NVDB의 경고는 갑작스럽게 나온 것이 아닙니다. 이는 독립적인 보안 연구원, 레딧 유출, 그리고 개발자 도구를 무대로 한 미중 AI 냉전이라는 더 광범위한 맥락에서 일주일간 이어진 공개 논란의 정점이었습니다.
2026년 6월 30일, Thereallo라는 필명의 개발자가 클로드 코드 바이너리를 리버스 엔지니어링하여 약 3개월 동안 자체 시스템 프롬프트에 사용자 환경 핑거프린트를 조용히 심어 왔다는 사실을 발견했습니다 . 현재 널리 '프롬프트 스테가노그래피(Prompt Steganography)'라고 불리는 이 기술은 여러 방법에 의존했습니다.
날짜 문자열 조작: 클로드 코드는 사용자가 설정한 API 기본 URL에 따라 시스템 프롬프트의 날짜 줄을 조용히 변경했습니다. 'Today's'에서 곧은 아포스트로피(')와 곱슬 아포스트로피(ʼ)를 바꾸고, 날짜 구분자를 대시(2026-06-30)에서 슬래시(2026/06/30)로 바꾸는 식이었습니다 . 이러한 시각적으로 유사한 유니코드 변형은 사용자에게는 보이지 않지만, 앤트로픽 서버가 읽을 수 있는 명확한 추적 마커 역할을 했습니다.
프록시 및 위치 핑거프린팅: 이 메커니즘은 ANTHROPIC_BASE_URL 환경 변수가 앤트로픽이 아닌 다른 엔드포인트로 설정되었을 때, 즉 트래픽이 타사 프록시를 통해 라우팅되고 있음을 나타낼 때 활성화되었습니다. 그러면 도구는 프록시 호스트 이름을 XOR 난독화된 경쟁사 도메인 목록과 대조하여 인코딩했습니다 . 숨겨진 마커는 트래픽이 중국 AI 연구소, 프록시 리셀러를 통해 라우팅되거나 중국과 관련된 것인지 확인했습니다
. 한 분석에 따르면 도구는 25개 이상의 중국 도메인이 하드코딩된 목록을 검사했습니다
.
버전 2.1.91에 도입된 중국 사용자 탐지: 2026년 4월 2일에 출시된 클로드 코드 버전 2.1.91은 시스템 프롬프트에 스테가노그래피를 통해 중국 사용자 탐지 로직을 비밀리에 포함했습니다. 이는 6월 30일 레딧 사용자 LegitMichel777이 난독화된 코드를 리버스 엔지니어링하면서 처음 공개되었습니다 . 이 기술은 아포스트로피와 날짜 형식을 바꾸어 사용자가 볼 수 없는 위치 데이터를 인코딩하는 방식이었습니다
.
범위 및 기간: 핑거프린팅 코드는 릴리스 노트에 전혀 공개되지 않은 채 90개 이상의 클로드 코드 버전에 존재했으며 , 2026년 6월 30일 공개暴露 전까지 최소 3개월간 지속되었습니다
. 익명의 앤트로픽 직원은 이를 3월에 시작된 '실험'이라고 설명했습니다
.
워싱턴포스트는 앤트로픽의 명백한 목표가 '자사의 기술을 가로채 더 똑똑한 AI 도구를 만든다고 의심되는 중국 경쟁업체의 정체를 밝히는 것', 즉 중국 기업의 모델 증류(model distillation) 또는 무단 API 사용을 탐지하는 것이었다고 보도했습니다 . '증류'로 알려진 이 관행은 대형 모델의 출력을 사용하여 더 작고 저렴한 모델을 훈련시키는 것으로, 최첨단 AI 기업들의 공통적인 관심사입니다.
앤트로픽의 대응은 논란의 이중적 성격을 반영하여 두 단계로 전개되었습니다.
스테가노그래피 관련 (2026년 7월 초): 6월 30일 발견 사실이 공개된 후, 앤트로픽은 숨겨진 스테가노그래피 코드를 제거하고 2026년 7월 1일 출시된 버전 2.1.197에서 추적 기능을 롤백할 것이라고 확인했습니다 . 회사는 이를 중국 경쟁사의 무단 API 사용 및 모델 증류를 탐지하기 위한 '안티-어뷰즈 실험' 이라고 설명했습니다
. 앤트로픽은 이 추적이 사용자 감시가 아니라 지적 재산권 도용, 특히 클로드의 결과물을 사용하여 경쟁 모델을 훈련시키는 것으로 의심되는 중국 기업을 식별하기 위한 것이라고 주장했습니다
.
NVDB 백도어 경고 관련 (2026년 7월 8~9일): 중국의 공식 보안 경고에 대해 앤트로픽은 입장을 바꾸었습니다. 회사는 중국 사용자는 처음부터 클로드 코드 사용이 허가되지 않았으며 서비스 이용약관을 위반하여 도구에 접근하고 있었다고 주장했습니다 . 앤트로픽은 사실상 소위 '백도어'는 소프트웨어에 접근해서는 안 되는 무단 사용자에 대한 대응책이었다고 논리를 폈습니다
. 이 반박은 추적의 은밀한 성격과 공개 부재가 사용자의 지리적 위치나 서비스 이용약관 준수 여부와 관계없이 신뢰 위반이라고 지적하는 프라이버시 옹호론자들로부터 날카로운 비판을 받았습니다.
이 사건은 즉각적이고 중요한 기업 차원의 대응을 촉발했습니다. NVDB 경고 이전인 2026년 7월 3일, 알리바바 그룹은 내부 보안 검토에서 이 개발자 도구를 '보안 취약점이 있는 고위험 소프트웨어'로 분류한 후 7월 10일부로 전 직원의 클로드 코드 사용을 금지했습니다 . 중국 기술 대기업의 이러한 조치는 중국 기업들이 추적 코드를 얼마나 심각하게 받아들였는지를 보여주는 드문 공식적 기업 대응이었습니다.
이 사건은 지적 재산권, 모델 보안, 공급망 신뢰를 둘러싼 미중 AI 긴장의 새로운 전선으로 널리 평가됩니다 . 워싱턴포스트는 이를 각국이 AI 분야에서 상대방의 정보 수집 활동을 탐지하고 대응하려는 광범위한 '비밀 미중 전투'의 일부로 설명했습니다
. 추적 코드가 앤트로픽의 공개가 아닌 커뮤니티 리버스 엔지니어링을 통해 발견되었다는 사실은 개발자 대상 AI 도구에 대한 신뢰 위기를 심화시켰습니다.
클로드 코드 스테가노그래피 사건은 AI 코딩 도구를 사용하는 개발자와 조직에게 몇 가지 실용적인 교훈을 제공합니다.
앤트로픽 자체의 책임 있는 공개 프로그램은 클로드 코드 및 해당 격리 아키텍처의 취약점을 인정하고 있습니다 . 회사는 이후 스테가노그래피 코드를 패치했지만, 이 사건은 여전히 개발자 대상 AI 도구 역사상 가장 심각한 신뢰 위반 사례로 남아 있습니다
.