![[AI와 인간 사이] 앤트로픽의 하네스 유출은 코딩의 패러다임을 바꾸고 있다](https://aimatters.co.kr/wp-content/uploads/2026/04/AI와-인간-사이-앤트로픽의-하네스-유출은-코딩의-패러다임을-바꾸고-있다.png)
2026년 3월 31일 새벽 4시, 보안 연구자 Chaofan Shou가 X에 글 하나를 올렸다. “클로드 코드의 소스가 npm에서 유출됐다.” 첨부된 링크 하나가 디지털 신호탄이 되었다. 해가 뜨기도 전에 51만 줄의 타입스크립트 코드가 전 세계 개발자들의 손에 들어갔다. 앤트로픽의 핵심 지적재산인 클로드 코드의 소프트웨어 ‘하네스’가 통째로 공개된 것이다.
무슨 일이 있었던 걸까?
사고의 해부: Bun 버그 한 줄이 만든 재앙
원인은 처참할 정도로 단순했다. 클로드 코드는 앤트로픽이 2025년 말 인수한 자바스크립트 런타임 Bun 위에서 빌드된다. 그런데 Bun에는 프로덕션 빌드에서도 소스맵을 자동 생성하는 버그가 있었다. 이 버그는 3월 11일에 이미 GitHub 이슈(#28001)로 등록되어 있었지만, 클로드 코드 팀은 인지하지 못했다. 결과적으로 npm에 올라갈 때 59.8MB짜리 소스맵 파일이 그대로 딸려 나갔다. 이 소스맵은 앤트로픽 자체 Cloudflare R2 버킷에 저장된 원본 타입스크립트 ZIP 아카이브를 가리키고 있었다. 공개 접근이 가능한 상태로.
앤트로픽의 공식 입장은 이랬다. “고객 데이터나 인증 정보는 노출되지 않았다. 릴리스 패키징 과정에서 인적 오류로 발생한 문제이며, 보안 침해가 아니다.” 맞는 말이다. 모델 가중치도 유출되지 않았다. 하지만 유출된 것의 전략적 가치는 모델 가중치에 못지않았다.
포춘(Fortune)의 표현을 빌리면, 클로드 코드의 경쟁력은 기저의 대규모 언어모델이 아니라 그 모델을 감싸고 있는 소프트웨어 ‘하네스’에서 나온다. 모델에게 도구 사용법을 가르치고, 행동의 가드레일을 설정하는 바로 그 소프트웨어 레이어가 공개된 것이다. 클로드 코드 ARR은 25억 달러(약 3조 7,875억 원)에 달하며, 이 ‘하네스’가 그 가치의 핵심이다.
그런데 여기서부터가 흥미로워진다. 이 사고가 ‘참사’로만 끝나지 않았다는 것이다.
유출 이후 24시간: 생태계가 ‘방향’을 잡았다
유출본이 퍼지자마자, 개발자 커뮤니티의 반응은 ‘우려’가 아니라 학습이었다. 그리고 그 학습의 속도는 전례가 없었다.
한국인 개발자 Sigrid Jin은 새벽 4시에 알림 폭탄을 맞고 잠에서 깼다. 한국에 있던 여자친구가 “유출 코드를 갖고 있기만 해도 소송당하는 거 아니야?”라고 걱정하자, 그는 다른 길을 택했다. OpenAI Codex의 API와 유출 코드의 아키텍처 인사이트만을 활용해 클린룸(clean-room) 방식으로 처음부터 다시 구현했다. 그 결과물이 claw-code다.
claw-code는 공개 2시간 만에 GitHub 스타 5만 개를 찍었다. 24시간 안에 10만 개를 돌파했다. GitHub 역사상 가장 빠른 성장 기록이다. 이전 기록 보유자였던 OpenClaw가 10만 스타에 도달하는 데 7일이 걸렸던 것에 비하면, 사실상 하루 만에 그 벽을 넘어선 셈이다. 현재 claw-code의 스타 수는 17만 개를 넘어섰고, 한국계 UBC 재학생이 만든 이 프로젝트는 글로벌 랭킹 29위에 오르며 WSJ에도 소개됐다.
여기서 멈추지 않았다. ‘free code’라는 프로젝트는 유출본에서 텔레메트리와 가드레일을 모두 제거하고 실험적 기능까지 해제한 버전을 공개했다. 이 ‘해제된’ 버전은 경쟁사 LLM을 포함한 외부 모델 API와 연결 가능하도록 설계됐다.
X에도 Threads에도 온통 클로드 코드 유출본을 분석한 아키텍처 다이어그램, 활용 팁, 하네스 패턴 가이드가 넘쳐났다. DistributedApps.ai 연구팀은 유출본에서 10가지 핵심 에이전틱 하네스 패턴을 추출해 공개했다. 유출이 일어난 지 72시간도 지나지 않아, 클로드 코드의 아키텍처는 사실상 오픈소스가 되어버렸다.
유출이 공개한 것들: 코드 이상의 청사진
유출본이 단순한 소스 코드 이상의 의미를 가지는 이유는, 그 안에 아직 세상에 나오지 않은 미래가 담겨 있었기 때문이다.
가장 많이 논의된 것은 ‘KAIROS’다. 고대 그리스어로 ‘적절한 때’를 의미하는 이 이름은 소스 코드에 150회 이상 등장하는 피처 플래그였다. KAIROS는 완전한 자율 데몬 모드를 구현한다. 사용자가 작업하지 않는 시간에도 백그라운드에서 지속적으로 실행되며, 이전 세션의 컨텍스트를 기억하고 작업을 이어가는 기능이다. 현재는 내부 테스트 단계지만, 이것이 공개되면 AI 에이전트의 개념 자체가 달라진다.
내부 코드네임도 드러났다. ‘Capybara’는 Claude 4.6 변형 모델, ‘Fennec’은 Opus 4.6, 그리고 아직 테스트 중인 ‘Numbat’까지. 벤처비트(VentureBeat)의 분석에 따르면 Capybara v8의 내부 벤치마크는 허위 주장(false claim) 비율이 29~30%로, v4의 16.7%에서 오히려 후퇴한 회귀(regression)를 보였다. 앤트로픽이 현재 고전하고 있는 약점이 수치로 드러난 것이다.
‘Undercover Mode’도 화제였다. undercover.ts라는 파일은 앤트로픽 직원이 외부 오픈소스 리포지토리에 기여할 때 내부 코드네임, 슬랙 채널명, AI가 작성했다는 흔적을 모두 제거하도록 지시한다.
그리고 터미널 펫(Terminal Pets)이라는 기능. 클로드 코드에 다마고치 스타일의 인터랙티브 캐릭터를 탑재해 사용자 참여도를 높이려는 기능인데, 코드명 ‘Buddy’로 불렸다. 51만 줄의 프로덕션급 에이전트 코드 안에 게임 캐릭터가 숨어있다는 사실이 개발자들 사이에서 화제가 됐다.
스트라이샌드 이펙트: DMCA가 오히려 불을 붙였다
앤트로픽은 즉각 저작권 테이크다운에 나섰다. GitHub에서 8,000개 이상의 복사본과 파생 리포지토리를 삭제시켰다. 그런데 여기서 과잉 대응이 발생했다. 스킬, 예제, 문서만 포함한 포크에도 DMCA 통지가 날아갔고, 공리포지토리를 단순히 포크한 개발자까지 삭제 대상이 됐다. The Pragmatic Engineer의 Gergely Orosz는 이를 앤트로픽의 클로드 코드 총괄 Boris Cherny가 과잉 대응이었음을 인정하고 대부분의 통지를 철회한 뒤 최종 테이크다운 대상을 1개 리포지토리와 96개 포크로 좁혔지만, 이미 때는 늦었다.
스트라이샌드 이펙트가 정확히 작동했다. 직접 미러가 내려가면 탈중앙화 플랫폼에서 다시 올라왔다. 앤트로픽이 손댈 수 없는 곳에서. claw-code는 원본 타입스크립트를 한 줄도 포함하지 않는 클린룸 재작성이었기에 저작권 공격을 원천 차단했다.
여기에 법적 아이러니가 하나 더 있다. 앤트로픽의 CEO 스스로가 클로드 코드의 상당 부분이 클로드에 의해 작성되었음을 시사한 바 있다. 그런데 2025년 3월 DC 순회법원 판결은 AI가 생성한 저작물에는 자동적인 저작권 보호가 적용되지 않는다고 명시했다. 앤트로픽이 AI로 작성한 코드에 DMCA를 행사하는 것이 법적으로 얼마나 유효한지는 여전히 불명확하다.
역설: 유출이 앤트로픽에게 유리하게 작동하고 있다
여기서부터가 이 사건의 진짜 이펙트다. 직관과 반대되는 일이 벌어지고 있다.
첫째, 대규모 무료 마케팅이 되었다. 일부 관찰자들은 이 사건을 “peak Anthropic energy”라고 불렀다. 보안 실수에도 불구하고, 유출된 코드의 기술적 수준 자체가 앤트로픽의 엔지니어링 역량을 증명하는 광고가 됐다. 클로드 코드 ARR이 이미 25억 달러에 달한다는 사실과 결합되면서, 유출은 오히려 신뢰를 강화하는 역설을 만들었다.
둘째, 생태계 표준이 앤트로픽 중심으로 수렴하고 있다. 딥시크(DeepSeek)의 R1 공개가 AI 추론 모델을 상품화(commodity화)시킨 것처럼, 이번 유출은 AI 코딩 에이전트 하네스를 상품화시키고 있다. 하지만 상품화의 승자는 항상 표준을 만든 쪽이다. 지금 모든 클린룸 재작성 프로젝트는 클로드 코드의 아키텍처를 ‘표준’으로 복제하고 있다.
셋째, 커뮤니티가 만든 오픈소스 하네스들이 사용자를 앤트로픽 생태계 안에 잡아두고 있다. claw-code를 비롯한 클린룸 재작성 프로젝트들은 클로드 코드의 아키텍처를 복제했지만, 결국 그 하네스 위에서 가장 잘 작동하는 모델은 클로드다. 사용자는 대안 클라이언트를 쓰면서도 앤트로픽의 API를 결제하고 있다.
넷째, 공개 감시(public scrutiny)가 버그 수정을 가속시키고 있다. 수만 명의 개발자가 동시에 코드를 읽고 있다. 한 개발자의 분석에서는 “1,279개 세션에서 50회 이상 연속 컴팩션 실패가 기록되어, 장기 세션에서 메모리 관리 문제가 심각하다”는 보고가 나왔다. 이런 정밀한 피드백은 어떤 내부 테스트 환경도 제공하기 어렵다.
나와 같은 인공지능 음모론자(?)들이 이 유출이 의도적이었다고 주장하는 이유가 여기에 있다. 같은 주에 Fortune이 보도한 미공개 모델 Mythos/Capybara 관련 내부 문서 유출까지 합치면, 5일 사이에 두 건의 ‘사고’가 겹친 것이다. 물론 나는 우연이라고 생각한다. 하지만 결과는 의도적 마케팅보다 훨씬 효과적이었다.
동전의 다른 면: 무시할 수 없는 위험
물론, 이 사건을 ‘결과적 호재’로만 읽는 것은 위험하다.
보안 측면에서, 유출은 실질적 위협을 만들어냈다. 제스케일러(Zscaler)의 ThreatLabz 팀은 유출 직후 가짜 ‘유출 클로드 코드’ 리포지토리들이 Vidar Stealer 악성코드와 크립토마이너를 번들로 배포하고 있음을 확인했다. 유출 사건의 흥분을 악용한 공급망 공격이다. 이미 수천 명의 개발자가 피해를 입은 것으로 추정된다.
전략적으로도 타격은 분명하다. Cursor, Windsurf, Copilot, OpenCode — 모든 경쟁사가 이제 앤트로픽의 아키텍처 청사진을 갖고 있다. 리버스엔지니어링에 들여야 했을 수년의 시간이 하루아침에 사라졌다.
그리고 xAI의 행보가 있다. claw-code의 제작자 Sigrid Jin은 xAI가 대량의 Grok 크레딧을 제공해 재작성 작업에 큰 도움이 되었다고 감사를 표했다. xAI의 Umesh Khanna가 직접 댓글로 응원하며 지원을 제안했다. 경쟁사가 클로드 코드의 아키텍처를 학습하는 데 직접 투자하고 있는 셈이다.
하네스가 코드가 아니라 ‘문법’이 된 순간
이 사건의 본질은 결국 하나의 질문으로 수렴한다. 하네스는 제품인가, 아니면 문법인가?
코드로서의 하네스는 유출되었고, 복제되었고, 다른 언어로 번역되었다. 앤트로픽의 법무팀이 아무리 DMCA를 날려도, 타입스크립트로 쓰인 원본은 파이썬과 Rust로 다시 태어났고, 탈중앙화 플랫폼 위에서 영원히 살아남을 것이다.
하지만 문법으로서의 하네스는 다른 이야기다. 클로드 코드의 유출이 만든 가장 깊은 이펙트는 코드의 복제가 아니라, 개발 방법론의 전파다. 3단계 권한 체계, 자기 치유 메모리, 컨텍스트 엔트로피 관리, 서브에이전트 오케스트레이션 — 이것들은 이제 AI 코딩 에이전트 개발의 ‘문법’이 됐다. 특정 회사의 소유물이 아닌 업계 공통 언어로.
Layer5의 분석이 핵심을 찌른다. “오케스트레이션 아키텍처가 더 이상 비밀이 아닐 때, 차별화는 전적으로 모델 역량과 사용자 경험으로 이동한다.” 그리고 The Pragmatic Engineer의 Gergely Orosz는 이를 “하네스 엔지니어링의 민주화”라고 불렀다.
역설적으로, 이것이 앤트로픽에게 유리하게 작동하는 이유이기도 하다. 하네스 아키텍처가 산업 표준이 되면 될수록, 그 표준 위에서 가장 잘 작동하는 모델 — 즉 클로드 — 에 대한 수요는 오히려 증가한다. 안드로이드가 모바일 OS를 상품화하면서 구글의 서비스 지배력이 강화된 것과 같은 패턴이다.
결론: 유출은 끝났지만, 이펙트는 이제 시작이다
정리하자. 앤트로픽은 .npmignore 한 줄을 빠뜨리는 인적 오류로 자사의 핵심 지적재산을 공개했다. 두 번째다 — 2025년 2월에도 같은 메커니즘으로 유출이 있었다. “안전 최우선”을 표방하는 회사가 1년 사이에 같은 유형의 실수를 두 번 반복했다.
그러나 유출 이후 벌어진 일은 통상적인 IP 유출 시나리오와 전혀 다른 궤도를 그리고 있다. 개발자 생태계는 앤트로픽을 비난하기보다 앤트로픽에게서 배우기 시작했다. 하네스 엔지니어링이라는 분야가 소수 전문가의 영역에서 수만 명의 개발자가 다루는 공통 지식으로 전환됐다. 그리고 그 지식의 원점이 앤트로픽이라는 사실이 모든 사람에게 각인됐다.
이것은 위기관리의 성공이 아니다. 앤트로픽이 잘해서 벌어진 일이 아니라는 뜻이다. 기술적 우위가 워낙 압도적이었기에, 실수마저 증거가 되어버린 것이다. 유출된 코드를 본 개발자들이 ‘이 정도로 정교했어?’라고 놀란 것이 바로 그 증거다.
다만 한 가지는 분명히 짚어야 한다. 이런 역설이 두 번 작동할 거라는 보장은 없다. 다음에 유출되는 것이 하네스가 아니라 모델 가중치라면, 다음에 공격하는 것이 호기심 많은 개발자가 아니라 국가 단위의 위협 행위자라면, 결과는 전혀 다를 것이다.
클로드 코드의 하네스 유출은 하나의 사건이지만, 두 가지 서로 다른 미래를 동시에 보여준다. 하나는 오픈소스 생태계와 산업 표준의 중심에 선 앤트로픽이라는 미래. 다른 하나는 자신의 가장 중요한 자산을 지키지 못하는 회사라는 미래.
어느 쪽이 더 빠를 것인가? 그것은 앤트로픽의 다음 행동이 결정할 것이다.
이 칼럼은 [AI와 사람 사이] 시리즈의 첫 번째 글입니다.
