크라우드스트라이크, 지스케일러, 팔로알토 네트웍스 등 대형 보안 기업의 주가는 앤트로픽이 새 보안 도구를 발표한 직후 최대 10% 떨어졌다.
앤트로픽이 촉발한 '사스포칼립스(SaaSpocalypse·서비스형 소프트웨어+종말)' 공포가 보안 산업까지 번지고 있다는 분석이 나온다. 그러나 보안 업계는 '클로드 코드 시큐리티'의 기능이 코드 취약점 탐지에 한정된 만큼, 빠른 시일 내 기업 환경에서 실시간으로 위협을 포착하고 대응하는 기존 보안 솔루션을 대체할 수 없다고 주장한다.
◇ 보안 산업 덮친 'AI 위협'… 보안주 약세
2일 관련 업계에 따르면 '클로드 코드 시큐리티'는 앤트로픽이 지난달 20일 개발자용 코딩 도구 '클로드 코드'에 추가한 보안 점검 기능으로, 보안 연구원처럼 코드를 읽고 추론해 해킹에 악용될 수 있는 취약점을 찾아내고 수정안(패치)을 제안한다. 앤트로픽은 "해결해야 할 취약점은 너무 많고, 기업의 보안 인력은 턱없이 부족하다"라며 "'클로드 코드 시큐리티'는 새로운 유형의 AI 기반 공격으로부터 코드를 보호하고, 기존 방법으로는 놓치기 쉬운 취약점을 팀이 발견하고 수정할 수 있도록 도와준다"고 설명했다.
이런 AI 보안 기능이 향후 기업용 보안 솔루션을 잠식할 수 있다는 위기론이 시장을 휩쓸면서 지난달 사이버 보안 관련주도 타격을 받았다. 시장 반응에 놀란 글로벌 보안 기업 수장들은 즉각 진화에 나섰다.
이들은 앤트로픽의 '클로드 코드 시큐리티' 기능이 코드 취약점 탐지에만 국한됐기 때문에 기업용 보안 솔루션과는 성격이 다르다고 강조했다. 다층 방어 구조로 이뤄진 보안 스택(보안 체계)의 다른 단계에서 작동한다는 의미다.
보안 스택은 PC·모바일 등 단말(엔드포인트) 침입 탐지·대응, 네트워크 방어, 클라우드 보안, 신원 관리, 데이터 보호, 애플리케이션 보안 등의 계층으로 구성된다. '클로드 코드 시큐리티'는 여기서 애플리케이션 보안 영역을 담당하며, 특히 개발 단계에서 잠재적 취약점을 찾아내는 데 초점을 맞추고 있어, 사전 예방 특성이 강하다. 반면, 팔로알토나 크라우드스트라이크의 보안 솔루션은 실제 기업 운영 환경에서 위협을 실시간으로 탐지·차단한다는 점에서 엔드포인트·네트워크·클라우드·신원 보안 영역을 아우른다.
일례로 '클로드 코드 시큐리티'는 해커가 기업의 네트워크에 침입해 숨어 있거나 직원이 피싱 링크를 클릭했을 때 대응하지 못하지만, 기업용 보안 플랫폼은 진행 중인 공격을 탐지하고 감염된 기기를 즉각 격리하거나 악성코드를 차단할 수 있다. 또 기업용 보안 플랫폼에 적용된 AI는 방대한 양의 공격 데이터로 학습된 특화 AI라 설계 목적과 특성이 다르다는 게 전문가들의 설명이다.
조지 커츠 크라우드스트라이크 최고경영자(CEO)는 "AI 혁신은 고무적이지만, 현실을 직시해야 한다"라며 "클로드 코드 시큐리티는 코드 취약점 스캐너이자 패치 제안 도구일 뿐, 전체 보안 체계를 대체할 수 없다"고 말했다. 그는 실제 AI 챗봇 클로드에도 "크라우드스트라이크를 대체할 수 있는 도구를 만들어줘"라는 명령어를 입력했을 때 클로드는 "수천 명의 엔지니어가 10년간 구축한 대형 보안 플랫폼은 단순한 스크립트로 구현할 수 없다"라고 답변했다고 강조했다.
◇ "단기적으로 보조 역할, 장기적으로는 보안 산업 구조 바꿀 수도"
앤트로픽의 개발자용 AI 보안 점검 도구는 새로운 기능이 아니다. 경쟁사들도 이미 유사한 기능을 선보이며 개발 단계에서의 보안 자동화를 추진해왔다. 오픈소스 플랫폼 깃허브는 2023년부터 AI 기반 취약점 자동 수정 기능인 '코파일럿 오토픽스'를 운영해왔고, 구글 딥마인드는 AI가 스스로 취약점을 탐색하는 '빅슬립 프로젝트'를 진행 중이다.
이에 업계에서는 당분간 '클로드 코드 시큐리티' 같은 AI 도구가 기존 보안 솔루션을 대체하기보다 보완할 가능성이 높다고 보고 있다. 실제 구글은 앤트로픽보다 먼저 코드 취약점을 탐지해 수정안을 제시하는 AI 도구를 사용했음에도 불구하고 대규모 사이버보안 조직을 운영하고 있고, 보안 기술에도 대규모 투자를 지속하고 있다. 지난해 이스라엘 보안 기업 위즈를 320억달러(약 46조5000억원)에 인수한 사례가 대표적이다.
투자은행 뱅크오브아메리카(BoA)는 "앤트로픽의 '클로드 코드 시큐리티'는 깃랩이나 제이프로그처럼 코드 취약점 점검 도구를 운영하는 기업에는 영향을 줄 수 있지만, 아직 통합 보안 플랫폼을 대체할 만한 가시성과 운영 안정성을 갖추지 못했다"고 평가했다.
그러나 이런 AI 기반 도구가 빠르게 고도화되면서 코드 취약점 탐지를 넘어 다른 분야로 영역을 확대할 가능성을 배제할 수 없다는 의견도 나온다. 염흥렬 순천향대 명예교수는 "현재는 앤트로픽의 AI 기반 보안 도구 등이 보조적인 수단으로 인간의 개입 없이는 활용할 수 없지만, 앞으로 완성도가 높아지면서 고도화된 보안 솔루션을 위한 소프트웨어 제작에 활용될 수 있다"라며 "기술 발전 속도를 봐야겠지만, 장기적으로는 보안 산업에 위협이 될 것으로 전망한다"고 말했다.