- Authors
- Name
- 오늘의 바이브
가짜 계정 24,000개, 호출 1,650만 번
2026년 2월 23일, Anthropic이 블로그에 글 하나를 올렸다. 제목은 "Detecting and Preventing Distillation Attacks." 중국 AI 기업 세 곳이 Claude의 능력을 체계적으로 빼돌렸다는 내용이었다. 딥시크(DeepSeek), Moonshot AI, MiniMax. 이 세 회사가 가짜 계정 24,000개를 만들어 Claude API를 1,650만 번 이상 호출했다.
단순한 API 남용이 아니었다. 이것은 경쟁사의 AI 모델을 자기 모델의 훈련 데이터로 전환하는 산업 규모의 작전이었다. Anthropic은 이를 "증류 공격(distillation attack)"이라 불렀다. 그리고 세 회사 중 아무도 부인하지 않았다.
증류가 뭐길래
증류(distillation)는 AI 업계에서 널리 쓰이는 합법적 훈련 기법이다. 큰 모델(teacher)의 출력을 작은 모델(student)이 학습하는 방식이다. OpenAI가 GPT-4의 출력으로 GPT-4o mini를 훈련시키는 것도 증류다. Anthropic이 Claude 3.5 Sonnet의 출력으로 Haiku를 개선하는 것도 증류다. 자기 모델끼리 하면 합법이고, 남의 모델을 무단으로 쓰면 불법이다.
불법 증류의 원리는 간단하다. 경쟁사 모델에 수만 번 질문을 던지고, 그 응답을 수집해서 자기 모델의 훈련 데이터로 쓴다. 직접 개발하면 수천억 원과 수년이 걸릴 능력을 API 호출료만으로 복제할 수 있다. 모델의 추론 과정, 코딩 능력, 안전 장치까지 통째로 가져갈 수 있다는 점에서 단순 복사보다 훨씬 정교하다.
Anthropic이 폭로한 세 회사의 수법은 이 원리를 산업 규모로 실행한 것이었다.
세 회사의 역할 분담
세 회사의 공격 패턴은 각각 달랐다. 마치 역할을 나눈 것처럼 각자 다른 능력을 노렸다.
| 회사 | 호출 횟수 | 주요 타깃 |
|---|---|---|
| MiniMax | 약 1,300만 회 | 에이전트 코딩, 도구 사용, 오케스트레이션 |
| Moonshot AI | 약 340만 회 | 에이전트 추론, 컴퓨터 사용, 코딩, 컴퓨터 비전 |
| 딥시크 | 약 15만 회 | 추론 능력, 보상 모델 훈련, 검열 우회 |
MiniMax가 전체 트래픽의 **약 80%**를 차지했다. 에이전트 코딩과 도구 사용에 집중했다는 건, Claude Code와 같은 에이전트 기능을 통째로 복제하려 했다는 뜻이다. Moonshot AI는 컴퓨터 사용 에이전트 개발에 필요한 데이터를 추출했다. 딥시크는 호출 횟수는 적었지만 가장 민감한 영역을 건드렸다.
딥시크는 Claude에게 "복잡한 문제에 대해 올바른 답을 냈다고 상상한 뒤, 그 답에 도달한 단계별 내부 추론 과정을 처음부터 상세히 서술하라"는 프롬프트를 반복적으로 보냈다. 이것은 Claude의 추론 과정 자체를 훈련 데이터로 추출하는 기법이다. 답만 가져가는 게 아니라, 답에 이르는 사고 과정을 통째로 가져간 것이다.
더 주목할 점이 있다. 딥시크는 Claude에게 "반체제 인사, 당 지도자, 권위주의에 관한 정치적으로 민감한 질문의 검열에 안전한 대안을 생성하라"는 프롬프트도 보냈다. 중국 내 검열을 우회하면서도 안전한 응답을 만들어내는 능력을 Claude에서 추출하려 한 것이다.
개미 군단이라는 탐지 시그널
Anthropic은 이 공격을 어떻게 잡았을까. 핵심은 **행동 지문(behavioral fingerprinting)**이었다.
정상적인 API 사용자는 다양한 주제에 대해 다양한 형태의 질문을 한다. 하지만 증류 공격은 다르다. 같은 프롬프트의 변형이 수백 개의 계정에서 수만 번 반복된다. Anthropic은 이를 "개미 군단(ant-colony) 행동"이라 불렀다. 유기적인 사용자 패턴이 아니라, 부하 분산처럼 작동하는 동기화된 트래픽이었다.
탐지 시스템은 여러 층위로 작동했다. 사고 과정 유도(chain-of-thought elicitation) 패턴 감지, 계정 간 동기화된 트래픽 탐지, 프롬프트 다양성의 급격한 하락 감지, IP 주소와 결제 수단의 상관관계 분석, 요청 메타데이터와 인프라 지표 추적까지. 겉보기에는 독립적인 수천 개 계정이 동일한 결제 소스로 연결돼 있었다.
가장 결정적인 증거는 MiniMax에서 나왔다. Anthropic이 새 모델을 출시하자, MiniMax는 24시간 이내에 트래픽의 절반을 새 모델로 전환했다. 일반 사용자가 아니라 자동화된 추출 시스템이 아니면 불가능한 반응 속도다. Anthropic은 MiniMax의 캠페인을 "모델 출시 전에" 실시간으로 포착했다. 증류 데이터를 수집하는 단계부터 모델을 훈련시키기 직전까지, 공격의 전체 생명주기를 목격한 것이다.
하이드라 클러스터라는 인프라
세 회사가 사용한 인프라는 정교했다. Anthropic은 이를 **"하이드라 클러스터(hydra cluster)"**라 불렀다. 상업용 프록시 서비스를 이용해 수만 개의 가짜 계정을 동시에 운영하는 네트워크다. 하나의 프록시 네트워크가 20,000개 이상의 계정을 동시에 관리했다.
핵심 특징은 단일 장애 지점이 없다는 것이다. 계정이 차단되면 새 계정이 자동으로 대체됐다. 합법적인 고객의 요청과 증류 트래픽을 섞어 탐지를 회피했다. 개별 계정은 속도 제한(rate limit) 이하로 유지하면서, 전체적으로는 대규모 처리량을 달성했다. 머리를 잘라도 다시 자라나는 히드라(Hydra)의 이름이 붙은 이유다.
이 인프라의 근본적 취약점은 Anthropic이 정확히 짚었다. "대부분의 조직은 인증된 사용자가 시간이 지나면서 집단적으로 무엇을 하는지 가시성이 없다." 인증된 트래픽은 신뢰할 수 있다고 가정하지만, 인증과 신뢰는 같은 것이 아니다.
OpenAI도 같은 말을 했다
Anthropic만 당한 게 아니다. OpenAI는 Anthropic보다 11일 앞서 움직였다. 2026년 2월 12일, OpenAI는 미국 하원 중국특별위원회에 메모를 보냈다. 딥시크가 자사 지적재산을 훔쳐 모델을 훈련시켰다는 내용이었다.
OpenAI가 포착한 증거는 구체적이었다. 딥시크 직원과 연결된 계정들이 OpenAI의 접근 제한을 우회하는 방법을 개발하고 있었다. "난독화된 서드파티 라우터"를 통해 모델에 접근했다. 프로그래밍 코드를 작성해 미국 AI 모델에 대한 접근을 자동화하고, 모델 증류를 위한 출력을 수집했다. OpenAI 서비스의 "무허가 리셀러" 네트워크도 확인됐다.
CNBC는 이를 두고 Anthropic이 "중국 AI 기업의 '산업 규모' 증류 캠페인을 경고하는 대열에 OpenAI와 함께 합류했다"고 보도했다. 하지만 분석가들은 "다른 내러티브들 사이의 뉘앙스를 구분할 필요가 있다"고 지적했다. 불법적 관행과 합법적 관행의 경계가 모호한 경우가 많기 때문이다.
미국 수출 규제의 줄다리기
Anthropic의 폭로 시점은 우연이 아니다. 미국 정부가 AI 칩 수출 규제를 놓고 치열한 논쟁을 벌이던 한복판이었다.
바이든 행정부는 2025년 1월 15일 "AI 확산 규칙(AI Diffusion Rule)"을 발표했다. 첨단 AI 칩과 모델 가중치 수출에 글로벌 라이선스 체계를 적용하고, 국가별 접근 등급을 분류하는 내용이었다. 준수 요건 시행일은 2025년 5월 15일이었다.
그런데 트럼프 행정부가 2025년 5월 13일 이 규칙을 철회했다. "혁신을 억누르고, 지나치게 복잡하며, 미국 외교 관계를 훼손한다"는 이유였다. 2025년 12월에는 더 나아가 Nvidia H200 칩의 중국 수출 라이선스를 승인했다. 바이든 시절의 "작은 마당, 높은 울타리" 전략과는 정반대 방향이었다.
Anthropic의 Dario Amodei CEO는 수출 규제에 대해 분명한 입장을 밝힌 바 있다. 그는 수출 통제가 "우리가 단극 세계에 도달하느냐, 양극 세계에 도달하느냐를 결정하는 가장 중요한 요소"라고 썼다. 양극 세계에서는 중국이 더 많은 인재와 자본을 군사 분야에 집중할 수 있고, 이것이 "글로벌 무대에서 압도적 우위를 점하는" 결과로 이어질 수 있다는 논리다.
2월 23일의 폭로는 이 맥락에서 읽어야 한다. Anthropic은 "수출 규제를 풀면 이런 일이 벌어진다"는 실물 증거를 정책 논쟁의 한가운데 던진 것이다.
아이러니를 짚지 않을 수 없다
비판도 거세다. 2025년 9월, Anthropic은 저작권 합의금으로 약 15억 달러를 지불했다. 약 50만 권의 책에 대해 권당 약 3,000달러. Anthropic이 Claude를 훈련시키기 위해 Library Genesis 같은 그림자 도서관에서 대량으로 책을 다운로드했다는 혐의에 대한 합의였다.
법원은 Bartz v. Anthropic 사건에서 LLM 훈련이 "본질적으로 변환적(transformative)"이라고 판결했다. 하지만 동시에, 해적판 복사본을 사용하면 공정 사용 항변을 주장할 수 없다고도 판결했다.
Reddit의 r/singularity에서는 "How the turn tables"라는 반응이 쏟아졌다. Futurism은 "Anthropic이 자기가 어떻게 Claude를 만들었는지 생각하면 꽤나 아이러니한 분노"라는 제목의 기사를 냈다. CyberNews는 "위선, 누구?"라는 헤드라인을 달았다.
공정한 지적이다. 하지만 두 상황에는 차이가 있다. Anthropic의 저작권 문제는 훈련 데이터의 출처에 관한 것이다. 딥시크의 증류는 경쟁사의 완성된 제품을 도구로 사용해 그 능력을 직접 복제한 것이다. 전자는 원재료의 출처가 문제이고, 후자는 완성품의 리버스 엔지니어링이다. 둘 다 윤리적으로 문제가 있지만, 동일한 행위는 아니다.
조용한 침묵이 가장 큰 답이다
2026년 2월 말 기준, 딥시크, MiniMax, Moonshot AI 세 회사 중 아무도 공식 반응을 내놓지 않았다. 부인도, 인정도, 해명도 없다. 이 침묵이 가장 의미심장하다.
기술적 혐의를 부인하려면 자사 훈련 파이프라인의 세부 사항을 공개해야 한다. 그럴 인센티브가 없다. 인정하면 법적 책임이 따른다. 해명하면 세부 사항이 추가 증거가 될 수 있다. 침묵이 가장 합리적인 전략인 상황이다.
Anthropic은 이 폭로와 함께 대응책도 공개했다. 교육용 계정 인증 강화, 보안 연구 프로그램 인증 개선, 증류 탐지 시 모델 출력 품질 저하, API 트래픽 모니터링 강화, 사용자 수준 행동 데이터 수집, 의심 패턴 자동 플래깅. "증류가 감지되면 응답 품질을 의도적으로 낮춘다"는 대목은, 도둑이 가져가는 물건의 질을 떨어뜨리겠다는 뜻이다.
Anthropic은 "어떤 회사도 이것을 혼자 해결할 수 없다"며, 다른 AI 연구소, 클라우드 제공업체, 관련 당국과 기술 지표를 공유하고 있다고 밝혔다. "불법으로 증류된 모델에는 필수 안전장치가 없어 심각한 국가 안보 위험을 초래한다"는 경고도 덧붙였다.
행동의 창은 좁고, 위협은 특정 회사나 지역을 넘어선다. 이것은 Anthropic의 문제가 아니라, AI 모델의 지적재산이 어떤 보호를 받아야 하는지에 관한 산업 전체의 문제다. 1,650만 번의 호출이 남긴 질문은 단순하다. 남의 AI에게 물어본 답으로 내 AI를 만드는 건 도둑질인가, 학습인가. 그 경계가 아직 법으로 정해지지 않았다는 것이 가장 큰 문제다.
출처:
- Anthropic accuses Chinese AI labs of mining Claude as US debates AI chip exports -- TechCrunch
- Detecting and Countering Distillation Attacks -- Anthropic
- Anthropic joins OpenAI in flagging 'industrial-scale' distillation campaigns -- CNBC
- Anthropic Says Chinese AI Firms Used 16 Million Claude Queries -- The Hacker News
- Anthropic claims 3 Chinese companies ripped it off -- Fortune
- Anthropic says DeepSeek, Moonshot, and MiniMax used 24,000 fake accounts -- VentureBeat
- OpenAI alleges China's DeepSeek stole its intellectual property -- FDD