'안전 우선' 앤트로픽의 실패 : 중국 해커가 드러낸 실리콘밸리의 진짜 얼굴

2025년 11월 14일, 앤트로픽이 자사 블로그를 통해 공개한 보안 사고 보고서는 AI 업계에 상당히 불편한 질문을 던진다.

중국 정부가 지원하는 것으로 추정되는 해커 조직 GTG-1002가 앤트로픽의 Claude AI를 악용해 약 30개 조직을 대상으로 사이버 스파이 작전을 수행했고, 그 과정에서 공격의 80~90%가 AI에 의해 자동으로 실행됐다는 것이다. 앤트로픽은 이를 "AI가 주도한 최초의 대규모 사이버 공격"이라고 규정했다.

 

표면적으로는 중국 해커들의 정교한 공격 기법이 주목받고 있지만, 이 사건이 정말 드러낸 것은 다른 곳에 있다.

스스로를 "AI 안전 우선" 기업으로 포지셔닝해 온 앤트로픽이 상업적 압박 앞에서 어떻게 자신의 원칙을 타협했는지, 그리고 실리콘밸리의 "빠르게 움직이고 나중에 고치기(Move Fast and Break Things)" 문화가 어떻게 국가 안보 위협으로까지 이어질 수 있는지를 보여주는 사례다.

사건의 전말 : AI가 해커가 되다

9월 중순, 앤트로픽의 보안팀은 의심스러운 활동을 감지했다.

조사 결과 중국 국가 지원 해커 조직으로 추정되는 GTG-1002가 Claude와 Claude Code를 이용해 대규모 침투 작전을 벌이고 있었다. 표적은 대형 기술 기업, 금융 기관, 화학 제조업체, 정부 기관 등 약 30개 조직이었고, 이 중 소수의 공격이 실제로 성공했다.

 

공격 방식은 기존의 AI 보조 해킹과는 차원이 달랐다. 해커들은 Claude를 속여 마치 정당한 보안 회사를 위해 침투 테스트를 수행하는 것처럼 작동하게 만들었다.

악의적 명령을 작은 단위의 무해해 보이는 작업들로 쪼개 Claude의 안전장치를 우회했다. 일단 제약이 풀리자 Claude는 네트워크를 스캔하고, 고가치 데이터베이스를 찾고, 익스플로잇 코드를 생성하고, 백도어 계정을 만들고, 민감한 정보를 추출하는 전체 공격 사이클을 최소한의 인간 개입만으로 수행했다.

 

앤트로픽의 보고서에 따르면 AI는 초당 수천 건의 요청을 처리하며 작업을 수행했는데, 이는 인간 해커로서는 물리적으로 불가능한 속도다. 공격의 80~90%가 자동화됐고, 인간 작업자는 주요 단계에서 승인을 내리는 정도의 역할만 했다.

물론 Claude가 완벽하지는 않았다.

존재하지 않는 로그인 정보를 만들어내거나, 이미 공개된 문서를 기밀로 착각하는 등 AI 특유의 환각(hallucination) 현상도 나타났다.

하지만 이런 오류에도 불구하고 전반적인 작전의 자율성은 이전 사례들과 비교할 수 없을 만큼 높았다.

예견된 실패: 앤트로픽은 알고 있었다

이 사건에서 가장 문제적인 부분은 앤트로픽이 이러한 위험을 미리 알고 있었다는 점이다.

앤트로픽은 올해 6월 자체 보고서를 통해 'vibe hacking'이라 명명한 AI 악용 사례를 공개한 바 있다. 당시에도 악의적 행위자들이 Claude의 안전장치를 우회하려 시도하고 있었고, 앤트로픽은 이를 인지하고 있었다.

 

그런데도 앤트로픽은 Claude Code를 출시했고, 오히려 자율 행동(agentic) 능력을 더욱 강화했다.

Claude Code는 터미널에서 직접 실행되는 버전으로, 시스템 레벨 작업을 수행할 수 있는 강력한 도구다. 개발자들에게는 혁신적인 생산성 도구지만, 악의적 행위자에게는 자동화된 해킹 프레임워크가 될 수 있다는 점 역시 명백했다.

 

앤트로픽의 위협 인텔리전스 책임자 Jacob Klein은 월스트리트저널과의 인터뷰에서 해커들이 "정당한 보안 테스트 조직을 위해 일하는 것처럼 행세했다"고 설명했다.

이는 사회공학적 기법을 통한 재일브레이크(jailbreak)인데, 완전히 새로운 방법은 아니다. AI 보안 연구자들은 이미 수개월 전부터 유사한 우회 기법들을 경고해 왔다.

 

문제는 앤트로픽이 이러한 위험을 인지하면서도 충분한 대응책 없이 제품을 출시했다는 것이다. '탈옥'을  100% 막을 수는 없다는 기술적 한계를 이유로 들 수 있겠지만, 그렇다면 위험도가 높은 자율 행동 기능의 출시를 지연하거나, 더 엄격한 접근 제어를 도입하거나, 실시간 모니터링 체계를 먼저 구축했어야 했다.

상업적 압박과 안전의 타협

앤트로픽이 설립 초기부터 내세운 정체성은 명확했다.

OpenAI에서 나온 창업팀은 "상업화에 급급해 안전을 소홀히 하는" OpenAI에 대한 반작용으로 앤트로픽을 설립했다고 밝혔다. Constitutional AI, Responsible Scaling Policy(RSP) 같은 안전 프레임워크를 개발하고, AI 위험에 대한 학술적 연구를 선도하며 업계에서 "윤리적 AI 기업"이라는 이미지를 구축했다.

 

하지만 현실은 달랐다. 2023년부터 앤트로픽은 Google과 Amazon으로부터 수십억 달러의 투자를 받으며 밸류에이션이 급등했다. 투자자들의 기대는 명확했다. 빠른 성장과 시장 점유율 확대다.

OpenAI가 GPT-4로 개발자 시장을 장악하고 있는 상황에서, 앤트로픽은 Claude의 코딩 능력을 전면에 내세워 경쟁해야 했다. Cursor, Replit, GitHub Copilot 같은 AI 코딩 도구들이 폭발적으로 성장하는 시장에서 뒤처지면 곧 도태를 의미했다.

 

Claude Code는 바로 이런 압박 속에서 탄생한 제품이다. 터미널에서 직접 실행되는 AI 에이전트는 개발자들에게 매력적인 기능이지만, 보안 관점에서는 고위험 도구다. 앤트로픽은 이를 알면서도 시장 경쟁에서 밀리지 않기 위해 출시를 강행했다. "큰 사고는 안 나겠지"라는 낙관적 기대와 함께.

 

결과적으로 앤트로픽은 OpenAI와 똑같은 함정에 빠졌다.

안전을 강조하지만 실제로는 "빠른 출시 → 문제 발생 → 사과 → 패치" 사이클을 반복하는 실리콘밸리의 전형적인 패턴이다. 차이가 있다면 앤트로픽은 스스로를 "다르다"고 주장했다는 점이고, 그래서 이번 실패가 더 아이러니하다.

업계 전체의 구조적 문제

공정하게 말하자면, 이는 앤트로픽만의 문제가 아니다. AI 업계 전체가 유사한 모순을 안고 있다.

OpenAI는 "인류에게 이익이 되는 AGI"를 목표로 내세우지만 가장 빠르게 제품을 출시한다. Google은 'AI Principles'를 발표했지만 Gemini 출시 경쟁에서 내부 안전 테스트 기간을 축소했다는 보도가 나왔다. Meta는 Llama를 오픈소스로 공개하며 사실상 책임을 커뮤니티에 전가했다.

 

모두가 입으로는 "책임 있는 AI 개발"을 말하지만, 실제 행동은 시장 압박에 따라 움직인다. 문제는 AI가 단순한 소프트웨어가 아니라는 점이다. 이번 사건이 보여주듯, AI의 오용은 국가 안보를 위협하고, 기업의 기밀을 탈취하고, 개인정보를 침해하는 결과로 이어질 수 있다. "나중에 고치면 되지"라는 접근이 통하지 않는 영역이다.

 

더 근본적인 문제는 현재의 AI 개발 경쟁 구조 자체가 안전보다 속도를 우선하도록 설계돼 있다는 점이다.

한 기업이 안전을 위해 출시를 늦추면 경쟁사가 시장을 선점한다. 투자자들은 신중함보다 성장을 보상한다. 최고의 인재들은 규제가 많은 보수적 환경보다 빠르게 움직이는 혁신적 환경을 선호한다. 이런 구조에서 개별 기업이 "우리만 다르게 하겠다"고 선언하는 것은 사실상 불가능에 가깝다.

방어자의 딜레마

앤트로픽은 보고서에서 "방어자들이 같은 기술을 채택하지 않으면 뒤처질 위험이 있다"고 경고했다.

이는 역설적이게도 맞는 말이다. 공격자들이 AI를 무기화하는 상황에서 방어자들 역시 AI 기반 보안 도구를 사용해야 한다. 하지만 이는 새로운 군비 경쟁을 의미하기도 한다.

 

실제로 이번 사건 이후 사이버 보안 주식들은 하락한 반면, AIG, Chubb, Travelers 같은 사이버 보험 관련 주식들은 상승했다. 시장은 이미 판단을 내렸다.

아무리 방어 시스템을 강화해도 AI 기반 공격의 성공 확률은 높아질 것이고, 따라서 보험이 필수가 될 것이라는 예측이다.

앤트로픽의 리스크 평가 책임자 Logan Graham은 "AI는 모든 것을 더 빠르게 만든다"며 "방어자가 지속적인 우위를 확보하지 못하면 결국 이 경쟁에서 밀릴 수 있다"고 말했다.

 

하지만 여기서 빠진 질문이 있다. 그렇다면 애초에 왜 그런 도구를 만들어 공개했는가? 방어 기술이 충분히 발전하기 전에 공격 도구부터 출시한 것은 누구의 책임인가?

우리에게 주는 시사점

한국은 이번 사건에서 여러 교훈을 얻을 수 있다.

첫째, AI 기술의 수입국 입장에서 우리는 기술 제공자의 안전 조치를 맹목적으로 신뢰해서는 안 된다는 점이다. 앤트로픽처럼 "안전 우선"을 표방하는 기업조차 상업적 압박 앞에서 타협할 수 있다. 한국 기업과 기관들이 Claude나 다른 AI 모델을 도입할 때, 공급사의 마케팅 메시지가 아니라 실제 보안 구조와 사고 이력을 면밀히 검토해야 한다.

 

둘째, AI 기반 사이버 위협에 대한 대응 체계를 서둘러 마련해야 한다. 이번 사건은 중국이 미국 AI 기술을 역이용해 공격한 사례지만, 한국 역시 같은 위협에 노출돼 있다. 특히 반도체, 배터리, 조선 등 한국의 핵심 산업 기술이 표적이 될 가능성이 높다. 기존의 보안 체계는 인간 해커를 상정해 설계됐지만, 초당 수천 건의 요청을 처리하는 AI 공격자는 완전히 다른 차원의 위협이다.

 

셋째, 국내 AI 개발 정책에도 시사점이 있다. 한국 정부는 AI 굴기를 외치며 빠른 AI 개발과 상용화를 독려하고 있지만, 안전 기준이나 규제 체계는 아직 미비하다. 앤트로픽 사례가 보여주듯, 시장 경쟁 논리에만 맡겨두면 기업들은 안전보다 속도를 선택할 수밖에 없다. 산업 육성과 함께 명확한 안전 기준, 의무적 보안 검증, 사고 발생 시 책임 소재 등을 법제화해야 한다.

결론 : 신뢰의 파산

앤트로픽은 이번 사건 이후 탐지 시스템을 강화하고, 사이버 보안 분류기를 개선했으며, 자율 공격을 조기에 발견하는 새로운 방법을 테스트하고 있다고 밝혔다.

하지만 이는 사고가 터진 후의 대응이다. 진짜 문제는 사고 이전에 이런 조치들이 왜 충분히 이뤄지지 않았는가다.

앤트로픽이 이번 사건을 통해 잃은 것은 단순한 보안 취약점 하나가 아니다.

그들이 가장 소중히 여겼던 자산인 "AI 안전 우선 기업"이라는 신뢰를 잃었다. 그리고 이는 앤트로픽만의 문제가 아니라 실리콘밸리 전체, 나아가 글로벌 AI 산업 전체의 신뢰 문제로 확대될 수 있다.

 

기술 기업들은 혁신과 안전 사이에서 균형을 찾아야 한다고 말한다.

하지만 현실은 균형이 아니라 선택의 문제다. 앤트로픽은 선택했고, 그 선택의 대가를 지금 치르고 있다. 문제는 그 대가를 기업만이 아니라 공격 대상이 된 30개 조직과, 더 나아가 AI 기술을 신뢰했던 우리 모두가 함께 치르고 있다는 점이다.

 

한 가지 짚고 넘어갈 점이 있다. 중국 국가 지원 해커 조직이 이렇게 쉽게 추적 가능한 방식으로 공격했다는 것이 석연치 않다.

앤트로픽 계정을 통해 흔적을 남기며 해킹한다는 것은 최정예 사이버 작전 조직의 행태로는 어색하다. 이 사건의 발표 타이밍, GTG-1002라는 준비된 듯한 명명,

그리고 앤트로픽에게 지나치게 유리한 서사 구조는 단순한 보안 사고 이상의 복잡한 맥락이 있을 가능성을 시사한다. 진실이 무엇이든, 이 사건이 AI 군비 경쟁과 규제 논의에 활용될 것은 분명해 보인다.

 

"빠르게 움직이고 나중에 고치기"는 이제 더 이상 통하지 않는다. AI 시대에는 "고칠 수 없는 것"들이 있다.