앤스로픽 클로드 소스코드 유출 사고인가 치밀한 노이즈 마케팅인가

npm 패키지 설정 오류로 51만 줄 분량의 핵심 로직 전격 노출
셀프 힐링 메모리 및 카이로스 등 미공개 혁신 기술 강제 공개
만우절 직전 발생한 타이밍과 정교한 코드 구조에 스턴트 의혹 증폭

인공지능(AI) 안전과 신뢰성을 최우선 가치로 내세워 온 앤스로픽이 자사의 핵심 자산인 ‘클로드 코드(Claude Code)’의 소스코드를 외부에 노출하는 치명적인 실수를 저질렀다. 지난 3월 31일, npm 레지스트리에 업데이트된 클로드 코드 버전 2.1.88 패키지에 약 51만 줄에 달하는 미난독화된 타입스크립트(TypeScript) 소스 맵 파일이 포함되면서 전 세계 개발자들에게 내부 기밀이 가감 없이 공개된 것이다.

번(Bun) 런타임 설정 오류가 불러온 ‘투명한’ 유출

이번 사고의 직접적인 원인은 앤스로픽이 도입한 최신 자바스크립트 런타임 ‘번(Bun)’의 설정 오류로 파악된다. 프로덕션 빌드 시 제외되어야 할 소스 맵 파일이 패키징 과정에서 누락되지 않았고, 이것이 그대로 공용 저장소에 올라가면서 1,900여 개의 내부 파일이 고스란히 노출되었다. 앤스로픽 측은 즉각 "인적 오류에 의한 단순 패키징 실수"라고 해명하며 진화에 나섰으나, 유출된 코드의 방대함과 정교함은 단순 실수로 치부하기엔 너무나 큰 파장을 낳고 있다.

실제로 유출된 코드 내부에서는 앤스로픽이 그동안 베일에 가려두었던 혁신 기술들이 대거 발견되었다. 긴 세션에서 AI의 혼란을 방지하는 ‘셀프 힐링 메모리(Self-Healing Memory)’ 시스템부터, 사용자가 부재 중일 때 스스로 메모리를 정리하고 성능을 최적화하는 배경 에이전트 ‘카이로스(KAIROS)’, 그리고 다마고치 형태의 게임화 요소까지 포함된 것으로 확인되었다.

마케팅 스턴트 의혹: 너무나 완벽한 타이밍과 내용

업계 전문가들이 이번 사건을 의심스러운 시선으로 바라보는 이유는 크게 두 가지다. 첫째는 타이밍이다. 유출 사고가 발생한 3월 31일은 만우절(4월 1일)을 불과 몇 시간 앞둔 시점이었으며, 코드 내부에 포함된 신규 기능들의 출시 예정일 역시 4월 첫째 주에 집중되어 있었다. 마치 유출을 통해 신기술에 대한 기대감을 극대화하려는 고도의 전략처럼 보인다는 지적이다.

둘째는 유출된 코드의 내용이다. 통상적인 유출 사고와 달리, 이번에 공개된 코드는 앤스로픽의 독보적인 기술력을 과시하는 ‘기술 백서’에 가까운 수준이었다. 컨텍스트 엔트로피 문제를 해결한 독창적인 방식이나 ‘언더커버 모드(Undercover Mode)’ 같은 흥미로운 기능들이 상세히 담겨 있어, 오히려 앤스로픽의 브랜드 이미지를 제고하는 효과를 낳고 있다. 일각에서는 "오픈소스 진영의 추격을 따돌리기 위해 실력이 어느 정도인지 일부러 보여준 것이 아니냐"는 분석까지 나오고 있다.

실수와 전략 사이, 무너진 보안 신뢰의 과제

물론 앤스로픽과 같은 대규모 AI 기업이 지적재산권(IP) 손실의 위험을 무릅쓰고 소스코드를 통째로 유출하는 도박을 할 리 없다는 반론도 만만치 않다. 실제로 이번 유출 직후 앤스로픽의 시가총액이 일시적으로 하락하고, 악성 코드를 심은 가짜 유출본이 유포되는 등 실질적인 피해가 발생했기 때문이다.

그럼에도 불구하고 이번 사건은 '실수'였다면 앤스로픽의 보안 역량에 대한 심각한 결함이며, '전략'이었다면 대중을 기만한 위험한 마케팅이라는 비판을 피하기 어렵게 되었다. 현재 앤스로픽은 깃허브(GitHub) 등에 퍼진 소스코드 복제본에 대해 강력한 저작권 위반 삭제 요청을 진행하고 있다. 이번 '클로드 코드 대유출 사건'이 단순한 해프닝으로 끝날지, 아니면 앤스로픽의 폐쇄적 생태계가 개방형으로 전환되는 결정적 계기가 될지 전 세계 테크 산업의 눈과 귀가 쏠리고 있다.