AI끼리 베끼는 시대

Anthropic의 증류 공격 주장과 AI 생태계의 딜레마

Feb 25. 2026

2026년 2월 23일, Anthropic이 중국 AI 기업 세 곳을 공개적으로 지목했습니다.

DeepSeek, Moonshot AI, MiniMax가 약 24,000개의 가짜 계정으로 Claude 모델에서 1,600만 건 이상의 대화를 생성했다는 겁니다. 목적은 하나, Claude의 핵심 역량을 자사 모델로 옮기는 것이었습니다.

이 발표를 보고 솔직히 복잡한 감정이 들었습니다. 한편으로는 24,000개 가짜 계정이라는 규모에 놀랐고, 다른 한편으로는 "그래서 이게 정말 도둑질인가, 아니면 AI 업계의 자연스러운 흐름인가"라는 질문이 머릿속에서 떠나지 않았습니다.

증류란 무엇인가

증류(distillation)는 큰 AI 모델("선생")의 출력을 작은 모델("학생")에게 학습시키는 기술입니다.

학생 모델은 원본 데이터가 아니라 선생의 답변 패턴을 배우기 때문에, 훨씬 적은 비용으로 비슷한 성능을 낼 수 있습니다.

Anthropic 스스로도 인정하듯, 증류는 "널리 쓰이는 정당한 학습 방법"입니다. 프론티어 AI 기업들은 자사 대형 모델을 증류해서 더 작고 저렴한 버전을 고객에게 제공합니다. 문제는 경쟁사가 같은 기술을 써서 남의 모델 역량을 빼간다는 데 있습니다.

증류가 대중의 관심을 끈 건 2025년 1월, DeepSeek이 R1 추론 모델을 공개하면서부터입니다. 미국 프론티어 모델에 근접하는 성능을 훨씬 저렴하게 달성한 이 모델은 실리콘밸리에 충격을 줬습니다. 이후 UC 버클리 연구팀은 450달러(약 65만 원)로 19시간 만에 OpenAI의 추론 모델을 재현했고, 스탠퍼드 연구팀은 50달러(약 7만 원) 미만으로 26분 만에 유사 모델을 만들어냈습니다.

세 기업, 세 가지 작전

Anthropic은 세 기업의 활동을 IP 주소, 요청 메타데이터, 인프라 지표, 그리고 같은 행위자를 감지한 다른 업체의 정보를 종합해 "높은 확신"으로 특정했다고 밝혔습니다. 세 기업 모두 Claude의 가장 차별화된 역량인 에이전트 추론, 도구 사용, 코딩 능력을 집중적으로 노렸습니다.

DeepSeek은 15만 건 이상의 대화를 생성했습니다. 규모는 셋 중 가장 작지만, 기술적으로 가장 정교했다는 평가를 받았습니다. Claude에게 "완성된 응답의 내부 추론 과정을 상상해서 단계별로 써달라"고 요청하는 방식으로 사실상 사고 과정(chain-of-thought) 학습 데이터를 대량 생성했습니다. 특히 눈길을 끄는 건 정치적으로 민감한 질문에 대한 "검열 안전" 대안을 만들어달라는 요청이었습니다. 반체제 인사, 당 지도부, 권위주의에 관한 질문을 우회하는 방법을 Claude에게 학습시킨 셈입니다.

Moonshot AI(Kimi 모델)는 340만 건 이상으로, 에이전트 추론과 도구 사용, 코딩, 컴퓨터 비전을 타겟으로 삼았습니다. 수백 개의 가짜 계정을 다양한 접근 경로로 분산시켜 조직적 작전임을 탐지하기 어렵게 만들었습니다. Anthropic은 요청 메타데이터가 Moonshot 고위 직원의 공개 프로필과 일치한다고 밝혔습니다.

가장 대규모였던 건 MiniMax입니다. 1,300만 건 이상의 대화를 생성하며 에이전틱 코딩과 도구 오케스트레이션을 집중 공략했습니다. Anthropic이 새 모델을 출시했을 때, MiniMax는 24시간 이내에 트래픽의 절반을 신규 모델로 전환했습니다. Anthropic은 MiniMax가 학습 중인 모델을 출시하기 전에 이 활동을 감지해서, 증류 공격의 전체 생애주기를 관찰할 수 있었다고 합니다.

[ DeepSeek / Moonshot AI / MiniMax 증류 공격 규모 비교 ]

왜 지금 이 발표를 했는가

타이밍이 의미심장합니다.

이 발표는 미국 정부의 AI 칩 수출 통제 정책이 뜨겁게 논의되는 시점에 나왔습니다.

트럼프 행정부가 Nvidia의 H200 칩 중국 수출을 허용한 직후입니다.

Anthropic CEO 다리오는 중국에 첨단 AI 칩을 판매하는 것을 공개적으로 "미친 짓"이라고 표현한 바 있습니다. 이번 발표에서도 "증류 공격은 수출 통제의 근거를 강화한다"고 명시적으로 연결지었습니다. 칩 접근이 제한되면 직접 모델 학습뿐 아니라 대규모 증류도 어려워진다는 논리입니다.

2주 전 OpenAI도 미국 하원에 메모를 보내 DeepSeek이 자사 모델을 증류했다고 경고한 상태였습니다.

두 회사의 발표가 잇따르면서, 증류 논란은 기술적 문제를 넘어 지정학적 이슈로 격상되었습니다.

불편한 질문들

여기서 한 발 물러서서 생각해볼 필요가 있습니다.

먼저, Anthropic을 포함한 미국 AI 기업들도 수많은 저작권 침해 소송에 직면해 있다는 사실입니다.

Anthropic만 해도 음악 출판사, 작가, Reddit 등으로부터 무단 웹 스크래핑과 저작권 침해 혐의로 여러 건의 소송을 받고 있습니다. OpenAI 역시 16건의 저작권 소송이 통합 심리 중입니다. The Register는 이 상황을 두고 "남의 콘텐츠를 리믹스해서 사업을 세운 회사가, 중국 기업이 자기 데이터를 훔친다고 걱정하고 있다"고 꼬집었습니다.

커뮤니티의 반응도 갈립니다. 레딧 r/LocalLLaMA에서는 "Anthropic 모델을 증류해서 오픈소스로 내놓는 건 자선사업"이라는 댓글이 큰 호응을 얻었는가 하면, "API 비용을 내고 사용한 거 아닌가, 왜 불평하는가"라는 반응도 나왔습니다. Anthropic이 단 하나의 오픈소스 모델도 공개하지 않았다는 점이 이런 시선을 부추기는 측면이 있습니다.

반면 CrowdStrike 공동 창업자는 "중국 AI 모델의 급속한 발전 배경에 미국 프론티어 모델의 증류를 통한 절도가 있다는 건 이전부터 분명했고, 이제 사실로 확인됐다"며 칩 수출 금지를 더욱 강화해야 한다고 주장했습니다.

이 논란의 핵심은 결국 경계선의 문제입니다. "합법적 학습"과 "불법적 절도" 사이의 선은 어디에 있는 걸까요. 서비스 약관 위반은 분명합니다. 24,000개의 가짜 계정으로 접근 제한을 우회한 건 어떤 기준으로도 정당화하기 어렵습니다. 하지만 그 결과물인 "AI 모델이 다른 AI 모델에게서 배우는 행위" 자체가 본질적으로 잘못인가라는 질문에는 업계도 학계도 아직 합의된 답이 없습니다.

안보 논리의 양면

Anthropic은 증류된 모델이 안전장치 없이 유통될 위험을 강조합니다.

자사와 미국 기업들은 AI가 생화학무기 개발이나 사이버 공격에 악용되지 않도록 안전장치를 구축하는데, 증류로 만들어진 모델은 이런 보호 장치가 통째로 빠질 수 있다는 겁니다. 증류된 모델이 오픈소스로 공개되면 이 위험은 더 증폭됩니다.

이 주장에는 일리가 있습니다. 하지만 동시에, 이것이 시장 보호를 위한 논리적 장치는 아닌지 따져볼 필요도 있습니다. Anthropic은 중국에 상업적 접근을 제공하지 않으며, OpenAI와 함께 미국 AI 기업 중 가장 적극적으로 수출 통제를 지지하고 있습니다. 경쟁자의 추격을 늦추고 싶은 기업의 이해관계와 국가 안보 논리가 겹치는 지점에서, 무엇이 순수한 안보 우려이고 무엇이 시장 전략인지 구분하기는 쉽지 않습니다.

우리가 주목해야 할 것

이 사건은 AI 업계의 근본적인 긴장을 드러냅니다.

첫째, AI 모델의 지식은 누구의 것인가.

웹에서 학습한 모델의 출력을 다시 학습 데이터로 쓰는 건, 결국 모든 AI 기업이 정도의 차이만 있을 뿐 하고 있는 일입니다. 규모와 방법(가짜 계정, 약관 위반)이 문제인 건 맞지만, 본질적인 질문은 아직 해결되지 않았습니다.

둘째, 오픈소스와 폐쇄형 모델의 갈등이 깊어지고 있습니다.

DeepSeek은 증류 모델을 MIT 라이선스로 공개하면서 명시적으로 "증류를 포함한 모든 파생 작업"을 허용했습니다. 반면 Anthropic과 OpenAI는 단 하나의 오픈소스 모델도 내놓지 않았습니다. 오픈소스 커뮤니티가 Anthropic의 발표에 냉소적인 이유입니다.