가짜 계정 2.5만 개로 Claude를 2,880만 번 — Anthropic이 알리바바를 상원에 고발했어

'모델을 훔치는' 새로운 방식 — API를 2,880만 번 두드리는 것

자, 핵심부터. Anthropic이 중국 알리바바를 'AI 역사상 가장 큰 적대적 증류(adversarial distillation) 공격'으로 미 상원에 고발했어. 6월 24일 블룸버그가 처음 보도했고, Anthropic이 상원 은행위원회 위원장과 간사에게 보낸 6월 10일자 서한을 통해 드러났어. 주장의 골자는 이래 — 알리바바의 Qwen 연구소와 연결된 운영자들이 약 2.5만 개의 가짜 계정과 상업용 프록시를 동원해, 6주에 걸쳐 Claude와 2,880만 번의 무단 교환을 했다는 거야.

여기서 'distillation(증류)'이 뭔지부터 짚자. 강력한 모델(Claude)에게 수백만 번 질문을 던지고 그 답변을 모아, 그걸 교재 삼아 자기 모델을 학습시키는 기법이야. 비유하면, 천재 과외선생한테 수백만 개 문제의 풀이를 받아 적은 뒤 그 노트로 다른 학생을 가르치는 거지. 모델 가중치를 직접 훔치는 게 아니라, API 호출만으로 모델의 '지능'을 베껴내는 방식이야. 그래서 막기가 까다로워.

규모가 진짜 충격적이야. 이 2,880만 번이라는 숫자는, Anthropic이 지난 2월에 공개한 다른 중국 AI 랩 세 곳(DeepSeek·Moonshot·MiniMax)의 의심 활동을 합친 것보다도 많아. 그것도 Claude의 가장 고급 기능 — 소프트웨어 엔지니어링과 에이전트 추론 — 을 집중적으로 겨냥했고, 표적이 된 건 Anthropic의 프런티어 'Mythos Preview' 모델이었어.

그래서 오늘 풀 이야기는 이거야. distillation이 정확히 뭔지, 알리바바가 어떻게 했다는 건지, Anthropic은 왜 법정이 아니라 상원에 알렸는지, 그리고 이게 미·중 AI 경쟁과 모델 보안에 뭘 던지는지. 등장인물 셋만 잡으면 그림이 잡혀.

등장인물 — Anthropic, 알리바바, 그리고 'Mythos'

먼저 Anthropic. Claude를 만드는 AI 안전 중심 회사지. 핵심은 Anthropic이 지금 미국 AI 진영에서 '안보·수출통제'의 가장 적극적인 목소리라는 거야. 이 회사는 중국으로의 첨단 AI 능력 유출을 막아야 한다고 워싱턴에 꾸준히 주장해 왔어. 이번 고발은 단순한 기업 분쟁이 아니라, Anthropic이 그 주장을 뒷받침할 '증거'를 들고 정치권에 직접 들어간 사건이야.

다음은 알리바바. 중국 최대 테크 기업 중 하나이자, Qwen이라는 강력한 오픈 모델 시리즈를 만드는 곳이야. Qwen은 전 세계 오픈모델 생태계에서 손꼽히는 성능으로 유명해. 그런데 Anthropic의 주장이 사실이라면, 그 Qwen의 일부 능력이 'Claude를 증류해 빼낸 것'일 수 있다는 의혹이 제기되는 거야. 알리바바 입장에선 자사 모델의 정당성 자체가 흔들릴 수 있는 무거운 혐의지.

세 번째는 표적이 된 모델 Mythos. Anthropic의 프런티어 프리뷰 모델로, 코딩과 에이전트 추론에서 최첨단 능력을 가진 걸로 알려졌어. 공격이 하필 Mythos를 겨냥했다는 건, 단순 데이터 수집이 아니라 '가장 비싸고 어려운 능력'을 콕 집어 빼내려 했다는 뜻이야. 천재 과외선생 중에서도 가장 어려운 과목을 가르치는 선생만 골라 노트를 받아 적은 셈이지.

이 셋을 한 문장으로 묶으면 이래. 모델 보안과 수출통제를 가장 강하게 외쳐온 회사(Anthropic)가, 중국 최대 오픈모델 제작사(알리바바)를, 자사의 프런티어 모델(Mythos)을 2,880만 번 두드려 증류했다는 혐의로 미 상원에 고발했다. 이게 뼈대야.

핵심 내용 — 무엇이 주장됐나

말로 풀면 흩어지니까, 보도로 확인된 주장을 표로 보자.

항목	내용
고발 주체	Anthropic
피고발	알리바바 (Qwen 연구소 연결 운영자)
방식	적대적 증류(adversarial distillation)
규모	약 2,880만 건의 무단 교환
가짜 계정	약 25,000개
우회 수단	상업용 프록시 서비스 (지역 제한 회피)
기간	2026년 4월 22일 ~ 6월 5일 (약 6주)
표적 능력	소프트웨어 엔지니어링, 에이전트 추론
표적 모델	프런티어 'Mythos Preview'
통로	미 상원 은행위원회 위원장·간사에게 보낸 6월 10일자 서한
비교	2월 공개한 DeepSeek·Moonshot·MiniMax 합산보다 큼

표를 한 줄씩 보자. 우선 **'2.5만 개 가짜 계정 + 프록시'**가 핵심 수법이야. Anthropic은 중국 기업의 Claude 접근을 지역 제한으로 막아두는데, 가짜 계정을 대량으로 만들고 상업용 프록시로 IP를 위장하면 그 제한을 우회할 수 있어. 즉, 정상 사용자처럼 위장한 대규모 자동화 계정 군단이 6주간 쉬지 않고 Claude를 두드렸다는 거야. 한두 명이 호기심에 써본 수준이 아니라, 조직적이고 산업적인 규모라는 게 핵심이야.

두 번째로 **'표적이 명확했다'**는 점이 의미심장해. 무작위로 이것저것 물어본 게 아니라, 코딩과 에이전트 추론이라는 가장 고난도·고가치 능력을 집중 공략했어. 이건 '뭘 빼내야 우리 모델이 강해지는지'를 정확히 알고 들어왔다는 뜻이야. 단순 데이터 수집이 아니라 '능력 표적 절도'에 가깝다는 게 Anthropic 주장의 핵심 무게야.

세 번째로 **'법정이 아니라 상원'**이라는 선택이 이 사건의 정치적 성격을 드러내. Anthropic은 알리바바를 민사로 제소하는 대신, 상원 은행위원회에 서한을 보내는 길을 택했어. 이건 '기업 간 분쟁'을 넘어 '국가안보·수출통제 이슈'로 프레임을 잡겠다는 전략이야. 즉 Anthropic은 이 사건을 '우리 손해'가 아니라 '미국의 AI 우위가 새고 있다'는 정책 의제로 키우려는 거야.

각자의 이득 — 누가 뭘 얻나

Anthropic의 이득부터 보자. 첫째, 정책 레버리지야. 이 고발을 통해 Anthropic은 그동안 주장해온 '중국으로의 AI 능력 유출 차단'에 강력한 실증 사례를 얻었어. 추상적 우려가 아니라 '2,880만 건'이라는 구체적 숫자가 생긴 거지. 둘째, 안전 리더 이미지 강화. '우리는 이런 공격을 탐지하고 막는 회사'라는 포지션은, 안보를 중시하는 정부·기업 고객에게 신뢰 자산이 돼. 셋째, 수출통제 강화의 명분. 이 사건은 'API 접근도 통제 대상이어야 한다'는 더 강한 규제 논의로 이어질 수 있어.

알리바바의 손실과 대응도 분명해. 만약 혐의가 사실로 굳어지면, Qwen 모델의 정당성과 신뢰가 흔들리고 글로벌 시장에서 평판 타격을 입어. 다만 알리바바 입장에선 반박 카드도 있어 — '증류는 업계 어디서나 일어나는 일이고, 우리는 직접 지시하지 않았다', 혹은 '문제의 계정이 우리 공식 활동이 아니다'라고 선을 그을 수 있어. 증류는 본질적으로 입증이 까다로워서, 알리바바가 '연결고리는 정황일 뿐'이라고 맞설 여지가 남아 있어.

그리고 의외의 이해관계자는 미국 정책 입안자들이야. 이 서한은 상원 은행위원회로 갔는데, 은행위가 다루는 게 바로 수출통제·제재야. Anthropic이 이 통로를 고른 건, AI 모델 접근을 금융·기술 제재의 틀로 다루자는 신호를 던진 거야. 정책 입안자들은 이 사건을 '대중 AI 수출통제를 API 레벨까지 확대'하는 입법의 근거로 쓸 수 있어. 오늘의 GPT-5.6 정부 통제 사건과 묘하게 같은 방향을 가리키지.

과거 유사 사례 — 성공과 실패

증류 논란은 이번이 처음이 아니야. 가장 유명한 건 OpenAI vs DeepSeek 건이야. 한때 OpenAI는 DeepSeek가 자사 모델을 증류해 학습했다는 의혹을 제기했어. 강력한 신모델이 갑자기 등장하면 '얘 우리 거 베낀 거 아냐?'라는 의심이 따라붙는 게 이제 업계의 패턴이 됐어. 증류 의혹은 프런티어 경쟁의 단골 전선이 된 거야.

또 하나는 Anthropic이 2월에 공개한 중국 3개 랩(DeepSeek·Moonshot·MiniMax) 사례야. 그때도 Anthropic은 의심스러운 대량 접근을 탐지해 공개했어. 이번 알리바바 건은 그 연장선이자 규모가 훨씬 큰 버전이야. 즉 Anthropic은 '중국 랩들이 조직적으로 미국 프런티어 모델을 증류하고 있다'는 서사를 반복적으로 쌓아가고 있어. 한 번이면 우연, 두 번이면 패턴, 이번이 세 번째 이상이지.

반대로 **'증류 통제의 한계'**라는 실패의 그림자도 분명해. 증류는 API 호출이라는 정상 행위를 대량으로 하는 것이라, 완벽히 막기가 거의 불가능해. 계정을 막으면 새 계정을 만들고, IP를 막으면 프록시를 바꿔. 1990년대 암호화 수출통제가 결국 기술 확산을 못 막은 것처럼, API 레벨 통제도 '두더지 잡기'가 될 위험이 커. Anthropic의 고발이 강력한 경고이긴 해도, 기술적으로 증류를 원천 봉쇄할 수 있느냐는 또 다른 문제야.

경쟁자 카운터 플레이

가장 직접적인 영향을 받는 건 **다른 프런티어 랩들(OpenAI·구글)**이야. 이들도 자사 모델이 증류 표적이 될 수 있어서, Anthropic의 탐지·고발 모델을 따라갈 가능성이 커. '우리 모델을 누가 얼마나 두드렸는지'를 추적하고 공개하는 게 새로운 표준이 될 수 있어. 동시에 이들은 '우리도 같은 위협에 노출돼 있다'며 수출통제 강화에 공동 전선을 펼 수 있어. 미국 프런티어 진영이 'API 증류 방어'라는 공통 의제로 뭉치는 그림이야.

중국 AI 랩들의 카운터는 두 갈래야. 하나는 정면 부인 — '증류 안 했다, 증거 없다'며 정황 증거의 한계를 파고드는 거야. 다른 하나는 자력 강조 — '우리 모델은 자체 데이터와 연구로 만들었다'며 독자성을 증명하려는 시도야. 동시에 중국 랩들은 오픈웨이트 전략을 더 밀어붙여, '우리는 모델을 공개해 누구나 쓰게 한다'는 개방 서사로 '증류 도둑' 프레임을 희석하려 할 수 있어.

규제·정책 진영은 이 사건을 'AI 수출통제의 새 전선'으로 받아들일 거야. 지금까지 통제는 칩·장비 같은 하드웨어 중심이었는데, 이번 건은 'API 접근 자체를 통제해야 한다'는 새 차원을 열어. 문제는 실행이야 — 가짜 계정과 프록시를 어떻게 식별하고 막을지, 정상 사용자와 증류 공격을 어떻게 구분할지는 기술적으로 지난한 과제야. 정책은 방향을 잡았지만, 집행은 한참 뒤따라가야 해.

그래서 뭐가 달라지는데

일반 AI 사용자라면 당장 체감 변화는 거의 없어. 다만 이 사건은 'AI 모델 접근이 점점 빡빡해지는' 큰 흐름의 한 조각이야. 앞으로 강력한 모델일수록 가입·인증·지역 제한이 강화될 가능성이 커. 정상 사용자도 '증류 공격 방어'라는 명분 아래 더 까다로운 인증을 거치게 될 수 있어. 보안의 대가는 늘 약간의 불편이거든.

AI 개발자·스타트업이라면 두 가지를 봐야 해. 하나는 'API 약관 리스크'야. 모델 출력을 다른 모델 학습에 쓰는 건 대부분 약관 위반이고, 이번 사건으로 그 단속이 강해질 거야. 합법적 파인튜닝과 불법적 증류의 경계를 명확히 알아야 해. 다른 하나는 '오픈모델의 가치'야. 증류 논란에서 자유로운 합법 오픈웨이트(라이선스가 명확한)의 실용적 가치가 더 올라가.

미·중 AI 경쟁을 보는 입장이라면 핵심은 'AI 능력이 어떻게 국경을 넘느냐'야. 칩은 막을 수 있지만 '지능'은 API 한 줄로 새어 나갈 수 있다는 게 이번 사건의 진짜 메시지야. 단, Anthropic의 주장은 아직 '주장'이고 알리바바의 반박과 독립 검증이 남았다는 점도 같이 기억해. 한쪽 서사만으로 단정하긴 일러 — 증류는 입증이 어려운 영역이거든.

한 걸음 더 — '지능의 유출'이라는 새로운 안보 문제

이 사건을 제대로 읽으려면, '무엇을 통제할 수 있느냐'는 근본 질문을 봐야 해. 지난 몇 년간 미국의 대중 AI 전략은 '하드웨어 차단'이 핵심이었어 — 첨단 칩과 장비를 막으면 중국이 강력한 모델을 못 만들 거라는 논리였지. 그런데 이번 사건은 그 전제에 균열을 내. 칩이 없어도, 이미 만들어진 강력한 미국 모델을 API로 2,880만 번 두드려 그 '지능'을 베껴낼 수 있다면, 하드웨어 통제만으론 능력 유출을 못 막는다는 뜻이거든. 안보의 전선이 '실리콘'에서 '소프트웨어 행동'으로 옮겨가는 거야.

또 하나 놓치기 쉬운 맥락은 '증류의 윤리적 모호함'이야. 증류 자체는 불법이 아니야. 많은 회사가 합법적으로 더 큰 모델의 출력으로 작은 모델을 가르쳐. 문제는 '약관을 어기고, 지역 제한을 우회하고, 가짜 계정으로 위장해 대규모로 했다'는 점이야. 즉 기술이 아니라 '방법'이 문제인 거지. 이 모호함 때문에 알리바바는 '증류는 업계 관행'이라고 방어할 수 있고, Anthropic은 '관행이 아니라 조직적 절도'라고 맞서. 이 경계선을 어디에 긋느냐가 앞으로 AI 업계 전체의 규칙을 정할 거야.

다만 냉정하게 봐야 할 변수도 있어. 첫째, 입증이야. 가짜 계정 군단과 알리바바 본사를 잇는 연결고리가 정황 증거인지, 결정적 증거인지는 아직 공개되지 않았어. Anthropic이 탐지한 패턴이 알리바바의 공식 지시였는지, 아니면 제3자나 개별 직원의 일탈인지도 가려야 해. 둘째, 정치적 타이밍이야. 이 서한이 수출통제 논의가 한창인 시점에 상원으로 간 건, 사실 규명만큼이나 정책 영향력을 노린 측면도 있어. 사실의 무게와 정치의 무게를 분리해서 봐야 해.

결국 이 사건의 진짜 질문은 '강력한 AI를 만든 나라가, 그 지능이 국경을 넘는 걸 막을 수 있는가'야. 답이 '못 막는다'에 가깝다면, 미국의 AI 우위는 생각보다 빨리 평준화될 수 있어. 답이 '막을 수 있다'에 가깝다면, 우리는 API 접근까지 통제하는 훨씬 폐쇄적인 AI 시대로 들어가. 6월 24일의 고발은 그 갈림길을 처음으로 또렷하게 드러낸 사건이야.

🥄 남은 궁금증 세 가지

— 증류가 그렇게 나쁜 거야? 다들 하는 거 아냐? 증류 자체는 합법이고 흔해. 문제는 방법이야 — 약관 위반, 지역 제한 우회, 가짜 계정 2.5만 개라는 '조직적 우회'가 핵심이야. '큰 모델 보고 배우기'와 '몰래 대규모로 빼내기'는 다른 얘기지.

— 알리바바가 진짜 한 게 확실해? 아직 'Anthropic의 주장' 단계야. 2,880만 건 접근을 탐지한 건 사실로 보이지만, 그게 알리바바 본사의 공식 지시였는지는 독립 검증과 알리바바 반박이 남았어. 정황과 확증을 구분해서 봐야 해.

— 이걸로 중국 모델이 다 가짜라는 거야? 그건 아니야. 중국 랩들은 자체 연구·데이터로도 강력한 모델을 만들어. 증류가 일부 능력에 기여했을 수 있다는 의혹과 '전부 베꼈다'는 건 전혀 다른 주장이야. 단정하긴 일러.

참고 자료

• Anthropic Accuses Alibaba of 'Illicitly' Accessing AI Models — Bloomberg
• Anthropic claims China's Alibaba used 25,000 fake accounts and 28.8 million exchanges to illicitly 'distill' its Claude model — Tom's Hardware
• Alibaba Ran Largest Known AI Theft Campaign Against Claude, Anthropic Tells Senate — TechTimes
• Anthropic accuses Alibaba of large-scale AI theft using ~25,000 fraudulent accounts — Free Press Journal
• Anthropic accuses Alibaba of stealing Claude AI model — Swarajya

수치는 발표 시점 기준이라 바뀔 수 있어.