Molayo

© 2026 Molayo

Dev.to헤드라인2026. 05. 27. 16:16

Claude Security 업데이트: 스캔, 웹훅, 6개 파트너십

요약

Claude Security가 정기 스캔, 디렉토리 타겟팅, Slack/Jira 웹훅 기능을 추가하며 단순 스캐너에서 워크플로 도구로 진화했습니다. Opus 4.7 모델을 기반으로 보안 플랫폼과의 파트너십을 확장하며 기업용 보안 검토 프로세스를 자동화합니다.

핵심 포인트

  • 정기 스캔 예약 및 디렉토리 단위 타겟팅 지원
  • Slack 및 Jira 웹훅을 통한 보안 워크플로 통합
  • Opus 4.7 기반의 다단계 검증 파이프라인 적용
  • CSV/Markdown 내보내기 및 오탐 무시(dismiss) 기능
  • CrowdStrike, Wiz 등 6개 보안 플랫폼과 파트너십

  • Claude Security는 정기 스캔, 디렉토리 타겟팅, CSV 또는 Markdown 내보내기 기능을 갖추며 출시 초기 단계를 넘어섰습니다.

  • Slack 및 Jira 웹훅(Webhooks)과 유지되는 거절(dismissals) 기능은 일회성 스캔을 주간 검토 루프(review loop)로 전환합니다.

  • CrowdStrike와 Wiz부터 Microsoft Security에 이르기까지, 6개의 보안 플랫폼이 이제 Opus 4.7을 기반으로 구축됩니다.

  • 현재 베타 버전은 Enterprise 전용으로 유지되고 있으므로, 여기서는 개인 스튜디오가 현재 대신 사용할 수 있는 기능들을 살펴봅니다.

Claude Security가 약 한 달 전 퍼블릭 베타(public beta)에 도달했을 때, 그것은 얇은 워크플로(workflow)에 둘러싸인 날카로운 스캐너였습니다. 저장소(repository)를 지정하면 보안 연구원처럼 코드를 추론하고, 제안된 패치(patches)와 함께 결과물을 전달했습니다. 유용하지만 일상적으로 사용하기에는 어려움이 있었습니다. 이번 주 Claude.ai 사이드바에 있는 버전은 완전히 다른 차원입니다. 정기 스캔, Slack 및 Jira로의 웹훅(webhooks), 디렉토리 수준의 타겟팅, 그리고 6개의 보안 플랫폼이 동일한 Opus 4.7 모델을 각자의 도구에 연결하고 있습니다.

출시에서 워크플로로: 실제로 출시된 기능들

출시 당시의 핵심 제안은 간단했습니다. 저장소를 스캔하고, 가공되지 않은 CVE 덤프 대신 쉬운 언어로 취약점(vulnerability)을 설명하며, 수정 사항을 제안하고, 최종 결정은 인간에게 맡기는 것이었습니다. 한 달 전 퍼블릭 베타 출시는 그 첫 번째 버전을 다루었습니다. 당시의 공백은 스캔을 둘러싼 모든 것이었습니다.

이번 주에는 그 공백이 대부분 채워졌습니다. 스캔을 수동으로 실행하는 대신 정기적인 일정에 맞춰 예약할 수 있는데, 이는 보안 부채 (security debt)가 릴리스 사이에 조용히 쌓이기 때문에 매우 중요합니다. 거대한 모노레포 (monorepo) 전체를 기다리는 대신 단일 디렉토리를 대상으로 지정할 수 있으므로, 결제 모듈에 대한 집중적인 검토를 한 시간이 아닌 몇 분 만에 끝낼 수 있습니다. 발견된 사항을 CSV 또는 Markdown 형식으로 내보내어 기존의 트래커 (tracker)나 감사 추적 (audit trail)에 바로 넣을 수 있습니다. 또한, 문서화된 사유와 함께 발견 사항을 무시 (dismiss)할 수 있으며, 이 무시 설정은 향후 실행 시에도 유지되므로 매주 동일한 오탐 (false positive)을 다시 분류 (re-triaging)할 필요가 없습니다.

이 모든 것의 밑바탕에는 다단계 검증 파이프라인 (multi-stage validation pipeline)이 있습니다. 각 발견 사항은 사용자에게 도달하기 전에 검사되며, 모든 항목에는 신뢰도 등급 (confidence rating)이 부여됩니다. 이 검증 단계는 스캐너를 계속 사용할 가치가 있는지 결정하는 핵심적인 부분인데, 왜냐하면 잘못된 경고를 남발하는 도구는 일주일 안에 무시되기 때문입니다. 모델은 임포트 (imports)를 읽고, 데이터 흐름 (data flow)을 추적하며, 플래그가 지정된 패턴이 실제로 도달 가능한지 (reachable)에 대해 추론합니다. 이는 정규 표현식 (regex) 기반의 스캐너는 할 수 없는 종류의 판단입니다. 별도의 API 통합이나 커스텀 에이전트 (custom agent)를 구축할 필요 없이, Claude.ai 사이드바나 claude.ai/security를 통해 이 모든 기능에 접근할 수 있습니다.

실제로 발견되는 사항들은 몇 가지 동일한 클래스에 집중됩니다: 정제되지 않은 입력을 통한 인젝션 (injection), 깨진 권한 부여 확인 (broken authorization checks), 실수로 커밋된 비밀 정보 (secrets), 서버 측 요청 위조 (SSRF, server-side request forgery), 그리고 안전하지 않은 역직렬화 (unsafe deserialization)입니다. 디렉토리 타겟팅 기능은 실제 코드베이스에서 이러한 작업을 처리 가능하게(tractable) 만들어 줍니다. 20만 줄짜리 모노레포를 스캔하며 단일 보고서에 파묻히는 대신, 방금 변경한 서비스로 실행 범위를 제한하고, 이를 검토한 뒤 다음 단계로 넘어갈 수 있습니다. 변경 사항의 맥락을 유지하고 있는 동안 완료되는 범위 제한 스캔 (scoped scan)이야말로 사용자가 실제로 읽게 되는 스캔입니다.

웹훅 (Webhook) 및 무시 (Dismissal) 루프

스캐너를 습관으로 만드는 실질적인 역할을 하는 두 가지 기능은 바로 웹훅 (webhooks)과 지속적인 무시 (persistent dismissals) 기능입니다.

웹훅 (Webhooks)은 결과를 Slack, Jira 또는 훅 (hook)을 수용할 수 있는 모든 곳으로 푸시합니다. 단 한 번의 복사-붙여넣기 없이도 스캔 결과가 티켓 (ticket)으로 변환되며, 발견된 사항은 아무도 열어보지 않는 대시보드가 아니라 팀이 이미 작업 중인 곳으로 전달됩니다. 지속적인 무시 (Persistent dismissals) 기능은 검토 후 거부한 발견 사항이 다음 스캔 시 다시 나타나지 않고 그대로 유지됨을 의미하며, 이는 기존 도구들이 유발하던 피로도의 가장 큰 원인이었습니다.

이 기능들을 결합하면 하나의 루프 (loop)가 형성됩니다. 정해진 일정에 따라 스캔하고, 새로운 발견 사항만 노출하며, 팀이 상주하는 곳으로 경로를 지정하고, 이유를 명시하여 노이즈를 무시하면, 다음 스캔이 그 선택을 존중하게 됩니다. 이 루프의 유무가 스크린샷을 찍기 위해 한 번 실행하는 도구와 매주 금요일마다 실행하게 되는 도구 사이의 결정적인 차이를 만듭니다.

또한, 이는 규칙 기반 생성 (rule-based generation) 방식과의 대조가 극명하게 드러나는 지점이기도 합니다. Snyk, Dependabot, GitGuardian은 알려진 시그니처 (signatures)를 매칭하고 공개된 권고 사항 (advisories)이 있는 종속성 (dependencies)을 식별하는 데 능숙합니다. 하지만 여러분의 자체 로직 내 특정 코드 경로가 왜 취약한지 설명하는 능력은 훨씬 떨어지며, 심각도 배지 (severity badges)의 벽 아래에 중요한 신호 (signal)를 묻어버리는 경향이 있습니다. 신뢰도 등급 (Confidence ratings)과 무시 (dismissals) 기능을 결합하면 노이즈 임계값 (noise floor)을 설정할 수 있어, 인간의 시간이 투입될 가치가 있는 발견 사항만 통과하게 됩니다. 이를 통해 더 적은 경고를 받되, 각 경고는 더 많은 컨텍스트 (context)를 담게 됩니다.

6개 플랫폼이 이제 Opus 4.7 기반으로 작동합니다

더 큰 움직임은 이를 활용해 무엇을 구축하고 있는가에 있습니다. CrowdStrike, Microsoft Security, Palo Alto Networks, SentinelOne, TrendAI, 그리고 Wiz는 자신들의 보안 제품에 Opus 4.7을 내장하고 있습니다. 서비스 측면에서는 Accenture, BCG, Deloitte, Infosys, 그리고 PwC가 고객들을 위해 Claude가 통합된 보안 작업을 배포하고 있습니다. Anthropic은 또한 보호된 기능에 대한 접근이 필요한, 고위험 사이버 보안 작업을 수행하는 조직들을 위해 사이버 검증 프로그램 (Cyber Verification Program)을 개방했습니다.

지난주에는 거버넌스(governance) 측면이 추가되었습니다. 5월 21일에 발표된 컴플라이언스 API (Compliance API)는 Claude Enterprise 및 Platform의 활동(프롬프트, 응답, 업로드된 파일, 로그 및 관리자 작업)을 외부 보안 및 거버넌스 도구에 노출합니다. 이는 보안 팀이 어떤 모델이라도 프로덕션 코드 (production code) 근처에 두기 전에 반드시 필요로 하는, 화려하지는 않지만 필수적인 부분입니다. 왜냐하면 감사 표면 (audit surface)이 없다면 모델은 컴플라이언스 책임자 (compliance officer)가 승인할 수 없는 블랙박스 (black box)가 되기 때문입니다.

파트너 관련 소식은 여러분이 Enterprise 제품을 직접 사용하지 않더라도 중요합니다. Wiz나 CrowdStrike가 여러분이 이미 실행 중인 스캐너 (scanner)에 Opus 4.7을 연결하면, 모델의 추론 (reasoning) 능력이 이미 비용을 지불하고 신뢰하고 있는 도구를 통해 여러분의 파이프라인 (pipeline)에 도달하게 됩니다. 이것이 더 조용한 배포 방식입니다. 모든 사람이 Claude Security에 가입하지는 않겠지만, 많은 팀이 자신이 익숙한 대시보드를 떠나지 않고도 결국 이를 실행하게 될 것입니다.

이 내용들을 종합해 보면, Anthropic은 Claude를 단순히 기존 업체들과 경쟁하는 독립형 스캐너가 아니라, 보안 벤더들이 그 위에 구축하는 레이어 (layer)로 포지셔닝하고 있습니다. 이는 모델이 엔진 역할을 하고 다른 회사들이 그 위에 제품을 실어 나르는 Anthropic의 더 넓은 사이버 보안 베팅 (Anthropic's wider cybersecurity bet)과 맥을 같이 합니다.

1인 스튜디오가 오늘날 실제로 사용할 수 있는 것

솔직한 부분을 말씀드리겠습니다. Claude Security는 Enterprise 공개 베타 (public beta) 단계입니다. Team 및 Max 액세스는 곧 출시될 예정으로 나열되어 있으며, 발표 내용에는 Pro 티어 (Pro tier)가 없습니다. 1인 스튜디오로서 저는 아직 이 기능을 제 리포지토리 (repositories)에 적용할 수 없으며, 그렇지 않은 척하지도 않겠습니다.

그래서 저는 실제로 대신 이것을 사용하고 있습니다. Claude Code는 /security-review 명령어로 실행할 수 있는 내장 보안 검토 (security review) 기능을 제공하며, 이는 디프 (diff)를 온디맨드 (on-demand) 방식으로 훑어보고 코드가 반영되기 전에 문제를 표시합니다. 또한 GitHub용 Claude Code 보안 액션 (security action)도 있어, 풀 리퀘스트 (pull requests)를 자동으로 검토하고 발견된 사항을 PR에 인라인 댓글 (inline comments)로 남겨줍니다. 현재 두 기능 모두 개인 개발자에게 제공되며, 둘 다 엔터프라이즈 (Enterprise) 제품과 동일한 방식으로 코드를 추론하며, 모든 패치 (patch)에 대해 사람이 승인하도록 유지합니다.

제 설정은 규모가 작습니다. GitHub 액션은 main 브랜치로 향하는 모든 풀 리퀘스트에서 실행되며 발견된 사항에 댓글을 남기므로, 제가 직접 실행하는 것을 잊더라도 머지 (merge) 전에 검토가 이루어집니다. 인증 (auth), 결제 (payments), 또는 토큰 (token)을 다루는 작업을 할 때는 먼저 로컬에서 검토 명령을 실행하고, 단순히 결과뿐만 아니라 그 추론 과정 (reasoning)을 읽습니다. 이는 지루하지만 위험한 것들을 잡아냅니다: 커밋될 뻔한 비밀 값 (secret), 이스케이프 처리되지 않은 쿼리 (unescaped query), 웹훅 서명 (webhook signature) 확인 누락 등입니다. 지난달에는 서명 헤더를 검증하지 않고 페이로드 (payload)를 신뢰하는 웹훅 엔드포인트 (webhook endpoint)를 배포하려던 것을 막아주었습니다. 이런 실수는 코드 리뷰 단계에서는 괜찮아 보이지만 운영 환경 (production)에서 치명적인 문제가 됩니다. 단순히 문제를 표시하는 것이 아니라 추론 과정을 보여주었기에, 저는 문제를 임시방편으로 덮어버리는 대신 제대로 수정할 수 있었습니다.

이 기능이 무엇을 대체하지 않는지 명확히 할 가치가 있습니다. 이 기능은 여러분의 코드 자체를 추론하므로, 알려진 취약점 (advisories)에 대한 의존성 스캔 (dependency scanning), 비밀 값 순환 (secret rotation), 그리고 실제 보안 태세 (security posture)의 나머지 부분들을 대체하기보다는 보완합니다. 완성된 프로그램이 아니라 매우 훌륭한 리뷰어 (reviewer)로 취급하십시오. 또한 이것은 예약된 방식이나 웹훅 기반 라우팅, 기각 추적 (dismissal-tracking) 기능이 포함된 제품도 아닙니다. 이는 1인 규모에서의 동일한 직관이며, 만약 팀 (Team) 액세스 기능이 약속된 대로 출시된다면 이러한 습관은 그대로 이어질 것입니다.

요점 (Bottom Line)

Claude Security는 약 한 달 만에 데모 단계에서 워크플로우(workflow) 단계로 진화했습니다. 스캐너(scanner) 자체가 어려운 부분은 아니었습니다. 예약된 실행(scheduled runs), 상태가 유지되는 기각(dismissals that stick), 그리고 티켓을 생성하는 웹훅(webhooks)이야말로 보안 도구를 한 번 스크린샷을 찍고 마는 도구가 아니라 계속해서 유지하게 만드는 핵심 요소입니다. 그 밑단의 모델은 현재 6개의 보안 플랫폼과 거버넌스 API (governance API)에서 공유하고 있으며, 이는 단일 기능보다 훨씬 더 많은 것을 전략 측면에서 시사합니다.

현재 이 기능은 Enterprise 티어 뒤에 위치하므로, 개인 개발자(solo builders)는 대신 Claude Code 리뷰를 통해 동일한 엔진을 사용할 수 있습니다. GitHub action을 풀 리퀘스트(pull requests)에 연결하고, 민감한 사항을 건드리기 전에 리뷰 명령을 실행하며, Team 및 Max의 출시를 지켜보십시오. 기다리는 동안 the Lab에서 Claude 관련 나머지 소식들을 읽어보시기 바랍니다.

AI 자동 생성 콘텐츠

본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.

원문 바로가기
0

댓글

0