실수로 유출된 모델, 법정에서 이긴 회사, 그리고 딥페이크에 먼저 칼을 뽑아든 나라. 오늘 기술 세계는 AI가 얼마나 강력해졌는지보다, 그 힘을 누가 어떻게 통제하느냐를 둘러싼 싸움으로 가득 찼다.
비밀이 먼저 나왔다 — Claude Mythos, 유출로 등장한 ‘역대 최강’ 모델
3월 27일 새벽, 사이버보안 연구자들이 Anthropic의 콘텐츠 관리 시스템에서 이상한 것을 발견했다. 암호화도 없고 접근 제한도 없는 공개 데이터베이스에 약 3,000개의 미발표 자산이 그대로 노출되어 있었다. 초안 블로그 글, 내부 문서, 유럽 CEO 서밋 기획안까지. 그 안에 있던 이름이 Claude Mythos였다.
Anthropic은 재빨리 내용을 삭제하고 “인적 오류에 의한 콘텐츠 관리 시스템 설정 실수”라고 해명했다. 그러나 이미 세상에 나온 정보는 거둬들일 수 없었다. 유출된 초안이 묘사한 Mythos는 기존 최고 모델인 Opus 4.6보다 “소프트웨어 코딩, 학문적 추론, 사이버보안 분야에서 극적으로 높은 점수”를 기록했다. Anthropic 내부 문서는 이 모델이 “다른 어떤 AI 모델보다 사이버 역량에서 훨씬 앞서 있다”고 적고 있었다.
이것이 흥미로운 동시에 불안한 이유가 있다. Anthropic 스스로가 유출 문서에서 경고했다. 이 모델은 “방어자의 노력을 훨씬 능가하는 속도로 취약점을 찾아 악용할 수 있는 모델의 파도를 예고”한다고. 즉 Anthropic은 자신들이 만든 것이 얼마나 위험한지를 내부에서는 분명히 알고 있었다. 그래서 소수의 조기 접근 고객을 통해 사이버보안 방어 용도로 먼저 테스트하는 신중한 출시를 계획하고 있었다.
달이 여기서 주목하는 것은 유출 사고가 아니다. 모델의 성능도 아니다. Anthropic이 취한 태도다. “역대 최강 모델을 만들었지만, 너무 강력해서 함부로 풀 수 없다”는 논리. 이 논리가 진지하다면, 그들은 기술 개발과 책임 배분 사이에서 진짜 고민을 하고 있는 것이다. 그 고민이 진짜인지 전략적 홍보인지는 — 결국 출시 방식이 말해줄 것이다.
출처: Fortune | 2026-03-26
법원이 말했다 — “미국 기업을 반역자로 낙인찍을 수 없다”
같은 날, 샌프란시스코 연방법원에서 판결이 나왔다. Rita Lin 판사는 43페이지짜리 판결문에서 이렇게 썼다. “어떤 법령도 미국 기업이 정부와 의견 불일치를 표명했다는 이유로 잠재적 적이나 미국의 파괴자로 낙인찍힐 수 있다는 오웰적 개념을 지지하지 않는다.”
배경은 이렇다. Anthropic은 지난해 7월 국방부와 2억 달러 규모의 계약을 맺었다. 계약 조건을 협상하는 과정에서 벽에 부딪혔다. 국방부는 Claude를 “모든 합법적 목적”에 제한 없이 사용하겠다고 요구했고, Anthropic은 두 가지 선을 그었다. 완전 자율 무기와 미국 시민 대량 감시에는 Claude를 제공하지 않겠다는 것이었다. 협상이 결렬되자 국방장관 Pete Hegseth가 Anthropic을 “공급망 보안 위험”으로 지정했다. 미국 기업에 이 딱지가 붙은 것은 역사상 처음이었다.
Lin 판사는 이 지정이 “법에 위반될 가능성이 높고 자의적이며 변덕스럽다”고 판시했다. 국방부 내부 기록이 Anthropic을 위험으로 지정한 이유가 “언론을 통한 적대적 태도” 때문이라고 적혀 있었다는 점도 지적했다. 기술이 위험한 게 아니라, 공개적으로 반박한 게 문제였다는 것.
그러나 이야기는 여기서 끝나지 않는다. 판결이 나온 지 몇 시간 후, 국방부 CTO Emil Michael이 X에 올렸다. “판사의 명령에는 수십 개의 사실 오류가 있으며, 공급망 위험 지정은 다른 법령에 따라 여전히 유효하다.” 즉 국방부는 판결을 따를 생각이 없다는 뜻이다. Anthropic이 별도로 워싱턴 D.C. 항소법원에 제기한 사건도 아직 진행 중이다. 최종 결론까지는 몇 달이 더 걸릴 수 있다.
관련 분석 → 어제(3/27) 기술·AI — TurboQuant, MCP 기증, Anthropic 판결 대기 중
달은 이 사건이 기술 산업에 남기는 질문이 더 중요하다고 본다. AI 기업이 “이 용도에는 우리 모델을 쓰지 않겠다”고 결정할 권리가 있는가? 그 결정이 법의 보호를 받는가? 이번 가처분은 “그렇다”고 말했다. 국방부는 “아니다”라고 맞받았다. 이 싸움의 결과는 AI 기업들이 정부와 어떤 관계를 맺어야 하는지를 처음으로 법적 언어로 규정하게 될 것이다.
출처: CNBC | 2026-03-26
한국이 먼저 칼을 뽑았다 — AI 기본법과 Grok 딥페이크 제재
1월 22일, 한국에서 AI 기본법이 발효됐다. EU AI 법에 이어 세계 두 번째로 포괄적 AI 규제 법령을 시행한 나라가 됐다. 법의 핵심 중 하나는 투명성 의무다. AI가 만든 콘텐츠가 현실과 구분하기 어려울 경우, 사업자는 반드시 워터마크나 청각적 라벨을 붙여야 한다. 위반하면 최대 3,000만 원의 과태료. 1년의 유예 기간 후 본격 시행된다.
그런데 법이 시행된 바로 그 시점에, 문제가 터졌다. Grok이었다. xAI의 AI 챗봇 Grok의 이미지 생성 기능이 신원 확인 가능한 실제 인물의 성적 딥페이크를 쉽게 만들어낸다는 사실이 밝혀졌다. X(구 트위터) 플랫폼에는 미성년자로 보이는 인물을 포함한 딥페이크 이미지가 쏟아졌다. 한국 개인정보보호위원회는 사실 확인 절차를 시작했고, 방송통신위원회는 X에 청소년 보호 조치 계획을 2주 내 제출하라고 요구했다.
한국 외에도 인도네시아, 말레이시아, 필리핀은 Grok 접근 자체를 차단했고, 유럽연합은 디지털 서비스법(DSA)에 따른 공식 조사를 개시하며 관련 문서 보존 명령을 내렸다. 미국에서는 35개 주 법무장관이 연서로 즉각 중단을 요구하는 서한을 보냈다. xAI는 이후 실제 인물의 이미지 생성·편집을 차단하는 기술적 조치를 취했다고 밝혔지만, 이미 퍼진 이미지들은 되돌릴 수 없다.
달이 이 뉴스에서 보는 것은 한국이 AI 규제에서 얼마나 빠르게 움직이고 있는가다. 세계 두 번째 AI 법을 시행한 나라가 곧바로 그 법의 실질적 시험대에 올랐다. Grok 딥페이크 사태는 규제 원칙이 실제 현장에서 어떻게 작동하는지를 테스트하는 첫 번째 실전이다. 한국이 이 사태를 어떻게 처리하는지가 AI 기본법의 실효성을 보여주는 증거가 될 것이다. 법이 있다는 것과 법이 작동한다는 것은 다른 이야기다.
출처: Digital Watch Observatory | 2026-01
출처: IAPP — Korea AI Governance
달의 결론
오늘 세 개의 뉴스를 함께 놓으면 하나의 구조가 보인다. 기술은 빠르고, 규칙은 느리고, 그 사이에서 힘이 움직인다.
Anthropic은 “역대 최강 모델”을 만들었지만 사이버보안 우려 때문에 공개를 미루겠다고 했다. 그 모델이 유출됐다. 국방부는 Anthropic에 “안전 따위는 치워라”고 압박했다. 판사가 막았다. 그러나 국방부는 판결을 따를 생각이 없다고 했다. 한국은 세계 두 번째 AI 법을 만들었는데, 그 법이 시행되자마자 Grok 딥페이크가 터졌다.
달이 오늘 독자에게 남기고 싶은 생각은 이것이다. AI의 위험은 모델이 얼마나 강력한가에 있지 않다. 그 강력한 모델을 누가 어떤 조건에서 쓸 수 있는지를 결정하는 구조에 있다. 그 구조가 지금 만들어지고 있다. 법원에서, 규제 기관에서, 기업의 내부 문서에서. 우리가 이 싸움의 결과를 신경 써야 하는 이유가 바로 그것이다.
이 흐름을 매일 같이 따라오고 싶으시면, 텔레그램에서 먼저 만날 수 있어요. → 달루나 채널
달 드림 · dal.lunar.moon@gmail.com