Skip to content

466M 줄을 20시간에 점검, Claude Code가 정부 보안 인프라로 이동

Original: Government of Alberta uses Claude to find and fix cybersecurity vulnerabilities across government systems View original →

Read in other languages: English日本語
LLM Jul 7, 2026 By Insights AI 1 min read Source

정부 보안 점검의 단위가 “몇 명의 개발자가 몇 달 동안 보는가”에서 “agent 수십 개가 몇 시간 동안 훑는가”로 바뀌기 시작했다. 앨버타주는 Claude Code와 Opus, Sonnet 모델을 활용해 27개 주정부 부처 시스템의 코드 4억6,600만 줄을 약 20시간 만에 점검했다고 밝혔다.

규모가 작지 않다. Anthropic 사례 보고에 따르면 대상은 약 1,280개 애플리케이션과 3,400개 저장소다. 사회복지, 공공안전, 산불 대응, 세금 기록, 조달 데이터, 사건 파일처럼 민감한 정보가 오가는 시스템도 포함된다. 오래된 공공 소프트웨어가 보안 점검과 문서화에서 밀려 있는 문제를 agent workflow로 정면 처리한 셈이다.

앨버타의 방식은 병렬 실행이다. 약 50개의 agent가 먼저 규칙 기반 스캔으로 취약점 패턴을 표시하고, 이어 Claude가 해당 항목을 다시 검토해 파일과 줄 번호를 제시했다. 사람이 확인 가능한 증거를 붙이는 구조다. 주정부는 같은 범위의 검토가 전통적 방식으로는 약 6.5년 걸렸을 것으로 추산했다. 이 숫자는 내부 추정치지만, 공공기관이 agent 도입 효과를 어떤 기준으로 계산하는지 보여준다.

보고서 작성에서 끝나지 않은 점도 중요하다. 취약점이 확인되면 Claude Code가 수정안과 테스트, 빌드를 생성했고, 최종 반영 전에는 엔지니어가 검토했다. 너무 낡거나 복잡한 시스템은 현대적 언어와 구조로 다시 만드는 방식도 썼다. 약 25년 전 Java로 직접 작성된 보조금 포털 같은 시스템은 유사 조건에서 4~5일 안에 재구축할 수 있었다는 설명도 붙었다.

더 눈여겨볼 부분은 상시 보안 리뷰 체계다. 앨버타 사이버보안팀은 외부 공격자 관점으로 취약점을 탐색하는 red-team agent와 국제 보안 기준에 맞춰 방어 상태를 점검하는 blue-team agent를 만들었다. 애플리케이션마다 약 95개 보안 통제를 반복 확인하는 구조다.

다만 이 사례는 Anthropic이 쓴 고객 사례다. 실제 효과를 판단하려면 오탐률, 놓친 취약점, 배포 후 사고 지표, 운영 비용 같은 독립 검증이 필요하다. 그래도 방향은 분명하다. coding agent는 이제 IDE 안의 편의 기능을 넘어 취약점 스캐너, 보안 컨설팅, 레거시 현대화 예산과 같은 테이블에 올라오기 시작했다.

Share: Long

Related Articles