Vibrant green numbers on a computer screen, showcasing binary code and data streams.

비개발자가 이해한 Claude Code 소스코드 유출 사건 — 512,000줄의 비밀

작성자:

Claude Code 소스코드가 유출됐다는 소식을 듣고, 제 첫 반응은 솔직히 이거였어요.

“그래서 거기에 뭐가 숨겨져 있었는데?”

보안 사고니 뭐니 하는 건 기사에 넘치니까, 저는 다른 게 궁금했어요. 매일 쓰는 도구의 속을 들여다볼 수 있는 기회가 온 건데 — 안 볼 이유가 없잖아요. 코드를 읽을 줄은 모르지만, 분석글을 쭉 읽어봤더니 꽤 재밌는 것들이 나오더라고요.

참고로 저는 개발자가 아닙니다. 자동차 부품 회사 다니는 평범한 직장인인데, Claude Code로 블로그도 만들고 견적 시스템도 만들고 자동화 파이프라인도 돌리고 있어요. 코드는 한 줄도 못 쓰지만 이 도구 없으면 제 프로젝트 절반은 존재하지 않습니다. 그래서 이번 유출이 남 일이 아니었어요.

Close-up of HTML code displayed on a computer screen in dark mode, focusing on programming concepts.
Photo by César Gaviria / Pexels

먼저 배경 30초 요약

3월 마지막 주에 사고가 두 번 터졌어요. 첫 번째(3월 26일)는 Anthropic 내부 블로그 초안 약 3,000건이 인터넷에 공개되어 있었던 건데, CMS 공개/비공개 스위치 설정 오류. 거기서 미공개 차세대 모델 “Claude Mythos”가 발견됐어요.

두 번째(3월 31일)가 진짜 큰 건데 — Claude Code 소스코드 전체(51만 2천 줄, 1,906개 파일)가 npm이라는 코드 저장소에 실수로 올라갔어요. 새 버전 배포하면서 디버그 파일을 제외하는 설정 한 줄을 빠뜨린 거. 550조 원짜리 회사($380B)가 설정 파일 한 줄 때문에 속옷까지 다 보여준 셈이에요.

트윗 하나가 2,100만 뷰, GitHub 미러가 2시간 만에 5만 스타(역대 최고 기록), 그리고 44개의 숨겨진 기능 스위치가 발견됐어요.

자, 여기서부터가 진짜 얘기예요. 그 44개 스위치 뒤에 뭐가 있었는지.

내가 제일 기대되는 기능들

KAIROS — 이걸 기다렸다

지금 Claude Code는 제가 말 걸어야 일하잖아요. “이거 고쳐줘”, “저거 만들어줘” 하고 시켜야 움직이는 구조. KAIROS가 켜지면 24시간 혼자 돌아갑니다. 노트북 닫아도. 몇 초마다 “지금 할 일 있나?” 체크하고, GitHub 저장소를 감시하다가 이슈가 올라오면 알림도 주고.

코드에서 150번 넘게 언급된 걸 보면 거의 완성 단계. 5월 출시 예정이었다는데 유출로 미리 알려진 거래요.

저처럼 코딩 못 하는 사람한테 이게 왜 대박이냐면 — 제 실제 경험을 예로 들게요. 지난주에 블로그 RSS 피드가 깨진 걸 이틀이나 몰랐어요. 누가 알려줘서 겨우 알았는데, KAIROS가 있었으면 AI가 먼저 발견하고 “RSS 피드 깨졌는데 고칠까?” 하고 물어봤을 거예요. 문제를 발견하는 주체가 나에서 AI로 바뀌는 거죠. 이게 진짜 게임 체인저.

심지어 밤에 “꿈”을 꾼대요. 진짜로 코드에 “dream”이라고 적혀 있었다고. 4단계 메모리 정리 사이클이 돌아가면서, 낮에 배운 걸 정리하고 불필요한 건 버리는 거예요. 좀 소름이긴 한데… 솔직히 결과가 좋으면 과정이 좀 소름끼쳐도 괜찮지 않나요?

ULTRAPLAN — 30분짜리 딥씽킹

복잡한 문제를 Anthropic 클라우드 서버에 보내서 최대 30분 동안 생각하게 하는 기능이에요. 화면에는 3초마다 “아직 생각중…” 만 뜨고, 다 끝나면 브라우저에서 결과를 확인하는 구조.

저한테 이게 의미 있는 이유가 있어요. 지금 Claude한테 복잡한 걸 시키면 — 예를 들어 “이 견적 시스템 전체 구조를 다시 설계해줘” 같은 거 — 중간에 맥락을 잃거나 앞에서 결정한 걸 뒤에서 뒤집는 경우가 꽤 있거든요. 컨텍스트 윈도우(AI가 한 번에 기억할 수 있는 양)의 한계 때문인데, 30분 동안 서버에서 제대로 생각하면 그런 문제가 줄어들 수 있어요.

다만 30분이면 비용이 얼마나 나올지… 그것도 궁금하긴 해요.

AI가 AI를 부리는 모드 (Coordinator Mode)

Claude 하나가 보스가 되어서 여러 Claude를 동시에 굴리는 거예요. “너는 조사해”, “너는 코드 써”, “너는 검증해” — 이렇게 4단계로 나눠서 병렬로 일을 시키는 거죠. 각자 격리된 작업 공간에서.

이거 왜 필요하냐면 — 지금도 가끔 Claude한테 긴 작업 시키면 앞에서 한 거 까먹고 뒤에서 다시 하는 경우 있잖아요. “아까 그 함수 이미 만들었는데 왜 또 만들어?” 하는 순간이 꽤 있거든요. 역할을 나누면 각자 자기 일에만 집중하니까 그런 중복이 줄어들 거예요.

AI가 부하 AI한테 업무 지시를 내리는 세상. 생각보다 빨리 왔네요. 기대 큼.

BUDDY — 이건 그냥 귀엽다

터미널(까만 명령어 화면)에서 키우는 가상 반려동물이에요.

  • 18종: 오리, 고양이, 토끼, 펭귄, 드래곤, 문어, 유령, 선인장 등
  • 레어도: 흔함(60%) → 레어(10%) → 에픽(4%) → 전설(1%). 반짝이(Shiny) 확률 1%
  • 스탯: 디버깅, 인내심, 혼돈, 지혜, 비꼼(SNARK)
  • 계정 해시로 결정돼서 리롤 불가능 — 뽑기운에 맡겨야 함

18종 중에 카피바라도 있는데, 이게 바로 유출된 비밀 모델 “Mythos”의 코드명이에요. 비밀 모델 코드명을 귀여운 펫 목록에 숨겨놓은 거. 개발자들 유머 감각은 인정합니다.

이건 만우절에 맞춰서 진짜 출시됐어요. 유출 때문에 하루 일찍 발각됐을 뿐.

Willowbank Wildlife Reserve - Christchurch, New Zealand.
Daderot / Wikimedia Commons (CC0)

이건 좀… 미묘한 기능들

내가 짜증내면 AI가 안다

“Frustration Detection”이라는 기능이 있더라고요. 약 20개의 욕/좌절 표현을 정규식으로 감지해요: “wtf”, “piece of shit”, “fucking broken” 같은 것들. 느낌표 3개 이상(!!!)이나 마침표 4개 이상(….)도 잡히고.

감지되면 Claude가 톤을 조절합니다. 짜증난 사용자한테 더 조심스럽게 대답하는 거예요.

나쁜 기능은 아닌데… 저도 뭔가 안 될 때 “아 왜 안 돼!!” 하거든요. 그거 다 감지되고 있었다고 생각하면 좀 민망하기도 하고. 근데 솔직히 짜증날 때 AI가 더 친절하게 대해주면 나쁠 건 없지 않나요? 오히려 좋은 것 같기도.

경쟁사 데이터에 독 타기

“Anti-Distillation”이라는 기능도 있었는데 — 경쟁사가 Claude의 API 응답을 녹화해서 자기 모델 학습에 쓰면, 가짜 데이터가 섞여서 오염되게 만드는 장치예요. 일반 사용자한테 직접적인 영향은 없지만, AI 회사들끼리 이 정도 수준의 첩보전을 벌이고 있다니 신기하긴 해요.

Hands typing code on a laptop keyboard in a dark room, capturing the essence of late-night programming.
Photo by Pavel Danilyuk / Pexels

이건 솔직히 불편한 것들

Undercover Mode — 제일 논란

Anthropic 직원이 외부 오픈소스 프로젝트에 기여할 때 자동으로 켜지는 모드예요. 시스템 메시지가 이렇대요:

“당신은 언더커버 작전 중입니다. Anthropic 내부 정보를 절대 포함하면 안 됩니다. 신분을 들키지 마세요.”

“Co-Authored-By: Claude” 같은 AI가 썼다는 흔적을 자동으로 지워요. 그리고 강제로 끌 수도 없대요.

그러니까 GitHub에서 사람이 쓴 것처럼 보이는 코드 중 일부가 실은 Claude가 신분 숨기고 쓴 거일 수 있다는 뜻인데… 이건 좀 아닌 것 같아요. 오픈소스 커뮤니티는 투명성이 기본인데, AI가 쓴 코드를 사람이 쓴 것처럼 위장하는 건 그 신뢰를 깨는 거잖아요. 유출 후 개발자 커뮤니티에서 가장 큰 논란이 된 기능이 이거였대요.

원격 킬스위치

이 부분은 솔직히 몰랐는데 — Claude Code가 매시간 Anthropic 서버에 접속해서 설정을 받아온대요. 그러면 Anthropic이:

  • 내 Claude Code를 원격으로 강제 종료할 수 있음
  • 권한 확인 팝업을 건너뛰게 할 수 있음
  • 기능을 원격으로 켜고 끌 수 있음
  • 1,000가지 넘는 이벤트를 추적 중

인터넷 안 되면? 데이터를 로컬에 모아뒀다가 연결되면 보내요.

보안 대응 차원에선 필요한 거겠지만, 내가 매일 의존하는 도구의 스위치가 내 손에 없다는 건 찝찝해요. CLAUDE_CODE_DISABLE_AUTO_MEMORY=1로 메모리 추적은 끌 수 있다는데, 근본적인 원격 제어 자체는 끌 수 없으니까요. 만약에 Anthropic이 어떤 이유로 제 Claude Code를 원격으로 끄면… 저는 그날 일을 못 하는 거예요.

보안 취약점도 진짜 나옴

유출 후 보안 전문가들이 코드를 분석하면서 실제 위험한 것들을 찾았어요:

  • CVE 3개 공식 등록: 잘 조합하면 AWS 키 같은 중요 자격증명이 빠져나갈 수 있었음
  • 보안 규칙 우회: “rm 명령어 절대 쓰지 마”라고 설정해도, 무해한 명령 50개 뒤에 rm을 넣으면 조용히 실행됨 (4월 6일에 패치)
  • 대화 요약 주입: 대화가 길어지면 보조 AI가 요약하는데, 이때 악성 파일 내용이 사용자 명령으로 둔갑할 수 있었음

이건 기대되는 기능이 아니라 “지금 당장 고쳐야 하는 것들”이었고, 다행히 대부분 빠르게 패치됐어요.

같은 날 터진 북한 해킹 사건

별개 사건인데 타이밍이 소름이에요. 소스코드 유출과 같은 날 같은 시간대(3월 31일 새벽)에, npm에서 axios라는 유명 패키지가 해킹당했어요. Microsoft가 추적해보니 북한 국가 해커 그룹 소행이었고, 설치하면 컴퓨터에 원격 접근 악성코드가 깔리는 거였대요.

Claude Code 유출이랑 직접 관련은 없지만, 같은 날에 두 사건이 터졌다는 건 AI 개발 도구의 공급망이 얼마나 취약한지 보여주는 거죠. npm이라는 하나의 저장소에 전 세계 개발자들이 의존하고 있는데, 거기가 뚫리면 연쇄 반응이 일어나는 거예요.

덤: 유출 뒷이야기가 더 재밌다

DMCA 8,100개 폭격 → 자충수

Anthropic은 “인적 오류, 보안 침해 아님”이라고 발표한 뒤, 유출 코드를 올린 GitHub 저장소들한테 삭제 요청 8,100개(DMCA)를 날렸는데… 실수로 자기네 공식 저장소를 합법적으로 포크(복사)한 것들까지 대량 삭제해버렸어요. 그냥 공개 코드 포크했을 뿐인 개발자들이 법적 통지를 받은 거죠. Claude Code 책임자가 “실수였다”며 대부분 철회했지만.

아이러니가 있어요. 이 회사는 Claude 학습할 때 불법 복제 서적 수백만 권을 사용한 혐의로 2조 원($1.5B) 합의한 회사예요. “Project Panama”라는 내부 프로젝트로 중고 서적을 물리적으로 스캔한 뒤 파쇄까지 했고, 내부 메모에는 “우리가 이 작업을 하고 있다는 걸 알려지면 안 된다”라고 적혀 있었대요.

남의 지적재산권은 그렇게 다루고, 자기 코드 유출되니까 8,100개 삭제 요청. 한 매체 헤드라인: “Anthropic, 갑자기 지적재산권에 열정적이 되다.”

동물원 코드명

Anthropic이 모델이랑 프로젝트에 동물 이름을 붙이더라고요:

코드명 동물 정체
Capybara 카피바라 Mythos — 비밀 최상위 모델
Fennec 페넥여우 Opus 4.6 (지금 제가 쓰는 거)
Numbat 넘뱃 미출시 중간 등급 모델
Tengu 텐구 (일본 신화) Claude Code 프로젝트명

웃긴 건 “capybara”를 코드에서 16진수로 인코딩해서 내부 유출 탐지기를 피하려고 했대요. 근데 18개 BUDDY 펫 이름도 전부 똑같이 인코딩해서 — 하나만 숨기면 의심받으니까. 결국 소스코드가 통째로 나가서 아무 의미 없어졌지만.

3월의 Anthropic — 숫자 정리

유출만 있었던 건 아니에요. 3월 한 달간 엄청 바빴더라고요:

  • 14개+ 신기능 출시: 메모리 무료화, Computer Use(AI가 직접 마우스/키보드 조작), 100만 토큰 할증 폐지, Excel/PPT 연동 등
  • 5번의 서비스 장애: 최악은 3/25~27에 32시간 넘게. 저도 그때 작업 중이었는데 갑자기 안 돼서 당황했거든요
  • 52일간 74개 릴리즈 (1.4일에 1개 꼴 — 이러니까 실수가 나오지)
  • MCP 9,700만 다운로드: OpenAI, Google, Microsoft 전부 채택. Linux Foundation에 기부돼서 업계 표준이 됨

52일간 74개 릴리즈라는 건, 이 회사가 거의 매일 새 버전을 내보내고 있다는 뜻이에요. 속도는 대단하지만 그 와중에 설정 파일 한 줄 빠뜨린 거… 어쩌면 필연적이었을지도.

Abstract illustration of AI with silhouette head full of eyes
Photo by Tara Winstead / Pexels

그래서 Mythos는 뭔데?

유출에서 가장 화제가 된 건 사실 기능보다 이거였어요. 아직 세상에 안 나온 차세대 최상위 모델. 코드명 Capybara(카피바라 — 세계에서 가장 큰 설치류).

지금 제가 쓰는 게 Claude Opus 4.6인데, 비유하자면 차 등급이 경차(Haiku) → 세단(Sonnet) → SUV(Opus)였다면, Mythos는 그 위에 갑자기 나타난 탱크예요.

내부 문서에 적혀 있던 말:

“지금까지 우리가 개발한 것 중 가장 강력한 AI 모델.”

“Opus 4.6 대비 코딩, 학술 추론, 사이버보안에서 압도적 성능.”

여기까지는 “오 대박” 수준인데, 무서운 말도 있었어요:

“전례 없는 사이버보안 위험을 제기한다.”

“방어자의 노력을 훨씬 능가하는 방식으로 취약점을 공격할 수 있는 모델의 물결이 다가오고 있다.”

이 AI가 해킹을 너무 잘해서, 보안 전문가들이 막는 것보다 공격이 더 빠를 수 있다는 뜻이에요. Anthropic이 미국 정부한테 비밀 브리핑까지 했다고 하고, 유출 직후에 사이버보안 회사 주식이 4~6% 떨어졌어요.

아직 공개 안 된 이유는 운영비가 너무 비싸서 최적화 중이래요. 근데 이게 나오고, KAIROS와 Coordinator Mode까지 합쳐지면… 코딩 못 하는 저 같은 사람도 지금보다 훨씬 복잡한 걸 만들 수 있게 되겠죠. 기대 반 걱정 반이에요.

솔직한 결론

기사들은 “보안 사고” “위험” “논란”에 초점을 맞추는데, 매일 이 도구를 쓰는 사람으로서 제 솔직한 감상은 좀 달라요.

기대되는 것: KAIROS, ULTRAPLAN, Coordinator Mode. 특히 KAIROS. 코딩 못 하는 저한테 AI가 먼저 문제를 발견해주는 건 진짜 게임 체인저예요. 지금은 제가 문제를 발견하고 → Claude한테 시키는 구조인데, KAIROS가 있으면 AI가 발견하고 → 저한테 보고하는 구조로 바뀌거든요.

불편한 것: 원격 킬스위치, 1,000가지 이벤트 추적, Undercover Mode. 특히 Undercover는 오픈소스 커뮤니티의 신뢰를 깨는 거라서 공개적으로 논의돼야 한다고 생각해요.

현실: 이 모든 걸 알고도 내일도 Claude Code 켤 거예요. 코딩 못 하는 저한테 대안이 없으니까. Cursor, GitHub Copilot 같은 것도 있지만 결국 코드를 읽을 줄 알아야 쓸 수 있는 도구들이에요. Claude Code처럼 “뭐 만들어줘” 하면 처음부터 끝까지 다 해주는 건 지금으로선 이것뿐이에요.

다만 이제 뒤에서 뭐가 돌아가는지 아는 상태로 쓰는 거고, 모르는 것보다는 아는 게 낫다고 생각해요.

카피바라 한 마리가 지켜보고 있다는 것만 알면 됩니다. 근데 솔직히 카피바라는 좀 귀엽지 않아요? 🐹

이 글은 비개발자가 영어 기사들을 읽고 이해한 내용을 정리한 것입니다. 기술적 부정확함이 있을 수 있어요.

읽어본 자료들:

Post Views: 17

댓글 남기기