완전 대체는 오해… 보안 기업 역할 더 커진다 [클로드 코드 시큐리티②]
||2026.03.02
앤트로픽 '클로드 코드 시큐리티(Claude Code Security)' 등장으로 글로벌 보안주가 하락하자 글로벌 증권가도 진화에 나섰다. 인공지능(AI) 코드 보안 도구의 진화와 보안 산업 전반의 대체 가능성을 동일선상에 놓은 오해가 작용했다는 지적이다.
영국에 본사를 둔 글로벌 금융 서비스 기업 바클레이즈(Barclays)는 최근 보고서에서 이번 매도세를 "상황에 잘 맞지 않는 과도한 반응"이라고 규정했다. 클로드 코드 시큐리티는 개발자를 위한 코드 보안 도구에 가깝고 크라우드스트라이크·세일포인트·클라우드플레어·팔로알토네트웍스처럼 단말(Endpoint) 보호, 계정·권한 관리(IAM), 네트워크·클라우드 보안에 집중하는 기업과 직접 경쟁 관계에 있다고 보긴 어렵다는 설명이다.
미국의 금융 서비스 기업인 베어드(Robert W. Baird)의 슈레닉 코타리(Shrenik Kothari) 애널리스트도 "사실관계보다는 'AI가 모든 것을 대체한다'는 이야기 자체가 앞서며 공포성 대량 매도가 나타났다"고 평가했다. 여기에 미국 로스엔젤레스에 본사를 둔 비상장 금융 서비스 기업 웨드부시(Wedbush)는 "이번 발표로 오히려 사이버 보안이 AI 확산의 수혜 산업 중 하나라는 인식이 강화됐다"는 분석을 내놨다.
실제 타격은 ‘애플리케이션 보안’ 일부
클로드 코드 시큐리티 발표가 보안 기업들에게 미친 영향을 다른 각도에서 볼 수 있는 사례도 있다. 포레스터(Forrester)의 분석에 따르면 코드 공급망과 애플리케이션 보안에 집중하는 제이프로그(JFrog)는 해당 이슈가 불거진 날 하루 만에 주가가 24.61% 급락했고, 깃랩(GitLab)도 8.72% 하락했다. 개발 단계의 코드·구성 요소를 직접 다루는 업체들이 가장 민감하게 반응했다는 분석이다.
반면 포레스터는 크라우드스트라이크, 팔로알토네트웍스, 옥타, 지스케일러 등 엔드포인트·네트워크·계정 보호 중심 기업까지 동반 매도된 것은 제품 영역이 겹치지 않음에도 불구하고 나타났다고 봤다. 개발 단계 코드 점검 도구와 운영 환경(Runtime) 보안을 동일 범주로 묶은, 시장의 잘못된 판단이 작용했을 가능성이 제기된다.
보안 시장은 단말 침입 탐지·대응, 네트워크·인터넷 접속 보호, 클라우드 보안, 계정·권한 관리, 데이터 보호, 애플리케이션 보안 등 다층 구조로 형성돼 있다. 클로드 코드 시큐리티가 직접 겨냥하는 영역은 이 가운데서도 애플리케이션 보안, 특히 개발 단계의 코드 점검과 소프트웨어 구성 요소 분석(SCA), 애플리케이션 보안 형상 관리(ASPM) 일부에 가깝다.
코드 점검 결과가 다른 보안 영역에서 참고 정보로 활용될 수는 있지만, 단말 악성행위 탐지나 네트워크 차단, 계정 통제 등 주력 매출을 형성하는 런타임 보안 기능을 곧바로 잠식하는 구조는 아니라는 설명이다.
이를 감안하면 클로드 코드 시큐리티는 "보안에 AI가 본격적으로 위협을 준다"는 사건이라기보다, 대규모 언어모델(LLM)의 추론 능력과 에이전트 방식을 결합해 한 단계 더 나아간 사례로 보는 편이 타당하다는 분석이 나온다.
“공격자도 AI 쓴다… 보안기업 역할 더 커질 것”
그럼에도 불구하고 "AI가 정말로 코드 취약점을 잘 찾아내고 알아서 조치한다면, 결국 보안 수요는 줄어드는 것 아니냐"는 의문도 제기된다. 직관적으로는 안전한 코드가 늘어나면 전체 공격 표면이 줄어들 수 있어 보인다. 하지만 AI는 공격자 입장에서도 강력한 도구라는 점을 항상 기억해야 한다.
이미 여러 보안 전망 자료는 공격자가 LLM과 AI 에이전트를 이용해 탈취한 데이터 분석, 맞춤형 피싱 문구 작성, 시스템 구조 파악, 여러 취약점을 엮는 복합 공격 설계 등을 자동화했고, 이를 더욱 고도화할 것으로 예상하고 있다. 트렌드마이크로 등 보안 기업들과 글로벌 보안 컨설팅사들은 이런 흐름을 'AI 군비 경쟁'으로 규정한다. 공격과 방어 모두에서 AI 활용이 늘어나는 만큼, 전체 보안 투자 규모가 줄어들 것이라고 단정하긴 어렵다고 본다.
보안 기업들이 그동안 축적해온 노하우도 핵심 요소로 꼽힌다. 보안에서의 관건은 "누가 더 많은, 더 질 좋은 보안 관련 운영·관측 정보(Telemetry)를 확보하고 있느냐"에 있기 때문이다. 크라우드스트라이크와 팔로알토네트웍스, 옥타, 지스케일러 같은 대형 보안 기업들은 전 세계 단말·클라우드 업무·네트워크·로그인 기록에서 나오는 보안 관련 정보를 오랜 기간 축적해 왔다.
이런 데이터는 범용 AI 서비스가 당장 따라잡기 어려운 자산으로, 장기적으로는 각 보안 기업이 자체 보안 AI를 고도화하는 기반이 될 가능성이 크다. 이런 이유에서 보안 전문가들은 클로드 코드 시큐리티의 등장에 대해 "코드 보안 점검 시장에는 큰 변화를 가져오겠지만, 보안 산업 전체를 무너뜨릴 수준의 사건으로 보기는 어렵다"고 입을 모은다.
정해진 규칙과 목록을 기반으로 취약점을 찾아온 전통적인 코드 분석·구성 요소 분석 도구들은 AI 기반 에이전트형 도구와의 경쟁 압력을 받을 가능성이 크다. 하지만 단말·네트워크·클라우드·계정·데이터 보호 등 실제 운영 환경에서의 침입 탐지와 대응을 맡는 영역은, 앞으로 AI가 강화되더라도 기업 보안의 중심 축으로 남을 가능성이 크다는 분석이 힘을 얻고 있다.
클로드 코드 시큐리티는 코드 보안 점검 분야에서 현재 AI가 어느 수준까지 왔는지를 보여주는 분명한 지표다. 특히 보안 업계에는 "정해진 규칙에 의존하던 도구와 서비스는 이제 설계 단계부터 재검토해야 한다"는 분명한 신호를 던진다. 다만 이 도구 하나만으로 보안 기업이 필요 없게 되는 미래를 섣부르게 그리기보다는, 어떤 영역의 사업 모델이 직접적인 압박을 받고, 어떤 영역에서 AI를 활용한 새로운 기회가 열리는지를 구분해서 볼 필요가 있다는 게 다수 전문가들의 공통된 견해다.
정종길 기자
jk2@chosunbiz.com
1
2
3
4
5
