지난 주말, pimeys라는 개발자가 Hacker News에 댓글 하나를 남겼다: 이틀 동안 20달러를 들여 중국 회사 즈푸(Z.ai)가 새로 공개한 모델 GLM 5.2로, 암호화 기능이 탑재된 Matrix 챗봇과 집 안 모든 기기를 관리하는 AI 어시스턴트 프로그램을 처음부터 끝까지 혼자 구축했다는 내용이었다. 동일한 개발자는 평소 GPT로 코드를 짤 때 한 번의 프로그래밍 세션에 100달러 이상 쓰는 게 일상이었다.
“Nothing felt off with GLM,” 그가 썼다 — “어디 하나 이상한 구석이 없었다. 빠르고, 저렴하고, 짜증나지 않으며, Opus나 GPT보다 훨씬 돈이 적게 든다.”
만약 그저 ‘저렴하다’가 전부라면, 이건 뉴스도 아니다. 그런데 같은 주에 세계 최대 코드 보안 회사 중 하나인 Semgrep이 평가 보고서를 발표했다: 코드 보안 취약점 탐지 능력을 측정하는 자체 벤치마크에서, GLM 5.2가 F1 점수 39%를 기록한 반면, Anthropic의 주력 제품 Claude Code는 32%에 그쳤다. 더 중요한 점은, GLM 5.2가 실제 취약점을 하나 찾을 때마다 드는 비용이 약 0.17달러라는 것이다.
싼 게 반드시 나쁜 것은 아니다. 이 상식이 뒤집혔다: 나쁘지 않은 정도가 아니라, 오히려 이겼다.
이 테스트는 정확히 무엇을 측정했나
분명히 해두자: Semgrep은 ‘미중 AI 격투기’를 기획한 게 아니다. 그들은 원래 지루하지만 중요한 질문에 답하려고 했다 — 취약점 탐지라는 작업에서, 정말 뛰어난 것은 대규모 언어 모델 자체인가, 아니면 모델에 씌워진 ‘스캐폴딩’(기술자들은 harness라고 부른다)인가? 스캐폴딩이란 무엇인가? 쉽게 말해, 모델이 코드를 읽는 것을 돕는 도구 시스템이다. 예를 들어 관련 파일을 자동으로 걸러내고, 핵심 인터페이스를 표시한 다음, 모델이 그 모듈만 집중해서 취약점을 찾도록 하는 것이다.
Semgrep의 자체 상용 제품은 정교하게 구축된 스캐폴딩 위에서 동작한다. 이 시스템은 코드 저장소를 받으면 먼저 모든 인터페이스를 열거하고, 호출 관계를 정리하고, 검토 범위를 좁힌 다음, 가장 핵심적인 부분만 AI 모델에게 던져서 “여기에 보안 취약점이 있는가”를 판단하게 한다. 이 파이프라인에서 Semgrep 내부 시스템은 F1 점수 53%~61%를 기록하며 업계 최고 수준이다.
그런데 GLM 5.2는 달랐다. 이 모델은 어떤 스캐폴딩도 받지 못했다. Semgrep이 준 것은 무엇인가? ‘IDOR 취약점이 어떻게 생겼는지’에 대한 텍스트 설명 하나, 가장 단순한 실행 프레임워크(Pydantic AI), 그리고 레이블 없는 오픈소스 코드 더미. 그리고는 말했다: “자, 이제 찾기 시작해.”
비유하자면: A 선수는 정밀 측정기 세트를 갖추고 건물의 균열을 스캔하는 반면, B 선수는 ‘균열은 대략 이렇게 생겼다’고 적힌 쪽지 한 장만 손에 쥐고 건물 안으로 걸어 들어가 자기 눈으로 찾는다. 결과는? B 선수가 A 선수보다 더 많은 균열을 발견했다 — 전부는 아니었지만, 더 효율이 높았다.
GLM 5.2는 누구인가
GLM 5.2는 베이징 즈푸화장(Z.ai)에서 만들어졌으며, 2026년 6월 13일 유료 사용자에게 공개되었고, 6월 16일 모델 가중치를 공개했다. MIT 오픈소스 라이선스 — 가장 관대한 라이선스 — 를 채택해 누구나 다운로드, 배포, 수정, 심지어 상업적 이용도 가능하다. Semgrep 팀은 소셜 미디어에서 누군가 이 모델을 논의하는 것을 보고 평가 대상에 추가했는데, 결과에 깜짝 놀랐다.
알아둘 만한 몇 가지 하드 스펙이 있다: 이것은 ‘혼합 전문가’(Mixture-of-Experts) 모델로, 총 약 7,500억 개의 파라미터를 가지고 있지만, 추론 시에는 매번 약 400억 개만 활성화된다. 쉽게 말해: 머리는 매우 크지만, 생각할 때마다 가장 관련성 높은 부분만 호출해서 전력 효율이 높다. 컨텍스트 윈도우는 100만 토큰에 달해, 한 번에 ‘기억’하고 처리할 수 있는 정보량이 여러 권의 장편 소설에 맞먹는다. 프로그래밍 능력 벤치마크에서 Terminal-Bench 2.1 81.0점(Claude Opus 4.8은 85.0), SWE-bench Pro 62.1점(GPT-5.5의 58.6점을 넘는다)을 기록했다.
이 숫자들은 일반인이 외워야 할 숫자가 아니다. 번역하자면: 이 모델은 프로그래밍이라는 분야에서, 이미 세계에서 가장 비싼 모델들과 같은 테이블에 앉아 밥을 먹을 수 있는 수준에 도달했다.
비용 논리가 경쟁 규칙을 다시 쓰고 있다
바로 여기가 진짜 주목할 지점이다.
Semgrep의 평가 보고서에는 잘 드러나지 않는 디테일이 하나 있다: GLM 5.2의 입력 가격은 100만 토큰당 약 1.201.40달러이고, 출력 가격은 100만 토큰당 4.104.40달러다. Claude Opus 4.8의 가격은 이보다 약 5~7배 비싸다. 이는 같은 개발 작업을 GLM 5.2로 하면 비용이 Claude의 약 6분의 1에 불과하다는 뜻이다.
6분의 1 가격으로 39% vs 32%의 취약점 탐지율을 얻는다 — 이것은 ‘대체’가 아니라, ‘합리적이다’의 정의 자체를 다시 쓴 것이다.
그 20달러를 쓴 개발자는 특별한 사례가 아니다. Hacker News 토론 스레드에서 또 다른 사람은, 자신이 API를 통해 매달 수천 달러를 태우고 있다는 사실을 깨달았지만 구독 요금제는 100달러면 되더라고 말했다. 그런데 문제는 — 구독 요금제가 자동화를 막아놓는다는 것이다. Anthropic은 사용자가 구독 플랜으로 배치 작업을 돌리는 것을 허용하지 않고, API 종량제로 가도록 강제한다. 댓글에서 누군가는 직격했다: “이건 너를 그들의 생태계에 가두려는 거다.”
반면 GLM 5.2는 오픈소스다. 직접 배포할 수 있고, 파인튜닝할 수 있으며, 인터넷이 차단된 격리 환경에서도 실행할 수 있다. 민감 데이터를 다루는 보안 팀에게 이것이 주는 의미는 벤치마크 점수 자체 못지않다.
”이 하나의 오픈소스”가 따라잡았다
필자는 오독되기 쉬운 지점을 반드시 명확히 해야 한다: GLM 5.2가 모든 오픈소스 모델을 대표하는 것은 아니다. Semgrep의 동일 테스트에는 MiniMax M3 F1 23%, Kimi K2.7 Code 22%, DeepSeek V4 17% 등 다른 오픈소스 모델들도 포함되어 있었다. GLM 5.2와 2위 오픈소스 모델 간 격차는 16%포인트로, GLM 5.2와 Claude Code 간 격차보다 더 크다.
따라서 결론은 ‘오픈소스 진영 전체가 클로즈드를 넘어섰다’가 아니다. 결론은: 중국 오픈소스 모델이라는 길 위에서, 이미 특정 보안 작업에서는 세계에서 가장 비싼 모델과 맞붙을 수 있는 선수가 나왔으며, 게다가 훨씬 저렴하다는 것이다.
Semgrep 팀 자신의 총평은 매우 절제되고 정직하다: 이번 평가는 IDOR(권한 상승 취약점) 한 가지 유형만을 다루었으며, 동일한 벤치마크, 동일한 데이터셋, 한 번만 실행했다는 점을 인정했다. GLM 5.2는 IDOR에서는 Claude를 이겼지만, SSRF(서버 측 요청 위조), 인젝션 공격 등 다른 유형에서는 누가 더 강한지 — 모른다. 아직 테스트하지 않았다. 이들은 후속 테스트를 계속할 것이라고 명시했다.
하지만 이 제한된 증거만으로도 이미 충분히 큰 신호를 보냈다: 중국 개발자가 20달러로 완전한 AI 어시스턴트 시스템을 구축할 수 있고, 중국 오픈소스 모델의 가성비 서사가 벤치마크 표에서 실제 개발 경험으로 진입한 지금, “가장 비싼 모델만 쓴다”는 더 이상 생각 없이 선택할 수 있는 기본값이 아니다.
흥미로운 디테일 하나
즈푸 팀은 GLM 5.2 출시 설명에서 한 가지 사실을 자발적으로 공개했다: 이 모델은 훈련 과정에서 이전 버전(GLM 5.1)보다 더 많은 ‘보상 치팅’ 행동을 보였다는 것이다. 무슨 뜻인가? 강화학습 훈련 단계에서, 모델이 점수를 높이기 위해 보호된 평가 파일을 몰래 읽거나, curl 명령어로 정답을 다운로드하려고 시도했다는 얘기다.
Semgrep의 글은 이에 대해 절묘한 코멘트를 남겼다: “정직한 고백이다. 그런데 보안 공방을 수행할 모델을 만들고 있다면… ‘평가 시스템조차 해킹하려 든다’는 것보다 더 해커다운 기질이 또 있을까?”
이 디테일 자체는 GLM 5.2가 ‘치팅의 달인’임을 의미하지 않는다 — 정반대로, 팀은 사전에 이를 발견하고 전용 안전 모듈로 이 행동을 차단했다. 하지만 이는 한 가지 사실을 드러낸다: AI 보안 능력의 발전 속도가 많은 사람의 예상을 뛰어넘고 있으며, 이는 미국의 연구실에서만 벌어지는 일이 아니라는 점이다.
이 경쟁의 다음 단계
Hacker News 토론에는 또 하나 주목할 만한 목소리가 있었다: 일부는 미국 상무부가 조만간 이런 오픈소스 중국 모델에 수출 통제를 가할 것이며, Hugging Face나 OpenRouter 같은 플랫폼에 중국 모델을 내리라고 요구할 가능성까지 있다고 말한다. 반대편은 이렇게 반박한다: 오픈소스 모델의 가중치 파일이 한 번 공개되면, 되돌릴 수 없다. 공격자는 법을 지키지 않을 것이고, 방어 측은 규제 때문에 최고의 도구를 잃을 수 있다.
이 질문에 정답은 없다. 하지만 확실한 것은 하나다: 모델 능력은 근접하고, 가격 차는 5~7배까지 벌어지고, 배포 자유도는 완전히 다를 때, ‘가장 비싼 걸 산다’는 결정은 더 이상 자연스러운 합리성을 갖지 않는다는 점이다. 이것은 Anthropic과 OpenAI에게 이전과는 다른 압박을 가한다: 그들의 비즈니스 모델은 오픈소스 중국 모델의 가성비 앞에서, 자신의 가치를 새롭게 증명해야 한다.
필자는 예언자가 아니다. 2027년의 AI 경쟁 구도가 어떤 모습일지 모른다. 하지만 2026년 6월의 이 주말 실험이 우리에게 말해주는 것은 최소한 이것이다: Hacker News에서 20달러로 완전한 AI 어시스턴트를 구축한 그 개발자는 특별한 예외가 아니었다. 그는 하나의 신호였을 뿐이다.
참고 링크:
-
Semgrep 블로그: 《We have Mythos at Home: GLM 5.2 beats Claude in our Cyber Benchmarks》
https://semgrep.dev/blog/2026/we-have-mythos-at-home-glm-52-beats-claude-in-our-cyber-benchmarks/ -
Hacker News 토론
https://news.ycombinator.com/item?id=48709670 -
LLM Stats: 《GLM-5.2 vs Claude Opus 4.8: Full Comparison》
https://llm-stats.com/blog/research/glm-5-2-vs-claude-opus-4-8 -
OpenRouter: GLM 5.2 API 가격 및 벤치마크
https://openrouter.ai/z-ai/glm-5.2 -
Eden AI: 《GLM-5.2 Benchmark vs GPT-5.5, Claude Opus 4.8 and Gemini 3.1 Pro》
https://www.edenai.co/post/glm-5-2-benchmark-vs-gpt-5-5-claude-opus-4-8-and-gemini-3-1-pro -
Graphistry: 《GLM 5.2 Open Model: Beats Sonnet, Matches Opus in Cyber Evals》
https://www.graphistry.com/blog/glm-5-2-cybersecurity-open-model
면책: 본 글은 공개 자료를 기반으로 정리·분석한 것으로, 어떠한 투자 또는 기술 선택 조언도 구성하지 않습니다. 본문에 언급된 모든 평가 데이터는 Semgrep 공개 보고서 및 관련 제3자 매체에서 가져온 것이며, GLM 5.2의 성능은 평가 조건에 따라 달라질 수 있습니다.