무슨 일이 있었냐면요
앤트로픽(Claude를 만드는 그 회사예요)이 AI로 소프트웨어 취약점을 찾아내는 오픈소스 프레임워크를 공개했어요. 이름은 좀 길어요. defending-code-reference-harness라고 하는데, 풀어보면 '코드를 방어하기 위한 참조용 도구 모음' 정도로 이해하면 돼요.
여기서 잠깐, 취약점(vulnerability)이 뭔지부터 짚고 갈게요. 우리가 짠 코드에는 의도치 않은 빈틈이 생기거든요. 예를 들어 사용자 입력을 제대로 걸러내지 않으면 해커가 그 틈으로 비밀번호 데이터베이스를 통째로 빼갈 수 있어요. 이런 '뚫리는 구멍'을 취약점이라고 불러요. 지금까지는 이걸 찾는 게 보안 전문가의 몫이었는데, 코드가 워낙 방대해지다 보니 사람 눈으로 다 훑는 게 거의 불가능해졌죠.
이 도구가 하는 일
핵심 아이디어는 이래요. AI에게 코드베이스를 주고 '여기서 보안 문제를 찾아봐'라고 시키는 거예요. 그런데 그냥 'AI야 찾아줘' 하면 엉뚱한 소리를 하기 쉽거든요. 그래서 앤트로픽은 AI가 일을 제대로 하도록 틀(harness)을 짜놨어요.
이게 뭐냐면, AI가 코드를 읽고 → 의심스러운 부분에 가설을 세우고 → 실제로 그게 악용 가능한지 검증하고 → 사람이 확인할 수 있게 보고서를 만드는, 이런 일련의 과정을 자동화한 거예요. 단순히 'X줄에 SQL 인젝션 가능성 있음' 하고 끝나는 게 아니라, 왜 위험한지 근거를 추적할 수 있게 만든 게 포인트예요. 보안 분야에서 가장 골치 아픈 게 거짓 양성(false positive), 그러니까 '위험하다고 떴는데 알고 보니 멀쩡한 코드'거든요. 이런 오탐이 많으면 사람이 오히려 더 피곤해져요. 그래서 검증 단계를 끼워넣은 거죠.
그리고 이게 오픈소스라는 게 중요해요. 누구나 코드를 뜯어보고, 자기 환경에 맞게 고쳐 쓸 수 있다는 뜻이거든요. 'AI 보안 도구'라고 하면 보통 비싼 상용 제품이 떠오르는데, 참조 구현(reference implementation)을 공개했다는 건 '이렇게 만들면 돼, 가져다 써' 하는 가이드를 던져준 셈이에요.
업계 흐름에서 보면
사실 'AI로 취약점 찾기'는 요즘 보안 업계의 뜨거운 화두예요. 구글의 OSS-Fuzz에 AI를 붙여서 오픈소스 라이브러리의 버그를 자동으로 발견한 사례도 있었고, 'Big Sleep' 같은 프로젝트는 실제로 사람이 못 찾던 메모리 취약점을 AI가 잡아내기도 했어요. 한쪽에서는 해커들도 AI를 악용해서 공격을 자동화하려고 하고요.
그러니까 지금은 '공격 AI vs 방어 AI'의 군비 경쟁이 막 시작된 시점이에요. 앤트로픽이 굳이 방어(defending)라는 단어를 이름에 박아넣은 것도, '우리는 코드를 지키는 쪽에 무게를 둔다'는 메시지를 주려는 거라고 봐요.
한국 개발자에게는
당장 실무에 어떻게 쓸 수 있을까요? 사내에 보안팀이 따로 없는 스타트업이라면, 이런 프레임워크를 CI 파이프라인(코드를 올릴 때마다 자동으로 검사가 돌아가는 흐름)에 끼워넣는 실험을 해볼 만해요. 물론 AI가 짚어준 걸 100% 믿으면 안 되고, 사람이 한 번 더 보는 게 전제예요.
더 중요한 건, AI 코딩 도구로 코드를 빠르게 찍어내는 시대일수록 보안 검증도 같은 속도로 따라가야 한다는 점이에요. AI가 짠 코드를 AI가 검수하는 그림이 자연스러워지고 있거든요. 보안에 관심 있는 분이라면 이런 harness가 내부적으로 어떤 프롬프트와 검증 로직을 쓰는지 직접 뜯어보는 것만으로도 좋은 공부가 돼요.
마무리
한 줄로 정리하면, 'AI에게 코드 보안 검사를 맡기되, 헛소리를 거르는 틀까지 통째로 공개한 도구'예요.
여러분은 어떻게 생각하세요? AI가 찾아준 취약점 보고서, 사람 검토 없이 어디까지 믿고 자동으로 고치게 둘 수 있을까요?
🔗 출처: Hacker News
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공