Articleanthropic.com·2026년 7월 7일·0

Government of Alberta uses Claude to find and fix cybersecurity vulnerabilities

Quick Summary

앨버타 주정부는 Claude Code와 Claude 모델을 활용해 정부 전산 시스템 전반의 보안 취약점을 대규모로 점검·수정하고, 지속적인 보안 검토 체계를 구축했다.

Government of Alberta uses Claude to find and fix cybersecurity vulnerabilities 관련 대표 이미지

🖼️ 인포그래픽

Government of Alberta uses Claude to find and fix cybersecurity vulnerabilities 내용을 설명하는 본문 이미지

🖼️ 4컷 인포그래픽

Government of Alberta uses Claude to find and fix cybersecurity vulnerabilities 내용을 설명하는 본문 이미지

💡 한 줄 요약

앨버타 주정부는 Claude Code와 Claude 모델을 활용해 정부 전산 시스템 전반의 보안 취약점을 대규모로 점검·수정하고, 지속적인 보안 검토 체계를 구축했다.

📌 핵심 요약

  • 앨버타 주정부는 2025년부터 Claude Code와 Opus·Sonnet 모델을 사용해 정부 시스템의 코드를 검토하고 취약점을 찾아 수정해 왔다.
  • 앨버타 기술혁신부 내부 팀은 약 20시간 동안 4억 6,600만 줄의 코드를 스캔했으며, 기존 자동화 도구가 놓친 보안 문제와 문서화 공백도 확인했다.
  • Claude Code는 취약점이 발견된 경우 수정안을 만들고 테스트와 빌드를 수행했으며, 자동화 테스트가 부족한 경우에는 먼저 테스트를 작성했다.
  • 앨버타는 개발 과정 전반에서 작동하는 전용 Claude 검토 에이전트를 구축해 외부 공격 관점의 점검, 방어 평가, 보완 계획 작성, 코드 품질 검토를 수행하게 했다.
  • 주정부는 앞으로 레거시 애플리케이션을 분석·통합하고 현대적인 언어와 관례로 재구성해 복잡성과 유지보수 비용을 줄이는 현대화 작업을 확대할 계획이다.

🧩 주요 포인트

  1. 앨버타 주정부는 2025년부터 Claude Code와 Opus·Sonnet 모델을 사용해 정부 시스템의 코드를 검토하고 취약점을 찾아 수정해 왔다.
  2. 앨버타 기술혁신부 내부 팀은 약 20시간 동안 4억 6,600만 줄의 코드를 스캔했으며, 기존 자동화 도구가 놓친 보안 문제와 문서화 공백도 확인했다.
  3. Claude Code는 취약점이 발견된 경우 수정안을 만들고 테스트와 빌드를 수행했으며, 자동화 테스트가 부족한 경우에는 먼저 테스트를 작성했다.
  4. 앨버타는 개발 과정 전반에서 작동하는 전용 Claude 검토 에이전트를 구축해 외부 공격 관점의 점검, 방어 평가, 보완 계획 작성, 코드 품질 검토를 수행하게 했다.
  5. 주정부는 앞으로 레거시 애플리케이션을 분석·통합하고 현대적인 언어와 관례로 재구성해 복잡성과 유지보수 비용을 줄이는 현대화 작업을 확대할 계획이다.

🧠 상세 정리

1. 대규모 정부 시스템 보안 문제에 대한 AI 활용 사례

본문은 앨버타 주정부가 Claude Code와 Claude 모델을 활용해 정부 시스템의 사이버 보안 취약점을 찾고 수정한 사례를 소개한다. 정부 시스템은 복지, 공공안전, 산불 대응 같은 핵심 서비스를 운영하며 민감한 정보를 다루지만, 오래되고 문서화가 부족한 코드가 많다는 문제가 제시된다. 앨버타는 이러한 문제를 단순한 실험이 아니라 실제 정부 시스템 보안 강화와 유지보수성 개선을 위한 업무로 다뤘다. Anthropic은 이 사례를 다른 정부기관도 대규모 시스템 보안을 강화하는 데 참고할 수 있는 사례로 설명한다.

2. 앨버타 기술혁신부가 마주한 시스템 규모와 기술 부채

앨버타 기술혁신부는 27개 주정부 부처의 시스템을 관리하며, 여기에는 약 1,280개의 애플리케이션과 3,400개의 코드 저장소가 포함된다. 이 시스템들 중 상당수는 체계적인 보안 검토를 받은 적이 없었고, 취약한 코드, 해결되지 않은 버그, 오래된 소프트웨어 같은 기술 부채가 누적되어 있었다. 또한 세금 기록, 정부 조달 데이터, 사회복지 사례 파일처럼 민감도가 높은 정보를 보유하고 있어 보안 개선의 필요성이 컸다. 이에 따라 2025년 기술혁신부는 Claude와 함께 시스템을 더 안전하고 장기적으로 유지보수하기 쉽게 만들기 위한 내부 팀을 구성했다.

3. 4억 6,600만 줄 코드 스캔과 검토 방식

앨버타 팀은 Claude Code와 Claude Opus 및 Sonnet 모델을 사용해 자신들이 관리하는 코드베이스 전체를 대상으로 보안 검토를 진행했다. 약 50개의 에이전트가 자율적으로 병렬 작동하며 보안 취약점, 인프라와 배포 절차의 약점, 기술 문서의 공백을 점검했다. Claude Code는 먼저 규칙 엔진으로 각 저장소를 스캔해 알려진 패턴을 표시하고, 이후 해당 표시를 다시 검토해 개발자가 확인할 수 있도록 정확한 파일과 줄 번호를 제시했다. 이 검토는 앨버타가 보유한 모든 저장소를 대상으로 했고, 기존 자동화 스캐닝 도구가 놓친 문제도 찾아냈다.

4. 취약점 수정, 테스트 작성, 레거시 시스템 재구축

스캔 결과 취약점이 발견된 경우 Claude Code는 많은 경우 수정안을 생성하고, 테스트를 실행하며, 빌드까지 수행할 수 있었다. 어떤 시스템은 패치가 안전한지 확인할 자동화 테스트가 부족했기 때문에, Claude가 먼저 테스트를 작성한 뒤 수정 작업을 진행했다. 기존 코드가 너무 오래되었거나 복잡해 현재 형태로 효율적으로 패치하기 어려운 경우에는 더 현대적이고 유지보수하기 쉬운 언어로 재구축하는 방식도 사용됐다. 본문은 약 25년 전 Java로 수작업 개발된 보조금 프로그램 포털이 처음에는 5개월 걸렸지만, 일부 재구축 시나리오에서는 4~5일 만에 다시 만들 수 있었다고 설명한다. 다만 모든 패치는 배포 전에 기술혁신부 엔지니어의 검토와 승인을 거쳤다.

5. 지속적인 보안 검토 에이전트와 AI 교육 확산

앨버타의 사이버보안 팀은 개발 과정 전반에서 실행되는 전문 Claude 검토 에이전트들도 구축했다. 레드팀 에이전트는 공격자처럼 애플리케이션 외부에서 접근해 취약점이 어떻게 악용될 수 있는지 탐색하고, 블루팀 에이전트는 국제 보안 표준에 비추어 방어 상태를 평가한다. 이후 블루팀 에이전트는 수정해야 할 정확한 파일을 가리키는 보완 계획을 작성하며, 추가 에이전트들은 코드 품질과 대중에게 노출되는 문구의 명확성도 점검한다. 각 애플리케이션은 매번 약 95개의 보안 통제 항목에 대해 확인되며, 이 에이전트들은 Claude Agent SDK 위에 구축되었다. 앨버타는 또한 Alberta AI Academy를 통해 공무원과 일반 대중에게 AI 사용 교육을 제공하고 있다.

6. 현대화 확대 계획과 다른 정부를 위한 참고 모델

앨버타 기술혁신부는 현재 Claude를 코드 작성, 검토, 배포와 현대화 작업에 활용하고 있으며, 앞으로는 엔지니어와 함께 완전히 새로운 소프트웨어와 도구를 만드는 AI 에이전트로 확장할 계획이다. 한 부처에는 운영 중인 레거시 애플리케이션 185개가 있는데, 이들은 유지보수 비용이 높고 업데이트가 어렵다고 소개된다. 앨버타 주정부는 Claude Code로 이 시스템들을 분석해 기능을 이해한 뒤, 현대적인 언어와 관례를 따르는 16개의 재사용 가능한 애플리케이션으로 통합하려 한다. 목표는 시스템 복잡성을 줄이고 유지보수 비용을 낮추며, 수년이 걸릴 수 있는 현대화 작업을 더 빠르게 추진하는 것이다. 본문은 앨버타가 공개한 기술 백서와 산업 행사를 통해 다른 정부기관도 유사한 문제 해결 방식을 참고할 수 있다고 설명한다.

🧾 핵심 주장 / 시사점

  • 이 사례의 핵심은 AI가 보안 점검을 단순히 빠르게 수행했다는 점보다, 파일·줄 번호 근거 제시와 엔지니어 승인 절차를 결합해 실제 정부 시스템 변경 과정에 들어갔다는 점이다.
  • 앨버타의 접근은 취약점 탐지, 테스트 작성, 패치, 레거시 재구축, 지속적 검토를 하나의 흐름으로 묶어 보안 개선과 시스템 현대화를 동시에 추진한 사례로 볼 수 있다.
  • 다른 정부기관에 중요한 참고점은 기술 부채가 큰 환경에서도 전체 코드베이스 점검, 표준 기반 검토 에이전트, 공개된 기술 백서를 통해 반복 가능한 보안 개선 모델을 만들 수 있다는 점이다.

✅ 액션 아이템

  • 20시간 동안 4억 6,600만 줄을 스캔한 결과를 반영해, 기존 자동화 점검이 놓친 영역의 보안 취약점 점검을 우선순위화한다.
  • Claude Code가 취약점 발견 시 수행한 수정안 작성·테스트·빌드 흐름을 Opus·Sonnet 병행 사용 규칙과 함께 운영 지침으로 고정한다.
  • 전용 Claude 검토 에이전트 역할을 외부 공격 관점 점검, 방어 평가, 코드 품질 검토로 정렬해 레거시 현대화 대상 선정 전 기준을 통합한다.

❓ 열린 질문

  • 기존 자동화 도구에서 반복적으로 누락된 취약점 유형은 무엇이며, 이를 기준으로 에이전트 점검 범위를 재설정할 것인가?
  • 문서화 공백이 확인된 지점은 어떤 분류체계로 방어 평가와 보완 계획의 연계 우선순위를 정할 것인가?
  • 레거시 애플리케이션 분석·통합 및 현대적 언어·관례 전환의 시작 지점을 어디로 잡아 유지보수 비용 절감 효과를 판단할 것인가?

관련 문서

공통 태그와 주제 흐름을 기준으로 같이 보면 좋은 문서를 이어서 제안합니다.