앤트로픽, 클로드 코드 숨은 사용자 식별 기능 삭제

반응형
앤트로픽, 클로드 코드 숨은 사용자 식별 기능 삭제

앤트로픽, 클로드 코드 숨은 사용자 식별 기능 삭제

앤트로픽이 코딩 도구 클로드 코드에 넣었던 숨은 사용자 식별 기능을 삭제했다. 이 기능은 중국 인공지능 기업, 무단 계정 재판매업자, 비공식 API 게이트웨이 이용자를 탐지하기 위한 실험으로 운영됐지만, 시스템 프롬프트에 보이지 않는 표식을 삽입했다는 점에서 개발자 도구의 투명성 논란으로 이어졌다.

핵심 요약 앤트로픽은 클로드 코드에 적용했던 사용자 식별 기능을 2026년 7월 1일 공개 버전에서 제거했다.
해당 기능은 프록시, API 게이트웨이, 시스템 시간대, 특정 도메인 접속 여부를 확인하는 방식으로 작동했다.
탐지 결과는 일반 로그가 아니라 시스템 프롬프트 내부의 보이지 않는 표식으로 반영됐다.
목적은 디스틸레이션 방어였지만, 사용자 고지와 투명성 부족이 핵심 쟁점으로 떠올랐다.

무엇이 삭제됐나

앤트로픽은 클로드 코드에 포함됐던 사용자 식별 기능을 삭제했다. 클로드 코드는 개발자가 소스코드를 분석하고 파일을 수정하며 명령어 실행까지 연계할 수 있는 코딩 도구다. 일반 챗봇보다 사용자의 개발 환경에 더 깊게 접근할 수 있기 때문에, 어떤 정보를 확인하고 전송하는지가 특히 민감한 영역에 속한다.

해당 기능은 2026년 3월부터 실험 형태로 적용됐고, 2026년 6월 30일 클로드 코드 개발팀 엔지니어 타리크 시히파르가 관련 내용을 설명했다. 앤트로픽은 무단 계정 재판매와 클로드 답변 대량 수집을 막기 위한 목적이었다고 밝혔다. 이후 더 강력한 대응책을 마련했다며 기존 코드를 제거했고, 삭제 내용은 2026년 7월 1일 공개된 클로드 코드 버전에 반영됐다.

식별 기능은 어떻게 작동했나

문제가 된 기능은 사용자가 앤트로픽 공식 서버가 아닌 프록시나 API 게이트웨이를 통해 클로드 코드에 접속할 때 작동했다. 클로드 코드는 사용자의 시스템 시간대와 접속하려는 서버 주소를 확인했다.

확인 대상 시스템 시간대, 접속 서버 주소, 프록시 또는 API 게이트웨이 사용 여부
탐지 조건 중국 지역 시간대 설정, 중국 AI 기업 또는 계정 리셀러 관련 도메인과의 일치
표시 방식 일반 로그가 아니라 시스템 프롬프트 안의 보이지 않는 표식으로 반영
논란 지점 사용자에게 명확히 알리지 않은 상태에서 접속 환경을 확인하고 은닉 신호를 삽입했다는 점

시간대가 중국 지역으로 설정됐거나 접속 주소가 중국 AI 기업, 계정 리셀러, 비공식 게이트웨이 도메인 목록과 일치하면 클로드 코드는 이를 별도로 표시했다. 다만 이 정보는 일반적인 로그 항목처럼 전송된 것이 아니라, 모델에 전달되는 시스템 프롬프트 내부에 숨겨진 형태로 반영됐다.

시스템 프롬프트에 숨겨진 표식

앤트로픽의 클로드 코드 식별 기능이 논란을 키운 이유는 탐지 결과를 드러나는 데이터 필드가 아니라 시스템 프롬프트의 미세한 차이로 표현했다는 점이다. 예를 들어 날짜를 표시하는 문장에서 하이픈을 슬래시로 바꾸거나, 화면상으로는 거의 구분하기 어려운 유니코드 문자를 삽입하는 방식이 사용됐다.

사람의 눈에는 평범한 문장처럼 보이지만, 컴퓨터는 서로 다른 문자와 형식을 구분할 수 있다. 이처럼 일반 데이터 안에 비밀 정보를 숨기는 방식을 스테가노그래피라고 부른다. 이번 클로드 코드 사례에서는 이 방식이 사용자 접속 환경을 구분하는 신호로 활용됐다는 점이 핵심이다.

실무 기준으로 보면 보안 탐지는 필요할 수 있다.
그러나 탐지 목적, 수집 정보, 처리 방식이 사용자에게 명확히 설명되지 않으면 개발자 도구에 대한 신뢰가 흔들릴 수 있다.
특히 클로드 코드처럼 높은 권한을 가질 수 있는 도구에서는 투명성이 보안만큼 중요하다.

중국 AI 기업과 리셀러 탐지가 목적

공개된 코드에는 딥시크, 문샷AI, 미니맥스, 즈푸AI 등 중국 AI 기업과 관련된 문자열이 포함된 것으로 알려졌다. 바이두, 알리바바, 바이트댄스 등 중국 기업의 도메인도 탐지 목록에 들어 있었다.

이 도메인 목록은 소스코드에서 바로 확인하기 어렵도록 XOR 연산과 베이스64 방식으로 숨겨졌다. 앤트로픽 입장에서는 탐지 회피를 막기 위한 조치로 볼 수 있지만, 외부 개발자 입장에서는 도구가 어떤 조건에서 어떤 신호를 생성하는지 확인하기 어려운 구조였다는 점이 문제로 지적됐다.

특히 정상적으로 자체 프록시나 내부 API 게이트웨이를 사용하는 기업까지 탐지 대상에 포함될 수 있다는 우려도 제기됐다. 많은 기업은 보안 관리, 비용 통제, 접속 기록 보관을 위해 AI 요청을 내부 게이트웨이로 보내기 때문이다.

디스틸레이션 방어와 모델 도용 문제

이번 기능의 배경에는 AI 모델 디스틸레이션 방어가 있다. 디스틸레이션은 성능이 높은 AI 모델에 반복적으로 질문하고 답변을 수집해 다른 모델을 학습시키는 기술이다. 자체 모델을 가볍게 만들거나 성능을 개선하기 위한 정상적인 연구·개발 방식으로도 쓰인다.

문제는 경쟁사의 상용 서비스를 무단으로 이용해 답변을 대량 수집하는 경우다. 이런 방식은 모델의 추론 능력, 코딩 능력, 도구 사용 패턴을 우회적으로 복제하는 모델 도용 논란으로 이어질 수 있다.

앤트로픽은 2026년 2월 딥시크, 문샷AI, 미니맥스가 약 2만4000개의 허위 계정을 이용해 클로드와 1600만건이 넘는 대화를 생성했다고 주장했다. 이들이 클로드의 추론, 코딩, 도구 사용 능력을 수집해 자체 모델 개발에 활용하려 했다는 설명이다.

클로드 코드에서는 ANTI_DISTILLATION_CC라는 기능도 발견됐다. 이 기능은 API 요청에 가짜 도구 정보를 섞어 경쟁 모델이 해당 데이터를 학습할 경우 학습 품질을 떨어뜨리는 방식으로 설계된 것으로 알려졌다.

투명성 논란이 남긴 쟁점

앤트로픽은 해당 기능으로 몇 명의 사용자를 식별했는지, 수집한 정보를 어떻게 저장하거나 활용했는지는 공개하지 않았다. 서비스 약관이나 개인정보 관련 문서에 이 기능을 명확히 알렸는지에 대해서도 구체적인 설명을 내놓지 않았다. 새로 적용한 더 강력한 대응책의 내용 역시 공개하지 않았다.

모델 도용 방어는 AI 기업에 중요한 보안 과제다. 그러나 보안 기능이라는 이유만으로 사용자에게 알리지 않고 접속 환경을 확인하거나 숨겨진 신호를 전송하면 신뢰 문제가 발생한다. 특히 개발자 도구는 사용자의 코드, 파일, 명령 실행 환경과 맞닿아 있기 때문에 일반 서비스보다 더 높은 투명성이 요구된다.

이번 앤트로픽 클로드 코드 사례는 AI 모델 보호와 사용자 투명성 사이의 균형을 다시 묻는 사건이다. 보안 목적의 탐지라 하더라도 사용자에게 어떤 정보가 확인되는지, 어떤 기준으로 식별되는지, 해당 정보가 어떻게 처리되는지 명확히 공개하는 절차가 필요하다.

개발자 도구가 지켜야 할 기준

클로드 코드 논란은 단순한 기능 삭제로 끝나기 어렵다. AI 개발자 도구가 더 강력해질수록 사용자의 개발 환경을 이해하고 조작할 수 있는 권한도 커진다. 그만큼 보안 기능을 설계할 때도 은닉보다 고지, 추적보다 설명, 차단보다 검증 가능한 절차가 중요해진다.

앤트로픽이 클로드 코드의 사용자 식별 기능을 삭제한 것은 논란을 줄이기 위한 조치로 볼 수 있다. 그러나 앞으로의 핵심은 어떤 새로운 대응책을 적용했는지, 그 대응책이 사용자 권리와 기업 보안 요구를 어떻게 함께 충족하는지에 있다.

AI 모델 보호는 필요하지만, 개발자가 신뢰하는 도구라면 보안 장치 역시 신뢰 가능한 방식으로 작동해야 한다. 이번 사건은 AI 보안 기술이 기술적 정교함뿐 아니라 설명 가능성과 투명성을 함께 갖춰야 한다는 점을 보여준다.

반응형