2026년 2월 20일, 앤트로픽이 ‘클로드 코드 시큐리티(Claude Code Security)’를 발표함.
AI가 코드의 사이버보안 취약점을 찾아주는 도구임. 여기까지는 별로 놀랍지 않음.
그런데 이틀 만에 사이버보안 주식에서 시가총액 $526억(약 76조 원)이 증발함. 크라우드스트라이크 -20%, 지스케일러 -10%, 옥타 -15%.
AI 회사가 보안 도구 하나 발표했을 뿐인데, 엔드포인트 보안, 네트워크 보안, 클라우드 보안 — 분야를 가리지 않고 전부 떨어진 것임.
왜 이런 일이 벌어졌는지, 그리고 진짜 위협은 어디에 있는지 따져보는 것이 이 글의 목적임.
클로드 코드 시큐리티가 뭘 한 건지
핵심 수치 한눈에 보기
$526억+
시가총액 증발 (2일)
-20%
크라우드스트라이크 하락폭
500+
AI 발견 고위험 취약점
기존의 보안 스캐닝 도구는 ‘패턴 매칭’ 방식임. 미리 정의된 규칙에 따라 “이런 코드는 위험하다”를 찾는 방식인데, 마치 시험지에 정답지를 대고 채점하는 것과 비슷함.
클로드 코드 시큐리티는 다름. 코드를 읽고, 데이터가 어디서 어디로 흐르는지 추적하고, 컴포넌트 간 상호작용을 이해함. 사람 보안 연구원이 하는 것처럼 ‘추론’을 하는 것임.
구체적으로는 Git 커밋 히스토리를 분석해서, 과거에 보안 패치가 적용된 부분을 찾고, 같은 유형의 취약점이 남아 있는 다른 함수를 역추적함.
자기 반박(self-adversarial) 기법도 씀. AI가 취약점을 발견하면, 다른 AI가 “그거 진짜 맞아?”라고 따지는 구조임. 법정의 검사와 변호사처럼 서로 논쟁하게 해서 오탐(false positive)을 걸러내는 것임.
결과가 상당함. 클로드 오퍼스 4.6 기반으로 오픈소스 프로젝트에서 500개 이상의 고위험 취약점을 발견함. 수십 년간 전문가 리뷰와 수백만 시간의 퍼징(fuzz testing)을 거친 코드에서 놓친 것들임.
다만 자동으로 코드를 수정하지는 않음. 취약점을 찾아서 신뢰도 점수와 함께 보여주고, 수정 여부는 사람이 결정하는 구조임. “사람이 최종 결정권(human-in-the-loop)”을 가진다는 얘기임.
$526억이 이틀 만에 사라진 이유
주요 종목별 피해 상황을 보면 이렇게 됨.
| 기업 | 티커 | 2일 하락폭 | 시총 손실 | 분야 |
|---|---|---|---|---|
| 크라우드스트라이크 | CRWD | ~20% | $196억 | 엔드포인트 보안 |
| 옥타 | OKTA | ~15% | – | ID 보안 |
| 넷스코프 | 비상장 | ~12% | – | 클라우드 보안 |
| 테너블 | TENB | ~12% | – | 취약점 관리 |
| 지스케일러 | ZS | ~10% | – | 제로 트러스트 |
| 클라우드플레어 | NET | ~9% | – | 웹 보안/CDN |
| 팔로알토 네트웍스 | PANW | ~8.9% | $117억 | 네트워크 보안 |
글로벌 X 사이버보안 ETF(BUG)는 2023년 11월 이후 최저치를 기록함.
문제는 이게 ‘무차별적’이었다는 점임. 클로드 코드 시큐리티는 코드 취약점 스캐닝 도구인데, 엔드포인트 보안(크라우드스트라이크), 네트워크 보안(팔로알토), ID 보안(옥타)까지 전부 팔린 것임.
비유하자면, 냉장고 신제품이 나왔다고 세탁기·에어컨·TV 회사 주식까지 떨어진 셈임. 같은 ‘가전’이라는 이유로.
월가의 반응: “이건 좀 아닌데”
웨드부시의 댄 아이브스는 이 매도를 “내 월스트리트 커리어에서 가장 괴리된 트레이드”라고 표현함. 크라우드스트라이크, 팔로알토, 지스케일러를 오히려 매수 추천함.
바클레이즈도 “이 매도는 앞뒤가 맞지 않는다(incongruent)”고 평가함. 자사가 커버하는 보안 기업 중 클로드 코드 시큐리티와 직접 경쟁하는 곳은 없다고 분석함.
JP모건은 “비교적 무차별적인 로테이션”이라고 표현하면서, 크라우드스트라이크와 팔로알토를 “AI에 더 강한 기업”으로 꼽음.
뱅크오브아메리카는 좀 더 구체적이었음. 클로드 코드 시큐리티가 실제로 위협하는 건 깃랩(GitLab)이나 제이프로그(JFrog) 같은 코드 스캐닝 플랫폼 정도라고 분석함.
반면 미즈호는 크라우드스트라이크 목표가를 $540에서 $490으로 낮추면서 ‘중립’ 등급을 부여함. 낙관론만 있는 건 아닌 것임.
진짜 위협: 번들링이라는 무기
번들링의 논리
“충분히 괜찮은(good enough)” 수준의 보안 기능이 이미 내고 있는 구독에 포함된다면, 전문 벤더의 프리미엄 가격 정당화가 어려워진다. 1990년대 마이크로소프트가 IE를 윈도우에 무료 번들해서 넷스케이프를 죽인 것과 같은 구조.
포레스터 리서치의 분석이 핵심을 찌르고 있음. “2026년 2월 20일은 시장이 AI 플랫폼이 보안 가치 사슬을 소유하려 한다는 것을 인정한 날로 기억될 것”이라고 평가함.
핵심은 번들링(bundling) 전략임. 앤트로픽은 보안 기능을 기존 클로드 코드 구독에 포함시킴. 별도 결제가 아니라 이미 내는 돈에 보안 기능이 딸려오는 것임.
이건 1990년대 마이크로소프트가 인터넷 익스플로러를 윈도우에 무료로 번들해서 넷스케이프를 죽인 것과 같은 논리임. 넷스케이프는 최고의 브라우저였지만, ‘공짜’와 경쟁할 수는 없었음.
클로드 코드 시큐리티도 마찬가지임. 전문 SAST — 코드를 실행하지 않고 텍스트 상태에서 취약점을 찾는 정적 분석 도구 — 보다 정확도가 떨어질 수 있음. 하지만 “이미 내고 있는 구독에 포함”이라면 얘기가 달라지는 것임. “충분히 괜찮은(good enough)” 수준이면 가격이 승부를 결정함.
포레스터는 이를 “갱신 주기를 무력화한다(neutralizing renewal cycles)”고 표현함. 기존 보안 벤더의 연간 계약 갱신 시점에 “어차피 클로드에 포함되어 있는데, 별도로 돈 내야 하나?”라는 질문이 나온다는 것임.
SaaSpocalypse: 더 큰 그림
사실 이건 보안만의 문제가 아님. 2026년 초부터 소프트웨어 업계 전체에 ‘SaaSpocalypse(SaaS 대재앙)’가 진행 중임.
올해 들어 소프트웨어 주식에서 약 $1조(약 1,450조 원)의 시가총액이 증발함. MSCI 소프트웨어 지수는 연초 대비 -21%. 아틀라시안(TEAM)은 한 주 만에 -35%, 세일즈포스는 연초 대비 -30%.
방아쇠는 1월에 앤트로픽이 발표한 ‘클로드 코워크(Claude Cowork)’임. AI 에이전트가 사람 대신 업무를 자율적으로 처리하는 도구임.
시장의 공포는 ‘시트 압축(seat compression)’임. SaaS(넷플릭스처럼 구독해서 쓰는 소프트웨어)는 사용자 수(시트)에 따라 과금하는 게 기본 모델인데, AI 에이전트가 사람 업무를 대체하면 필요한 시트 수가 줄어든다는 논리임.
100명이 쓰던 소프트웨어를 AI 에이전트가 90명 몫을 처리하면, 회사는 10개 시트만 구매하면 됨. SaaS 업체 매출이 90% 줄어드는 시나리오임.
아폴로 글로벌 매니지먼트는 이를 “AI로 인한 매우 폭력적인 기술 사이클”이라고 표현함. 소프트웨어 생산의 한계비용 자체가 붕괴하고 있다는 분석임.
수렴 파괴: 경쟁상대가 바뀌는 시대
수렴 파괴(CONVERGENCE DISRUPTION) 3가지 사례
AI → 보안
- 앤트로픽 Claude Code Security
- 보안 기능을 AI 구독에 번들
- CrowdStrike, Palo Alto 영역 침범
AI → 개발도구
- Cursor, GitHub Copilot, Claude Code
- AI 코딩이 기존 IDE 시장 재편
- JetBrains, Atlassian 영역 침범
AI → 전문 SaaS
- 범용 AI가 전문 도구 대체
- Jasper, Grammarly 위협
- Figma + Google AI 경계 붕괴
가장 주목할 현상은 ‘수렴 파괴(Convergence Disruption)’임. 과거에는 경쟁 관계가 아니었던 기업들 사이에 교집합이 생기는 현상을 말함.
앤트로픽은 AI 회사지, 보안 회사가 아님. 그런데 AI 플랫폼에 보안 기능을 번들하면서 크라우드스트라이크, 팔로알토와 영역이 겹치기 시작한 것임.
이건 보안에만 국한되지 않음. AI 코딩 도구(Cursor, GitHub Copilot, Claude Code)가 개발 도구 시장을 재편하고 있고, 범용 AI 모델이 제스퍼(Jasper) 같은 전문 AI 글쓰기 도구를 위협하고 있음. 피그마에 구글 AI가 들어가면서 디자인 도구의 경계도 흐려지고 있음.
야누스 헨더슨의 분석이 정리를 잘 해줌. “다른 사람의 워크플로우 안에 살고 있는 좁은 도구(narrow tools)”가 가장 먼저 흡수될 것이라고. 데이터와 사용자 관계를 소유한 플랫폼이 결국 그 기능을 삼킨다는 것임.
한국 사이버보안 업계는 어떤가
한국 사이버보안 시장도 이 파도에서 자유롭지 않음. 다만 미국과는 좀 다른 구조적 특성이 있음.
국내 주요 보안 업체(안랩, 이글루시큐리티, 파수, 지니언스 등)는 정부·공공기관 의존도가 높음. 공공 사이버보안 조달 시장은 규제와 인증 체계로 보호되어 있어서, AI 플랫폼의 번들링 공세가 즉각 침투하기 어려운 구조임.
하지만 민간 시장은 다름. 국내 기업들도 글로벌 클라우드(AWS, Azure, GCP)를 쓰고 있고, 이 클라우드에 AI 보안 기능이 번들되면 별도 보안 솔루션에 대한 수요가 줄어들 수 있음.
맥킨지에 따르면 AI 중심 조직은 운영비용이 20~40% 줄어든다고 함. 보안 운영도 예외가 아닐 것임. SOC — 24시간 보안 위협을 모니터링하는 관제 센터 — 에서 로그 분석, 위협 탐지, 초기 대응의 상당 부분이 AI로 자동화될 가능성이 높음.
가트너는 2028년까지 기업 AI 모델의 50% 이상이 도메인 특화 모델이 될 것으로 전망함. 이건 한국 보안 기업에게 기회일 수도 있음. 한국어 문서, 국내 규제, 정부 인증 기반의 특화 AI 보안 모델을 만들 수 있다면 범용 AI와 차별화가 가능하다는 뜻임.
투자 관점: 낙관과 비관 사이
낙관론의 핵심은 이것임. AI가 공격을 더 정교하게 만들기 때문에, 방어 투자도 늘어날 수밖에 없다는 논리임. 웨드부시는 보안 벤더들의 매출 목표치가 약 30% 상향될 것이라고 전망함.
실제로 크라우드스트라이크의 직전 분기 구독 매출은 전년 대비 33% 성장했고, 순유지율(net retention rate)은 120%를 넘음. 이건 기존 고객이 더 많은 돈을 쓰고 있다는 뜻이라, 디스럽션당하고 있는 기업의 수치는 아닌 것임.
비관론은 더 구조적인 얘기를 함. 아폴로는 “소프트웨어의 한계 생산 비용이 붕괴하고 있다”고 지적함. AI 네이티브 스타트업이 소규모 팀으로 수억 달러 ARR(연간 반복 매출)에 도달하는 시대에, 기존 보안 벤더의 R&D 우위가 얼마나 지속될지 의문이라는 것임.
뱅크오브아메리카가 지적한 논리적 모순도 중요함. “AI 투자의 ROI가 나빠서 AI 기업 주가가 떨어져야 한다”와 “AI가 너무 강력해서 기존 소프트웨어 기업이 사라진다”는 동시에 성립할 수 없음. 둘 중 하나는 틀린 것임.
마무리
한줄 코멘트
AI 시대의 진짜 위협은 ‘더 나은 제품’이 아니라 ‘이미 내고 있는 구독에 포함되는 충분히 괜찮은 제품’이라는 것임.
직장인 시사점. 보안 실무자라면 AI 기반 보안 도구(Claude Code Security, GitHub Advanced Security 등)를 직접 써보고 기존 도구와 비교하는 것이 급선무임. “AI에 대체되는 보안 전문가”가 아니라 “AI를 무기로 쓰는 보안 전문가”로 포지셔닝하는 것이 이 상황의 정답임.
개발자라면 ‘Shift Left’ — 보안 검토를 개발 끝단이 아니라 코드 작성 단계로 앞당기는 것 — 역량이 더 중요해질 것임. AI가 코드를 쓰고 동시에 사이버보안 취약점도 찾아주는 시대에, 보안과 개발의 경계가 사라지고 있음.
관련 글
- AI 에이전트 근황: MCP 보안 위기부터 데이터센터 3조 달러 투자까지 — AI 에이전트 기술과 보안 이슈 심층 분석
- 팔란티어 근황 분석: 매출 70% 성장과 $313B 밸류에이션의 민낯 — AI 플랫폼 기업의 밸류에이션 구조
- AI 인프라 전쟁의 진짜 병목: 1,000조 CapEx 시대의 전력과 반도체 — AI 투자 사이클과 인프라 경쟁 분석
참고 자료
- Anthropic — Claude Code Security 공식 발표 (2026-02-20)
- Bloomberg — “Cyber Stocks Slide as Anthropic Unveils Claude Code Security” (2026-02-20)
- CNBC — “Cybersecurity stocks drop for a second day” (2026-02-23)
- Forrester — “Claude Code Security Causes A SaaS-pocalypse In Cybersecurity” (2026-02)
- Benzinga — “Dan Ives Says Anthropic’s Claude Security Move Is Bullish Signal” (2026-02-23)
- Bank of America — Analyst Note on Claude Code Security (2026-02-23)
- Barclays — “Selloff in security names seems incongruent” (2026-02-23)
- Apollo Global Management — “AI and the Next Phase of the Software Cycle” (2026-02)
- McKinsey — “The AI-Centric Imperative: Navigating the Next Software Frontier” (2026)
- Janus Henderson — “How AI disruption is reshaping the software sector landscape” (2026-02)
- Snyk — “Why Anthropic Launching Claude Code Security Is Great News” (2026-02)
- Gartner — “Top Strategic Technology Trends for 2026”
- Security Boulevard — “Anthropic Didn’t Kill Cybersecurity” (2026-02)
- Morningstar — “Anthropic’s Claude Code Security Release Is Not Bad News” (2026-02)
- Mizuho — CrowdStrike Analyst Note, Price Target $490 (2026-02-24)
자주 묻는 질문 (FAQ)
Q1. 월가의 반응?
웨드부시의 댄 아이브스는 이 매도를 “내 월스트리트 커리어에서 가장 괴리된 트레이드”라고 표현함. 크라우드스트라이크, 팔로알토, 지스케일러를 오히려 매수 추천함.
Q2. SaaSpocalypse: 더 큰 그림?
사실 이건 보안만의 문제가 아님. 2026년 초부터 소프트웨어 업계 전체에 ‘SaaSpocalypse(SaaS 대재앙)’가 진행 중임.
Q3. 수렴 파괴: 경쟁상대가 바뀌는 시대?
수렴 파괴(CONVERGENCE DISRUPTION) 3가지 사례.
Q4. 한국 사이버보안 업계는 어떤가?
한국 사이버보안 시장도 이 파도에서 자유롭지 않음. 다만 미국과는 좀 다른 구조적 특성이 있음.
Q5. 투자 관점: 낙관과 비관 사이?
낙관론의 핵심은 이것임. AI가 공격을 더 정교하게 만들기 때문에, 방어 투자도 늘어날 수밖에 없다는 논리임.