AI 안전을 가장 강조해온 기업이 정작 자사 보안에서 구멍을 내는 아이러니가 현실이 됐다. 2025년 초 클로드 코드(Claude Code)의 난독화 해제 소스코드가 깃허브에 올라간 사건부터, 2026년 3월 말 CMS 설정 오류로 차세대 모델 클로드 미토스(Claude Mythos) 관련 내부 문서 약 3,000건이 통째로 노출된 사건까지, 앤트로픽은 연쇄적인 정보 유출에 휘말렸다. 기업가치 3,800억 달러, 연간 실행 매출 140억 달러를 돌파하며 10월 IPO까지 추진하는 시점에 터진 이 사고들은 AI 업계 전체에 보안 경각심을 불러일으키고 있다.
이 글에서는 앤트로픽이 겪은 주요 유출 사건을 시간순으로 정리하고, 각 사건이 개발자 생태계와 AI 보안에 미친 파장을 구체적으로 분석한다. 더불어 클로드 코드 사용 시 실질적으로 주의해야 할 보안 포인트까지 짚었다.
| 구분 | 핵심 내용 |
|---|---|
| 사건 1 | 2025년 2-3월, 클로드 코드 소스맵·난독화 해제 코드 깃허브 공개 |
| 사건 2 | 2025년 4월, 앤트로픽 DMCA 테이크다운 요청 및 개발자 커뮤니티 반발 |
| 사건 3 | 2026년 2월, CVE-2025-59536 등 원격 코드 실행 취약점 발견 |
| 사건 4 | 2026년 3월 17일, GitGuardian 보고서 - 클로드 코드 커밋 시크릿 유출률 3.2% |
| 사건 5 | 2026년 3월 26일, CMS 오류로 클로드 미토스 내부 문서 약 3,000건 노출 |
| 기업 현황 | 기업가치 3,800억 달러, 클로드 코드 실행 매출 25억 달러 돌파 |
클로드 코드 소스코드 유출, 어떻게 시작됐나
사건의 발단은 2025년 2월로 거슬러 올라간다. 앤트로픽은 클로드 코드를 npm 패키지로 배포하면서 JavaScript 소스코드를 난독화(obfuscation) 처리했다. 그러나 초기 버전에는 소스맵(source map)이 함께 포함돼 있었고, 이를 발견한 개발자가 원본 코드를 추출해 깃허브에 공개했다. 약 20만 줄에 달하는 코드가 그대로 드러난 것이다.
앤트로픽은 곧바로 소스맵을 삭제했지만, 이미 여러 개발자가 코드를 포크(fork)한 뒤였다. 2025년 3월 1일에는 한 개발자가 클로드 코드의 난독화를 AI 자체를 활용해 해제하는 데 성공했다는 글을 공개하며 화제가 됐다. LLM이 JavaScript 디미니파이(de-minify)와 디오브퓨스케이션(deobfuscation)에 놀라울 만큼 뛰어나다는 사실이 입증된 순간이었다.
난독화는 리버스 엔지니어링을 어렵게 만드는 기법이지만, 코드 보호의 최종 수단은 아니다. npm 패키지 형태로 배포되는 이상 클라이언트 측 코드는 언제든 분석 가능하다. 서버 측 핵심 로직과 클라이언트 코드를 분리하는 아키텍처 설계가 근본적인 해법이다.
앤트로픽의 DMCA 대응과 개발자 반발
앤트로픽은 2025년 3월 10일 깃허브에 DMCA 테이크다운 요청을 제출했다. 난독화를 해제한 소스코드 저장소가 저작권 침해에 해당한다는 논리였다. 이 조치 자체는 법적으로 문제가 없었지만, 같은 시기 OpenAI가 경쟁 제품인 Codex CLI를 Apache 2.0 오픈소스 라이선스로 공개한 것과 극명하게 대비되며 개발자 커뮤니티의 비판을 받았다.
2025년 4월에도 한 개발자가 소스코드를 역공학한 뒤 깃허브에 올리자, 앤트로픽은 다시 DMCA 요청을 보냈다. OpenAI가 Codex CLI에서 경쟁사 모델까지 지원하는 PR(Pull Request)을 병합하고 있던 상황이라, 앤트로픽의 폐쇄적 대응은 "안전을 내세우면서 실제로는 통제만 원하는 것 아니냐"는 인식을 강화시켰다.
| 비교 항목 | 앤트로픽 클로드 코드 | OpenAI Codex CLI |
|---|---|---|
| 라이선스 | 상업용 라이선스 (소스 비공개) | Apache 2.0 (오픈소스) |
| 소스코드 공개 | 난독화 처리 후 배포 | 전체 소스 공개 |
| 역공학 대응 | DMCA 테이크다운 요청 | 커뮤니티 PR 적극 수용 |
| 서드파티 모델 지원 | 차단 (2026년 1월 OAuth 제한) | 경쟁사 모델 포함 지원 |
| 출시 시기 | 2025년 2월 (베타) | 2025년 4월 |
클로드 코드의 소스코드를 역공학하거나 재배포하는 행위는 앤트로픽의 이용 약관 위반에 해당한다. 학습 목적이라 해도 DMCA 조치 대상이 될 수 있으므로 주의가 필요하다.
연이은 보안 취약점 발견과 시크릿 유출 문제
소스코드 유출에 이어, 클로드 코드 자체의 보안 취약점이 연달아 보고되면서 상황은 더 심각해졌다. 2026년 2월 25일 체크포인트 리서치(Check Point Research)가 공개한 취약점 보고서는 업계에 충격을 줬다.
핵심은 프로젝트 디렉터리 내 .claude/settings.json 파일이었다. 이 파일은 프로젝트 설정을 관리하는데, 저장소에 대한 커밋 권한이 있는 누구든 수정할 수 있었다. 공격자가 악의적으로 조작한 settings.json을 저장소에 심어 놓으면, 해당 저장소를 클로드 코드로 여는 것만으로도 원격 코드 실행(RCE)과 API 키 탈취가 가능했다.
주요 CVE 취약점 현황
| CVE 번호 | 위험도 | 내용 | 패치 시점 |
|---|---|---|---|
| CVE-2025-59536 | Critical | settings.json 통한 원격 코드 실행 | 2025년 말 |
| CVE-2026-21852 | High | API 토큰 유출 경로 | 2026년 2월 |
| CVE-2026-25725 | High | 버블랩 샌드박스 권한 상승 | 2026년 2월 (v2.1.2) |
| CVE-2026-33068 | Medium | 워크스페이스 신뢰 우회 | 2026년 3월 |
클로드 코드를 사용할 때 출처를 알 수 없는 저장소를 바로 열지 않는 것이 안전하다. 특히 .claude 디렉터리가 포함된 저장소는 settings.json 파일을 먼저 확인한 뒤 작업을 시작하는 습관이 중요하다.
GitGuardian이 공개한 시크릿 유출 데이터
2026년 3월 17일 GitGuardian이 발표한 "State of Secrets Sprawl 2026" 보고서는 또 다른 차원의 문제를 드러냈다. 2025년 한 해 동안 깃허브 퍼블릭 커밋에서 노출된 시크릿(비밀키, API 키 등)은 약 2,865만 건에 달했고, 이 중 AI 코딩 도구와 관련된 유출은 전년 대비 81% 증가했다.
특히 클로드 코드 공동 작성 커밋의 시크릿 유출률은 3.2%로, 깃허브 전체 평균 1.5%의 약 2배에 달했다. AI 코딩 도구가 코드 생성 속도를 높이는 만큼, 개발자가 시크릿 노출 여부를 미처 확인하지 못하는 경우도 같이 늘어난 셈이다. 다만 7-8월 정점을 찍은 뒤 12월에는 1,000커밋당 13건 수준으로 줄어 인간 평균과 비슷한 수준까지 내려왔다.
.env 파일, 설정 파일 내 API 키, 하드코딩된 비밀번호 등은 클로드 코드가 코드베이스를 분석할 때 함께 전송된다. 반드시 .gitignore에 민감 파일을 등록하고, 프록시 도구를 활용해 시크릿 필터링을 자동화하는 것이 바람직하다.
CMS 오류로 터진 클로드 미토스 유출, 사태의 정점
2026년 3월 26일, 가장 큰 유출 사건이 터졌다. 앤트로픽의 콘텐츠 관리 시스템(CMS)에 업로드된 내부 파일 약 3,000건이 공개 설정 상태로 방치돼 외부에서 접근 가능한 상태가 된 것이다. 해당 CMS는 디지털 자산을 업로드하면 기본값이 "공개"로 설정되는 구조였는데, 담당자가 비공개 전환을 누락한 채 파일을 올린 것으로 확인됐다.
이 가운데 가장 주목을 받은 것은 미발행 블로그 포스트 초안이었다. 거기에는 앤트로픽이 차세대 AI 모델 클로드 미토스(Claude Mythos), 코드명 카피바라(Capybara)를 개발 완료했다는 내용이 담겨 있었다. 유출된 초안 두 버전의 차이는 모델 이름뿐이었고, 두 번째 버전에서는 본문의 "미토스"를 "카피바라"로 교체했으나 부제목에 "Claude Mythos"가 그대로 남아 있어 동일 모델의 이름 후보를 검토하는 단계였음을 보여준다.
유출 내용에 담긴 핵심 정보
유출 문서에서 확인된 주요 내용은 다음과 같다.
카피바라는 기존 최상위 티어인 Opus 위에 새롭게 신설되는 모델 등급이다. 앤트로픽은 이를 "우리가 만든 것 중 가장 강력한 AI 모델"이라 표현했고, 소프트웨어 코딩, 학술 추론, 사이버 보안 분야에서 Claude Opus 4.6 대비 "극적으로 높은 점수"를 기록했다고 기술했다. 특히 사이버 보안 역량에 대해서는 "현재 다른 어떤 AI 모델보다 훨씬 앞서 있다"고 자체 평가했다.
동시에 앤트로픽은 이 모델의 위험성도 인정했다. "취약점을 악용하는 방식에서 방어자의 노력을 훨씬 앞지르는 모델의 파도가 곧 밀려올 것"이라며, 일반 출시 전 보안 기관에 조기 접근 권한을 부여해 방어 역량을 강화할 시간을 주겠다는 계획을 밝혔다. 운영 비용 역시 "매우 비싸며, 고객에게도 매우 비쌀 것"이라고 솔직하게 적어 놓았다.
| 유출 정보 | 세부 내용 |
|---|---|
| 모델명 | Claude Mythos (초안 v1) / Capybara (초안 v2) |
| 등급 | 기존 Opus 상위에 신설되는 카피바라 티어 |
| 성능 | Opus 4.6 대비 코딩·추론·사이버보안에서 "극적 성능 향상" |
| 사이버 역량 | "현존 AI 모델 중 사이버 역량 최고" (자체 평가) |
| 출시 계획 | 소수 얼리 액세스 고객 대상 제한 제공 → 점진 확대 |
| 비용 | "매우 비싸며" 효율화 작업 후 일반 출시 예정 |
| 유출 규모 | 내부 파일 약 3,000건 (PDF, 이미지, 임직원 정보, CEO 이벤트 자료 포함) |
CMS 기본 설정이 "공개"인 시스템은 생각보다 많다. 기업 규모와 관계없이 디지털 자산 업로드 시 접근 권한을 "비공개"로 명시하는 프로세스를 의무화하는 것이 이런 사고를 예방하는 가장 기본적인 방법이다. 앤트로픽 정도 규모의 기업에서조차 인적 오류로 이런 사고가 발생했다는 점은 모든 조직에 시사하는 바가 크다.
IPO 앞둔 앤트로픽, 보안 사고의 비즈니스 임팩트
이 연쇄 사건이 더 큰 주목을 받는 이유는 앤트로픽의 현재 상황 때문이다. 2026년 2월 시리즈 G에서 300억 달러를 조달하며 기업가치 3,800억 달러(약 554조 원)를 찍은 앤트로픽은, 이르면 2026년 10월 IPO를 검토 중이다. 골드만삭스, JP모건, 모건스탠리가 주관사 자리를 놓고 경쟁 중이며, 상장 시 600억 달러 이상의 자금 조달이 예상된다.
클로드 코드 단일 제품의 연간 실행 매출만 25억 달러를 넘어섰고, 2026년 초 대비 2배 이상 성장했다. 회사 전체 연간 매출은 190억 달러 수준까지 올라왔다. 이런 고성장 궤도에서 터진 보안 사고는 IPO 과정에서 리스크 팩터로 작용할 가능성이 높다.
한편 앤트로픽은 보안 역량 강화에도 적극 투자하고 있다. 2026년 2월 20일 공개한 클로드 코드 시큐리티(Claude Code Security)는 AI 기반 추론으로 코드베이스의 제로데이 취약점을 탐색하는 도구다. 공개 직후 전통적 사이버보안 기업들의 주가가 최대 9% 급락할 정도로 시장에 충격을 줬다. 3월 9일에는 PR(Pull Request)당 15 - 25달러 수준의 코드 리뷰 도구도 출시했다.
이처럼 앤트로픽은 자사 도구의 보안 문제를 겪으면서도, 동시에 보안 솔루션 시장에 진입하는 이중적 행보를 보이고 있다. AI 안전에 대한 진정성 있는 접근인지, 비즈니스 기회를 포착한 전략적 행보인지는 시장 참여자마다 평가가 갈린다.
앤트로픽은 서드파티 도구(OpenCode, OpenClaw 등)가 클로드 구독 OAuth 토큰을 사용하는 것을 2026년 1월부터 기술적으로 차단했다. 비공식 도구를 통한 클로드 사용은 계정 정지 사유에 해당하므로, 반드시 공식 채널만 사용해야 한다.
앤트로픽 보안 사고에서 얻는 교훈
이번 연쇄 사건은 AI 기업의 보안이 모델의 지능 수준과 비례하지 않는다는 현실을 적나라하게 보여줬다. 소스맵 포함 실수, DMCA만으로 대응한 폐쇄적 전략, settings.json 신뢰 모델의 설계 결함, CMS 기본 설정 미확인에 이르기까지, 모두 "인적 오류"와 "설계 단계의 보안 미비"가 근본 원인이었다.
개발자 입장에서 가장 실용적인 대응은 세 가지로 정리된다. 첫째, AI 코딩 도구 사용 시 커밋 전 시크릿 스캔을 자동화한다. GitGuardian 같은 도구를 CI/CD 파이프라인에 연동하면 하드코딩된 비밀키가 저장소에 올라가는 것을 사전에 차단할 수 있다. 둘째, 출처 불명의 저장소를 클로드 코드로 열기 전에 .claude 디렉터리를 반드시 검사한다. 셋째, 클로드 코드 버전을 항상 최신으로 유지한다. CVE-2025-59536, CVE-2026-21852 등 주요 취약점은 이미 패치가 완료됐지만, 업데이트를 미루면 여전히 공격에 노출될 수 있다.
앤트로픽은 "AI 안전(AI Safety)"을 핵심 정체성으로 내세워온 기업이다. 클로드 미토스 유출 문서에서조차 사이버 보안 위험을 솔직하게 경고하고 방어자에게 시간을 주겠다고 밝힌 점은 평가할 만하다. 하지만 자사 CMS 설정 하나 제대로 관리하지 못한 아이러니는, AI 기업이 말하는 "안전"과 실제 운영 보안 사이에 여전히 간극이 존재한다는 사실을 환기한다. IPO를 앞둔 앤트로픽이 이 간극을 얼마나 빠르게 좁히느냐가 투자자와 개발자 모두에게 중요한 관전 포인트가 될 것이다.