
6월 30일, Thereallo라는 보안 연구원이 Claude Code의 코드를 살펴보다가 섬뜩한 사실을 발견했다. Anthropic이 AI에 보내는 시스템 명령 속에 은밀한 암호 체계를 심어둔 것이다. 이 시스템은 사용자의 지리적 위치와 네트워크 환경에 따라 구두점을 자동으로 바꿔 마커를 찍어낸다. 육안으로는 평범한 영문 날짜 문장이지만, 백엔드로 전송되는 바이트 안에는 추적 정보가 숨어 있다.
추측이 아니다. Thereallo는 코드를 분해해 이 메커니즘의 작동 방식을 완전히 재구성했다. 필자는 원문과 커뮤니티 논의를 읽고 나서 세 가지를 분명히 정리하고자 한다. 이 암호 시스템이 정확히 어떻게 작동하는지, Anthropic이 왜 이런 짓을 했는지, 그리고 그 배경에 깔린 AI 회색 시장의 전모다.
1. 시스템 명령 속 「보이지 않는 잉크」
Claude Code는 AI 모델과 대화할 때마다 자동으로 날짜 문장을 하나 삽입한다. 「Today’s date is 2026-06-30.」(오늘 날짜는 2026-06-30입니다). 평범한 상황에서는 단순한 형식적 문맥 정보에 지나지 않는다.
그런데 Thereallo가 발견한 것은, 사용자가 커스텀 API 주소를 설정했을 때 — 즉 Anthropic의 공식 서버를 거치지 않는 우회 경로를 사용할 때 — Claude Code가 이 문장의 두 지점을 몰래 바꾼다는 사실이다.
첫째, 날짜 구분자. 시스템 시간대가 「Asia/Shanghai」(상하이 표준시) 또는 「Asia/Urumqi」(우루무치 표준시)로 설정되어 있으면 날짜가 2026-06-30에서 2026/06/30으로 바뀐다. 하이픈이 슬래시로 변하는 것이다.
둘째, 아포스트로피. 「Today’s」에 들어간 작은 따옴표가 API 주소에 따라 네 가지 버전으로 갈린다. 겉보기엔 완전히 동일하지만 Unicode 인코딩이 전부 다르다. Anthropic 공식 서버로 직결되면 평범한 ASCII 아포스트로피. API 주소가 「알려진 리셀러 도메인」으로 판별되면 오른쪽 작은따옴표(U+2019). 주소에 중국 AI 기업명(deepseek, moonshot, zhipu 등)이 포함되면 또 다른 변형(U+02BC). 양쪽 조건이 모두 충족되면 네 번째 변형(U+02B9).
보통 사람이 화면의 날짜 문장을 봐도 아무 이상이 없다. 하지만 Anthropic 서버는 요청을 받은 후 이 바이트들을 디코딩해 알아낼 수 있다. 이 사용자가 리셀러 프록시를 통해 접속 중인지, 그 프록시가 중국 AI 연구소와 연관되어 있는지.
더 의미심장한 것은, 판단 로직이 두 개의 숨겨진 목록에 의존한다는 점이다. 하나는 도메인 블랙리스트로, 바이두·알리바바·바이트댄스 등 중국 대기업 도메인부터 claude-opus.top, openclaude.me, proxyai.com 같은 리셀러 전용 도메인까지 총 147개 항목이 포함되어 있다. 다른 하나는 키워드 블랙리스트로, deepseek, moonshot, minimax, zhipu, baichuan, stepfun, dashscope 등 11개 중국 AI 기업명이 들어 있다. 두 목록 모두 Base64로 인코딩한 뒤 키 91로 XOR 암호화되어 있다. 이런 수법은 「보안을 최우선으로」 표방하는 회사보다는 멀웨어에서 더 흔히 볼 수 있는 방식이다.

2. 3계층 리셀러 산업: Anthropic이 이토록 예민한 이유
Anthropic이 왜 코드에 암호 마커를 심어야 했는지 이해하려면, 그들이 맞서고 있는 상대가 어떤 존재인지부터 봐야 한다.
Claude의 API는 중국 본토에서 공식적으로 차단되어 있다. 중국 사용자의 등록과 직접 이용이 허용되지 않는다. 하지만 Claude는 프로그래밍 능력으로는 정평이 난 AI다. 중국 개발자들은 쓰고 싶어 한다. 이 공급 부족이 거대한 회색 시장 비즈니스를 낳았고, 중국 개발자들 사이에선 「중계소」(transfer station)라 불린다.
옥스포드대학 중국 정책 연구소의 첸쯔란(Zilan Qian) 연구원이 지난 5월 발표한 조사는 이 산업 사슬을 매우 명확하게 해부했다. 필자는 첸쯔란의 보고서와 후속 커뮤니티 논의를 바탕으로 이를 3계층 모델로 정리한다.
제1계층: 구독 풀링 차익 거래. 리셀러들은 개발자용 무료 계정을 대량 등록해 Anthropic이 제공하는 5달러 상당의 API 체험 크레딧을 긁어모은다. 혹은 월 200달러짜리 Claude Max 프리미엄 계정 하나를 수십에서 수백 명이 동시에 나눠 쓴다. 사용자당 원가는 거의 0에 수렴한다. 더 심한 경우, 도난 신용카드로 계정을 생성하면 원가 자체가 0이 된다. 올해 4월 Anthropic은 일부 사용자에게 정부 발급 사진 신분증과 라이브 셀카 인증을 요구하기 시작했지만, 회색 시장은 즉시 대응에 나섰다. 저소득 국가에서 실제 사람을 모집해 「얼굴 대여자」로 고용하는 식이다. 1인당 30달러도 안 되는 가격이다. 이 방어선은 본질적으로 이미 뚫렸다.
제2계층: 모델 다운그레이드 및 불량품 혼입. 독일 CISPA 헬름홀츠 정보 보안 센터의 연구진이 17개 중계소 서비스를 감사한 결과, 광범위한 저품질 대체 행위가 확인되었다. 사용자는 Claude Opus(최상위 모델) 요금을 지불했지만 실제로 받는 것은 Claude Haiku(최저가 모델)나 심지어 중국산 모델 Qwen의 답변인 경우가 허다했다. 한 의학 벤치마크 테스트에서는 Gemini-2.5를 제공한다고 주장하는 서비스가 37점을 받았지만, 공식 API는 84점에 가까웠다. 사용자는 최고급 AI를 샀다고 믿지만 실제로 받은 것은 값싼 대체품이다.
제3계층: 트래픽을 학습 데이터로 재판매. 이것이 이 산업 사슬의 진짜 수익 중심이다. 모든 사용자가 보내는 프롬프트, 업로드한 코드, 받은 응답은 전부 중계소 서버를 통과하며, 리셀러가 완전히 기록한다. 완전한 추론 체인, 코드 컨텍스트, 검증된 출력물 — 이것은 경쟁 AI 모델을 학습시키는 가장 가치 있는 원료다. 여러 중국 개발자들이 첸쯔란에게 증언한 바에 따르면, API 리셀링 마진은 단순한 고객 유치 수단일 뿐이고 진짜 사업은 로그다. AI 모델 공유 플랫폼 HuggingFace에는 이미 출처 불명의 Claude Opus 추론 데이터셋이 유통되고 있다.
이 모델은 Anthropic이 왜 초조해하는지를 설명한다. 2026년 2월, Anthropic은 DeepSeek, Moonshot AI, MiniMax 세 곳의 중국 AI 기업이 24,000개 이상의 가짜 계정으로 1,600만 회 이상의 대화를 생성해 체계적으로 Claude의 능력을 증류(distillation)하여 자사 모델을 학습시켰다고 공개 비판했다. 산업적 규모의 대립 행위다.
3. Anthropic의 신뢰 딜레마
다시 그 은밀한 암호 체계로 돌아가자. Anthropic이 리셀러와 증류 공격자를 추적하고 싶어 한다는 동기 자체는 이해할 수 있다. 어느 AI 기업이라도 자사의 핵심 기술이 체계적으로 도둑맞는 것을 막으려 할 것이다.
문제는 실행 방식이다.
Claude Code는 평범한 채팅 도구가 아니다. 파일 시스템을 읽고, 셸 명령을 실행하고, Git 저장소를 조작할 수 있는 권한을 가진다. 브라우저 탭 하나의 채팅창이 할 수 있는 일을 훨씬 넘어선다. 사용자는 기본적인 전제 하나를 믿고 이 열쇠를 쥐여준 것이다. 「이 도구의 개발자는 정직할 것이다」라는 전제. 만약 시스템 명령에 비밀 마커를 숨겨놓고 사용자에게 알리지 않을 수 있다면, 다른 곳에서도 비슷한 일을 하고 있지 않다고 어떻게 확신할 수 있을까.
Thereallo가 글에서 쓴 문장 하나가 필자의 마음에 깊이 남았다. 「Trust is earned in the boring parts.」(신뢰는 지루한 부분들 속에서 쌓이는 것이다). Anthropic은 추적 메커니즘을 업데이트 로그에 명시하고, 명확한 원격 측정 필드로 만들어 사용자에게 무슨 일이 일어나고 있는지, 어떻게 끌 수 있는지 알릴 수도 있었다. 하지만 그들은 숨기는 쪽을 택했다. Base64 + XOR 암호화된 도메인 목록, 육안으로 구분 불가능한 Unicode 치환, 어떤 공개 문서에도 한 줄 언급 없음. 악의적 기능은 아니다. 하지만 분명히 「이상한 선택」이다. 개발자의 신뢰를 요구하는 도구가 먼저 투명성의底线을 무너뜨린 것이다.
더구나 공학적 관점에서 보면 이 추적 시스템의 실효성도 의문스럽다. 우회 방법이 너무 간단하다. 시스템 시간대를 바꾸거나, 프록시 도메인을 교체하거나, 환경 변수 패치 하나만 먹이면 끝이다. 의도적인 공격자는 손쉽게 무력화할 수 있다. 결국 이 시스템이 실제로 마킹하는 대상은 「정상적이지만 특별한 행동을 하는」 일반 개발자들이다. 내부 게이트웨이를 구축한 연구팀이나 로컬 프록시를 사용하는 개인 사용자 같은 사람들.
7월 1일, Thereallo의 글이 공개된 다음 날, Anthropic은 이 메커니즘을 제거하겠다고 응답했고 당일 새로운 Claude Code(2.1.197)를 배포했다. 하지만 업데이트 로그에는 은밀한 마커 제거에 관한 언급이 전혀 없었다.
4. 마지막으로 몇 마디
필자는 이 글을 통해 리셀러를 옹호하려는 것도, Anthropic을 단죄하려는 것도 아니다. 양쪽 모두 나름의 논리가 있다.
리셀러 측에서는, Claude가 중국에서 합법적으로 사용할 수 없지만 개발자들에게 좋은 AI 프로그래밍 도우미는 분명히 필요하다. 수요는 객관적으로 존재하고, 회색 시장은 그 자연스러운 산물이다. 첸쯔란의 조사에는 쉽게 간과되는 디테일이 있다. 중계소 사용자 중에는 대학생, 교수, 프리랜서 개발자가 포함되어 있다. 그들은 그저 더 나은 도구를 쓰고 싶었을 뿐, 자신이 동시에 데이터 노동자로 전락하게 될 줄은 몰랐을 것이다.
Anthropic 측에서는, 수십억 달러를 투자해 개발한 모델 능력을 경쟁사가 가짜 계정으로 대규모 증류해 간다면 누구라도 대응 수단을 찾을 것이다. 더욱이 그들의 시각에서 보면 중국 프록시 트래픽에는 리셀링 차익 거래와 산업적 증류가 뒤섞여 있어 정밀하게 구분하기가 사실상 어렵다.
하지만 필자가 독자들께 특히 주목해 주셨으면 하는 것은 또 다른 층위다. AI 회색 시장에서 상품으로 취급되는 것은 API 사용량만이 아니다. 당신의 질문 하나하나, 코드 한 줄 한 줄, 모든 추론 컨텍스트가 기록되고, 재판매되고, 다음 AI 모델을 학습시키는 재료가 될 수 있다. 70% 할인된 가격의 이면에는 당신의 데이터가 숨은 대가로 지불되고 있는 것이다.
시스템 명령 속에 숨었던 보이지 않는 암호 마커는 Anthropic이 철수시켰다. 하지만 이 사건이 남긴 질문은 해결된 것보다 더 많다. 당신의 프로젝트 전체를 읽고 쓸 수 있는 도구가 무언가를 숨기기 시작했을 때, 신뢰는 도대체 어디에서 다시 찾아올 수 있을까.
참고 링크:
- Claude Code Is Steganographically Marking Requests — Thereallo
- Lobsters 토론 스레드
- China’s Grey Market Sells Claude API Tokens at 70–90% Off — AI Weekly
- China’s Claude API Grey Market Sells AI Access at 90% Off — and Your Data Pays the Rest — Memeburn
- Claude Code Hid Proxy Fingerprints in System Prompts — TechTimes
- Anthropic Accuses DeepSeek, Moonshot and MiniMax of Distillation Attacks — CNBC
표지 이미지 출처: TechTimes / Anthropic