중국 AI의 민낯: 2만 4천 개의 가짜 계정으로 클로드를 털다
미국 현지 시각 기준 23일(월), 클로드를 서비스하는 앤트로픽은“증류 공격 탐지 및 방지(Detecting and Preventing Distillation attacks)” 라는 제목의 성명서를 자사 블로그를 통해 발표했습니다. 이 성명서의 주요 골자는 중국의 AI 기업들, 딥시크(DeepSeek), 문샷(Moonshot), 미니맥스(MiniMax)
미국 현지 시각 기준 23일(월), 클로드를 서비스하는 앤트로픽은 “증류 공격 탐지 및 방지(Detecting and Preventing Distillation attacks)” 라는 제목의 성명서를 자사 블로그를 통해 발표했습니다.
이 성명서의 주요 골자는 중국의 AI 기업들,
딥시크(DeepSeek), 문샷(Moonshot), 미니맥스(MiniMax) 등이
앤트로픽의 AI 모델인 “클로드”의 핵심 능력을 조직적으로 빼돌렸고,
이를 통해 자신들의 모델을 개선해 왔다는 것이었습니다.
앤트로픽의 자체 조사 결과 이 세 기업은 약 2만 4천 개의 가짜 계정을 만들어 1,600만 건이 넘는 대화를 생성했습니다
앤트로픽 측은 이러한 중국 AI 기업들의 행위가 자사 서비스 이용 약관과 지역 접근 제한을 정면으로 위반한 것이라고 강조했습니다.
본지는 앤트로픽의 성명서를 바탕으로 이번 사건의 전모를 네 가지 쟁점으로 정리했습니다.
AI ‘증류 공격’의 두 얼굴: 기술 탈취를 넘어 안보 위협으로
1,365만 건의 대화를 훔쳐라…중국 AI의 클로드 털기 작전
‘OOO 클러스터’: 하나 막으면 둘이 뜨는 중국의 클로드 우회 작전
가짜 계정 잡고, 답변 무력화하고…앤트로픽의 증류 방어 전략
이 내용을 중심으로 오늘 글을 시작하겠습니다.
1. AI ‘증류 공격’의 두 얼굴: 기술 탈취를 넘어 안보 위협으로
이번 사건에서 중국 기업들이 활용한 방법은 ‘증류(distillation)’였습니다.
쉽게 말해 우수한 AI 모델에 대량의 질문을 던지고,
그 답변을 모아 자사 AI 모델을 학습시키는 교재로 활용하는 방식을 말하는데요.
사실 증류라는 방법론 자체는 불법이 아닙니다. AI 업계에서 널리 쓰이는 합법적인 기법이기도 합니다.선도 기업들 역시 자사 모델을 증류해 더 작고 저렴한 버전을 만들어 고객에게 제공하기도 합니다.
문제는 이 기법을 타사의 모델에 무단으로 적용할 때 발생합니다. 경쟁사가 막대한 시간과 비용을 들여야 얻을 수 있는 기술력을 극히 적은 비용으로 가로챌 수 있기 때문입니다.
물론 앤트로픽 측이 더 크게 우려하는 부분은 경쟁과 자사 지적재산권에 대한 침해보다는 “안보 위험”이었습니다.
앤트로픽을 비롯한 서방의 AI 기업들은 자사 모델에 안전장치를 심어두고 있습니다. AI를 악용한 생물학 무기 개발이나 대규모 사이버 공격을 사전에 막기 위해서입니다.
하지만 불법 증류로 만들어진 모델에는 이런 안전장치가 빠질 가능성이 크다는 것이 앤트로픽 측의 주장이었습니다. 위험한 기술이 아무런 보호장치 없이 확산될 수 있다는 뜻이기도 했습니다.
그리고 이러한 위험요소가 확산될 경우, 안전장치가 없는 AI는 외국 정부의 군사, 정보, 감시 목적에 악용될 소지가 있다고 그들은 보았습니다.
최첨단 AI가 공격적인 사이버 작전이나 가짜 뉴스 유포, 대규모 감시에 쓰일 수 있다는 이야기입니다.
나아가 이렇게 증류된 모델이 오픈소스로 풀리면,
어느 정부도 통제할 수 없는 상태로 걷잡을 수 없이 퍼지게 된다고 앤트로픽 측은 보았습니다.
사실 미국은 이런 점에서 주요 기술에 대한 수출 통제에 나서고 있었고요.
앤트로픽도 미국 기업인만큼 이 정책을 준수해 왔습니다.
그러나 이런 증류 공격은 일종의 미국 정부의 통제망을 빠져나가는 수단이 되고 있었습니다.
여기에 더해 앤트로픽 측은 한 가지 우려를 더 제기했습니다.
증류 공격의 실태가 제대로 알려지지 않을 경우, 중국 기업들의 빠른 기술 발전이 자칫 오해를 낳을 수 있다는 점입니다.
‘수출 통제는 무용지물이다’ 혹은 ‘중국이 독자적인 혁신으로 단숨에 따라잡았다’는 식으로 잘못 해석될 여지가 있다고도 보았습니다. 앤트로픽은 중국 AI 발전의 상당 부분은 미국에서 빼낸 기술력에 기대고 있으며, 이러한 대규모 데이터 추출 작업 자체에도 첨단 칩이 필수적이라고 보았습니다.
그만큼 반도체칩에 대한 수출 통제가 필요하다고 그들은 보았습니다.
그럼 중국 기업들은 어떻게 클로드의 노하우를 빼갔을까요?
2. 1,365만 건의 대화를 훔쳐라…중국 AI의 클로드 털기 작전
적발된 세 기업의 수법에는 뚜렷한 공통점이 있었습니다.
이들은 탐지를 피하고자 가짜 계정과 우회 접속(프록시) 서비스를 동원해 클로드에 대규모로 접근했습니다.
이들이 쏟아낸 질문의 양과 구조, 집중적인 관심 분야는 모두 일반 사용자의 패턴과 확연히 달랐습니다.
앤트로픽은
IP 주소의 연관성, 접속 기록의 세부 정보, 서버 인프라 흔적을
종합적으로 분석해 공격 배후에 있는 기업들을 정확히 찾아냈습니다.
앤트로픽 측은 일부 사례와 관련 클로드와 비슷한 공격 패턴을 겪은 업계 파트너들을 통해 교차 검증을 마친 상황입니다.
중국 AI 3사는 클로드만의 핵심 기술을 집중적으로 노린 것으로 나타났습니다.
복잡한 상황을 스스로 판단하고 행동하는 ‘에이전트 추론’,
외부 시스템과 연동하는 ‘도구 사용’,
그리고 고도화된 ‘코딩 능력’이 주요 타깃이었습니다.
우선 딥시크(DeepSeek)는 15만 건 이상의 대화를 통해 클로드의 다양한 추론 능력을 훔치는 데 집중했습니다.
특히 두 가지 기법이 눈에 띄었다고 앤트로픽 측은 밝혔습니다.
첫째, 클로드에게 “최종 답변이 나오기까지의 사고 과정을 상상해 단계별로 설명해 달라”라고 요구한 것입니다. 이는 AI가 결론을 도출하는 추론 과정 자체를 대량의 데이터로 확보하려는 꼼수였습니다
둘째는 정치적으로 민감한 질문을 활용한 방식이었습니다.
이들은 반체제 인사나 당 지도부, 권위주의 체제 등에 대한 질문을 던져
검열을 거치지 않은 날것의 답변을 수집했습니다.
앤트로픽은 딥시크가 자사 AI 모델이 민감한 주제를 알아서 피하도록 학습시키기 위해 이 데이터를 모은 것으로 분석했습니다.
또한 딥시크는 클로드를 일종의 ‘채점관’으로 부려 먹었습니다. 자체적인 AI 답변 평가 기준표를 제시한 뒤, 클로드에게 다른 답변들을 채점하게 한 것입니다.
이렇게 확보한 평가 데이터는 딥시크 모델의 성능을 높이는 강화 학습에 쓰일 수 있다는 것이 앤트로픽 측의 추정이었습니다.
딥시크의 계정 운영 수법도 치밀했습니다.
여러 계정이 동일한 패턴으로 동시에 움직였고, 결제 수단을 공유했으며,
철저히 타이밍을 맞춰 접속을 분산시켰습니다.
앤트로픽은 접속 기록을 역추적해 이 계정들이 딥시크 소속의 특정 연구원들임을 밝혀냈습니다.
문샷 AI(Moonshot AI)는 340만 건 이상의 대화를 통해 클로드의 기술을 전방위적으로 노렸습니다.
Kimi로 잘 알려진 문샷의 경우 에이전트 추론과 도구 사용, 코딩은 물론
데이터 분석과 컴퓨터 비전 능력까지 광범위하게 빼내려 했다는 것이 앤트로픽측의 설명입니다.
문샷의 경우 다양한 우회 경로를 통해 수백 개의 가짜 계정을 동원했습니다.
계정의 유형을 교묘하게 섞어,
마치 여러 일반 사용자가 무작위로 접속하는 것처럼 위장해 보안망을 피하려 했습니다.
앤트로픽 측은 접속 기록에 남은 단서를 바탕으로 이들이 문샷 고위 임원들의 공개 프로필 정보와 일치한다는 점을 확인해 배후를 포착했습니다.
꼬리가 밟힌 이후에도 문샷은 포기하지 않았습니다. 오히려 더 정교한 방식을 동원해 클로드의 추론 과정을 뽑아내고 이를 재구성하려 시도했습니다.
마지막으로 미니맥스는 1,300만 건 이상의 대화를 통해 클로드의 에이전트 코딩과 도구 사용 능력을 집중적으로 공략했습니다.
앤트로픽 측은 서버 인프라에 남은 흔적을 추적해 공격 배후가 미니맥스임을 확인했습니다. 이들의 공격 시점은 미니맥스의 신제품 출시 일정과 정확히 맞물려 있었습니다.
앤트로픽은 미니맥스는 다른 중국 AI 사업자들과 좀 다른 패턴을 보였다고 밝혔습니다. 사실 앤트로픽은 미니맥스가 새 모델을 내놓기 전, 한창 데이터를 훔쳐 가던 시점에 공격을 미리 탐지했습니다.
덕분에 무단 데이터 수집부터 신제품 출시까지 이어지는 ‘불법 증류’의 전체 과정을 업계 최초로 고스란히 관찰할 수 있었습니다.
매우 흥미로운 장면도 포착되었습니다. 미니맥스의 데이터 탈취가 한창이던 중, 앤트로픽이 클로드의 새로운 버전을 깜짝 출시했습니다. 그러자 미니맥스는 하루도 지나지 않아 공격 타깃을 바꿨습니다. 전체 접속량의 절반 가까이를 신규 모델의 기술을 빼내는 데 곧바로 투입한 것입니다
그리고 중국 AI들이 대규모 공격을 가능하게 한 인프라를 찾을 수 있었습니다.
3. ‘OOO 클러스터’: 하나 막으면 둘이 뜨는 중국의 클로드 우회 작전
앤트로픽은 국가 안보를 이유로
중국 기업이 자사 AI 모델인 ‘클로드’를 상업적으로 이용하는 것을 전면 차단하고 있습니다.
이는 해외에 거점을 둔 중국 기업의 자회사에도 동일하게 적용됩니다.
그렇기에 중국 기업들은 이 규제 장벽을 우회하기 위해