[지디넷코리아]
앤트로픽이 AI 코딩 도구 ‘클로드 코드’의 소스코드 일부가 노출되며 보안 관리에 대한 지적이 나오고 있다.
1일 더레지스터 등 외신에 따르면 퍼즈랜드의 보안 연구원 차오판 쇼우는 클로드 코드 소스코드가 외부에 노출된 사실을 확인하고 관련 링크를 소셜 플랫폼 엑스(X)를 통해 공개했다.
이번 노출 사고는 클로드 코드의 공식 노드 패키지 매니저(npm) 패키지에 소스코드 원본을 참조할 수 있는 ‘맵 파일(map file)’이 실수로 포함된 채 배포되면서 발생했다. 일반적으로 개발 디버깅용으로 쓰이는 이 파일은 프로덕션 환경에서는 제외되어야 한다.
하지만 이번 배포 실수로 인해 난독화되지 않은 타입스크립트(Typescript) 원본 소스가 담긴 앤트로픽의 내부 스토리지 버킷 링크가 그대로 노출돼 누구나 다운로드 받을 수 있었다.
실제 공개된 압축 파일에는 타입스크립트 파일 약 1900개와 50만 줄이 넘는 코드가 포함된 것으로 알려졌다. 내부 명령어 구조와 도구 라이브러리 등 핵심 구성 요소도 함께 노출됐다. 해당 코드는 깃허브를 통해 빠르게 확산됐고 수만 건 이상 포크되며 사실상 회수가 어려운 상황에 놓였다.
앤트로픽 측은 이번 사태가 외부 해킹이 아닌 내부 직원의 단순 실수임을 강조하며 진화에 나섰다. 앤트로픽 대변인은 “클로드 코드 릴리스에 일부 내부 소스코드가 포함된 것은 사실”이라면서도 “민감한 고객 데이터나 자격 증명은 전혀 노출되지 않았다. 이는 릴리스 패키징 과정에서 발생한 사람의 실수이며, 재발 방지를 위한 조치를 즉각 도입 중”이라고 해명했다.
하지만 업계에서는 앤트로픽의 허술한 보안 관리에 대한 우려의 목소리가 커지고 있다. 소스맵 파일은 일반적으로 운영 환경에서 포함하지 않는 것이 관행이다. 빌드 설정 오류만으로도 전체 소스가 노출될 수 있다는 점에서 개발·배포 파이프라인 관리 수준이 비판받고 있다.
기술적 영향에 대해서는 엇갈린 평가가 나온다. 클로드 코드는 일부 기능이 이미 리버스 엔지니어링을 통해 분석된 바 있어 완전히 새로운 정보가 공개된 것은 아니라는 시각도 있다. 그러나 최신 구조와 내부 구현 방식이 드러난 만큼 경쟁사에 유의미한 참고 자료가 될 수 있다는 분석이 우세하다.
이번 사건은 최근 연이어 발생한 데이터 관리 이슈라는 점에서도 주목된다. 앞서 앤트로픽의 차기 AI 모델 관련 문서가 공개 접근 가능한 데이터 캐시에서 발견된 사례가 알려지며 내부 통제 체계에 대한 우려가 커지고 있다.
몬타의 가브리엘 안하이아 소프트웨어 엔지니어는 “프로그램을 외부에 배포할 때 어떤 파일을 포함할지 정하는 설정 하나만 잘못돼도 내부 코드 전체가 그대로 공개될 수 있다”며 “아주 작은 설정 실수 하나가 큰 사고로 이어질 수 있는 만큼 보안에 더 신경 써야 한다”고 강조했다.