🤖
1385 in / 4514 out / 5899 total tokens
🔥 핫 토픽
취약점 연구, 이제 AI가 다 한다?
Simon Willison이 "취약점 연구는 끝났다(Vulnerability Research Is Cooked)"는 도발적인 글을 올렸다. 핵심은 Claude 같은 모델이 보안 취약점 탐지를 엄청나게 가속화하고 있다는 거다. 과거에는 수작업으로 코드를 분석하고 펜테스팅을 돌려야 했지만, 이제는 AI에게 "이 코드에서 보안 문제 찾아줘"라고 던지면 상당히 괜찮은 결과를 내놓는다.
이게 왜 중요하냐. 보안 업계의 파워 다이내믹이 완전히 바뀌고 있어서다. 예전에는 고도로 숙련된 보안 연구자만 발견할 수 있었던 취약점이 이제는 AI를 활용하는 일반 개발자도 찾을 수 있게 됐다. 물론 역설적으로 공격자도 같은 도구를 쓸 수 있으니, 방어와 공격 양쪽 다 속도가 빨라지는 arms race가 벌어지고 있다.
UE5 개발하면서도 이런 변화를 체감한다. 웹 소켓 서버 코드나 API 엔드포인트 작성할 때, 예전에는 OWASP 체크리스트 보면서 수동으로 검토해야 했다. 이제는 Claude에게 코드 리뷰를 시키면 "여기 SQL 인젝션 가능성 있음", "이 입력값 검증 누락됨" 하고 짚어준다. 물론 100% 정확하진 않지만, 1차 필터로는 충분히 쓸 만하다.
기술적으로 흥미로운 건 컨텍스트 윈도우가 커지면서 whole codebase 분석이 가능해지고 있다는 점이다. Claude 3.5 Sonnet 기준 200K 토큰이면 중간 규모 프로젝트 전체를 한 번에 넣고 분석할 수 있다. 이건 정말 게임 체인저다. 예전에는 파일별로 따로 돌려야 해서 컨텍스트가 끊어지는 문제가 있었는데, 이제는 전체 아키텍처 관점에서 보안 결함을 찾을 수 있다.
출처: Simon Willison - Vulnerability Research Is Cooked
코딩 에이전트의 인지 비용
같은 날 Simon Willison이 또 하나 올린 글이 있다. 코딩 에이전트가 개발자의 인지 능력에 미치는 영향에 대한 거다. 이게 꽤 섬세한 주제인데, 단순히 "AI 좋다/나쁘다"가 아니라 사용 방식에 따라 뇌가 어떻게 적응하는지를 다룬다.
요지는 이렇다. AI 코딩 도구를 쓸 때 두 가지 모드가 있다. 하나는 '주니어 개발자 모드'로, 내가 시니어처럼 지시하고 AI가 구현한다. 다른 하나는 '시니어 개발자 모드'로, AI가 아키텍처를 제안하면 내가 검토하고 결정한다. 문제는 전자에 빠지면 내가 점점 더 시니어 역할을 못 하게 된다는 거다. 근육이 퇴화하듯 설계 능력이 줄어든다.
게임 서버 개발하면서 이걸 실감한다. 예전에는 네트워크 프로토콜 설계할 때 패킷 구조부터 시작해서 시퀀스 다이어그램, 상태 머신까지 머릿속으로 그렸다. 요즘은 Claude에게 "얘, MMORPG 인벤토리 동기화 프로토콜 설계해줘" 하면 5초 만에 꽤 그럴싸한 답이 나온다. 편하다. 근데 이게 반복되면 내가 직접 설계할 때 뇌가 굳는 느낌이 든다.
Willison이 지적하는 핵심은 '능동적 사용'이다. AI가 짠 코드를 그대로 복붙하지 말고, 왜 그렇게 짰는지 이해하려고 노력해야 한다. 특히 성능 최적화 같은 영역에서는 AI가 종종 최선이 아닌 답을 준다. UE5 프로파일링하면서 발견한 건데, Claude가 제안한 캐싱 로직이 멀티스레드 환경에서 레이스 컨디션을 유발하더라. AI가 짜도 사람이 검수해야 하는 이유다.
출처: Simon Willison - The cognitive impact of coding agents
📰 뉴스
Anthropic, OpenClaw 사용에 추가 과금 부과
The Verge가 보도한 바에 따르면, Anthropic이 4월 4일부터 Claude 구독을 OpenClaw와 함께 사용하는 것에 제한을 걸고 추가 과금을 부과한다. OpenClaw는 Claude를 기반으로 한 서드파티 도구로 추정되는데, Anthropic이 공식적으로 이런 조치를 취한 건 상당히 드문 일이다.
이게 왜 중요하냐. AI 회사들이 플랫폼 통제력을 강화하고 있다는 신호다. OpenAI도 유사하게 GPT-4 API 사용 정책을 계속 조정해왔고, 이제 Anthropic도 생태계 통제에 나선 셈이다. 개발자 입장에서는 공식 API 쓰면 상관없지만, 서드파티 래퍼 서비스들에 의존하던 사용자들은 비용이 급증할 수 있다.
기술적 배경을 설명하면, Claude 같은 LLM 서비스는 기본적으로 두 가지 접근 방식이 있다. 하나는 웹 인터페이스나 공식 API를 통한 직접 사용이고, 다른 하나는 OpenClaw 같은 서드파티 도구를 거쳐서 쓰는 방식이다. 후자는 보통 사용자 경험을 개선하거나 특정 워크플로우에 최적화된 인터페이스를 제공한다. Anthropic이 이걸 막겠다는 건 자사 생태계를 더 강하게 통제하겠다는 의미다.
UE5 프로젝트에서 Claude API 쓸 때도 비슷한 고민이 있다. 공식 API 쓰면 안정적이지만 비용이 비싸고, 리셀러를 거치면 저렴하지만 서비스 중단 리스크가 있다. 이번 Anthropic 조치는 그 리스크가 현실화된 케이스다. AI 도구를 프로덕션에 통합할 때는 공식 채널을 쓰는 게 장기적으로 안전하다. 단기엔 비싸 보여도, 플랫폼 정책 변화에 휘둘리지 않으려면 정석대로 가는 게 낫다.
출처: The Verge - Anthropic essentially bans OpenClaw from Claude
💭 분석: 세 뉴스를 잇는 공통 맥락
세 가지 뉴스를 따로 보면 각기 다른 이야기 같지만, 사실 하나의 큰 흐름 안에 있다. AI 도구가 개발 워크플로우 깊숙이 침투하면서 발생하는 긴장들이다.
첫째, 취약점 연구 자동화는 AI의 '능력'이 확장되는 사례다. 보안 분야에서 AI가 인간 전문가의 영역을 넘보고 있다. 둘째, 인지 비용 논의는 AI 사용의 '부작용'을 다룬다. 도구가 편해질수록 우리 뇌는 게빠진다. 셋째, OpenClaw 제한은 AI '생태계'의 변화를 보여준다. 플랫폼 기업들이 통제력을 강화하면서, 개발자들은 공식 채널로 밀려난다.
이게 개발자한테 무슨 의미냐. 한마디로 '전략적 AI 사용'이 필요해졌다. 무조건 의존하면 인지 퇴화 + 플랫폼 리스크에 시달리고, 무조건 거부하면 생산성에서 밀린다. 중간 지점을 찾아야 한다. 내 경우엔 보안 검토나 초기 설계 아이디어 생성엔 AI를 적극 쓰되, 핵심 아키텍처 결정과 성능 크리티컬한 코드는 직접 짠다. 그리고 API는 무조건 공식 채널 쓴다. 비싸도 그게 심장에 좋다.
앞으로 이런 긴장은 더 심해질 거다. 모델은 더 똑똑해지고, 플랫폼은 더 통제하려 하고, 우리 뇌는 더 게을러지려 하니까. 의식적으로 균형을 잡지 않으면 어느 순간 AI 없이는 아무것도 못 하는 개발자가 돼 있을지도 모른다.
AI는 훌륭한 도구지만, 주인이 되게 하면 곤란하다. 플랫폼도 마찬가지고.