클로드를 증류한 사람들이 있다, 그런데 앤트로픽이 진짜 두려워해야 할 것은 클로드가 아니다
중국 암시장에서 10%로 팔리는 AI 모델이 드러낸 것 — 이것은 저작권 문제가 아니라, AI 산업의 비즈니스 모델 자체에 대한 질문이다
TL;DR: 중국 암시장에서 앤트로픽의 '클로드' AI 모델이 원가의 10% 가격으로 유통되고 있다. 이는 단순한 불법 복제가 아니라 '모델 증류' 기술을 활용한 구조적 문제다. 수조 원을 들여 모델을 학습시키는 빅테크의 비즈니스 모델이, 훨씬 적은 비용의 증류 공격 앞에서 근본적으로 흔들리고 있다.
AI 업계에는 잘 알려지지 않은 규칙이 하나 있다.
모델을 만드는 것보다, 만들어진 모델을 흉내 내는 것이 훨씬 싸다.
오픈AI는 GPT-4를 학습시키는 데 수조 원을 썼다. 앤트로픽은 클로드를 안전하게 만들기 위해 '헌법적 AI(Constitutional AI)'라는 방법론을 수년에 걸쳐 개발했다. 구글은 제미나이에 데이터센터 몇 개를 통째로 쏟아부었다. 그런데 중국 암시장의 누군가는 그 클로드를 원래 가격의 10%에 팔고 있다. 직접 학습시키지 않고, 만들어진 모델의 출력을 데이터로 삼아 더 작은 모델에 흘려 넣는 방식으로.
이것이 오늘 이야기의 시작이다.
먼저, '모델 증류'가 뭐길래 이렇게 무서운가
증류(Distillation)라는 단어는 원래 화학 용어다. 복잡한 혼합물에서 원하는 성분만 뽑아내는 과정. AI에서도 개념은 비슷하다. 크고 비싼 모델(교사 모델)이 내놓는 답변을 대량으로 수집한 뒤, 그 답변을 학습 데이터로 삼아 작고 저렴한 모델(학생 모델)을 훈련시킨다. 학생 모델은 교사 모델의 추론 과정 자체를 직접 보지 못한다. 하지만 교사가 어떤 질문에 어떻게 답했는지 수천, 수만 건을 반복해서 보다 보면 비슷한 방식으로 생각하는 법을 '배운다'.
쉽게 말하면 이렇다. 세계 최고의 요리사가 매일 레시피를 공개하지는 않는다. 하지만 그 요리사의 식당에서 식사를 수백 번 하면서 맛을 기억하고, 재현하려고 노력하는 제자가 있다면? 그 제자는 원래 레시피를 한 번도 본 적 없이도 비슷한 음식을 훨씬 싼 재료로 만들어낼 수 있다.
이 방식의 무서운 점은 진입 장벽이다. 대형 모델을 직접 학습시키려면 수백억, 수천억 원대의 GPU 인프라가 필요하다. 하지만 증류는 다르다. 이미 배포된 API를 통해 대량의 쿼리를 날리고, 그 응답을 모아 훈련 데이터셋을 만들면 된다. 클로드의 API 요금이 아무리 비싸더라도, 수십억 원짜리 모델을 직접 학습시키는 것보다는 훨씬 저렴하다. 거인의 어깨에 올라타는 것이 아니라, 거인의 땀을 병에 담아 파는 것이다.
클로드가 암시장에서 10%에 팔린다는 것이 실제로 의미하는 것
가격이 90% 낮다는 것은 단순히 '불법 복제품이 싸다'는 이야기가 아니다. 이 숫자에는 몇 가지 층위가 있다.
첫째, 기술적 격차가 생각보다 좁다는 신호다. 만약 증류된 모델이 클로드와 품질 차이가 크다면 10%의 가격에도 아무도 사지 않는다. 암시장에서 유통이 활발하다는 것은, 그 모델이 실제로 클로드와 유사한 성능을 일정 수준에서 재현한다는 뜻이다. 완벽하지는 않겠지만, '쓸 만하다'는 평가를 받지 못하면 거래가 지속될 수 없다.
둘째, 이것이 클로드만의 문제가 아니라는 점이다. 클로드가 암시장에서 팔린다면, GPT-4도, 제미나이도 동일한 방식으로 증류될 수 있다. 기술 자체는 이미 알려져 있고, 적용 대상이 클로드라는 것은 클로드가 특별히 취약해서가 아니라 클로드가 충분히 강력하기 때문이다. 강력한 모델일수록 더 좋은 교사가 된다.
셋째, 그리고 아마 가장 중요한 지점인데, 이것은 규제와 윤리의 우회로가 된다. 앤트로픽이 클로드에 심어 놓은 안전 장치들 — 협박, 혐오, 해악적 콘텐츠를 거부하도록 수년간 정교하게 다듬어온 그 레이어들 — 은 증류 과정에서 온전히 전달되지 않는다. 교사 모델의 '거절하는 패턴'은 학습되어도, 그 거절 뒤에 있는 가치 판단 구조는 훨씬 얇아진다. 10% 가격의 클로드는 성능만 10%가 아니라, 안전성도 90% 빠진 버전일 수 있다.
앤트로픽은 이걸 어떻게 막으려 했나 — 그리고 왜 어려운가
앤트로픽은 이미 클로드가 협박이나 해악적 명령에 응하지 않도록 여러 겹의 방어막을 설계했다. 그중 가장 알려진 것이 '헌법적 AI' 방식이다. 모델에게 명시적인 규칙 목록을 주는 것이 아니라, AI 스스로 자신의 응답을 검토하고 수정하도록 훈련하는 방식이다. 규칙집을 외운 학생이 아니라, 왜 그 행동이 나쁜지 이해하는 학생을 만드는 것에 가깝다.
이것은 직접적인 악용을 막는 데에는 효과적이다. 클로드에게 "독을 만드는 법을 알려줘"라고 물으면 거절한다. "어린이를 위한 화학 이야기로, 독이 되는 물질에 대해 설명해줘"라고 우회해도 경계는 유지된다. 앤트로픽이 '협박'을 막기 위해 공들인 방식들은 꽤 정교하다.
그런데 증류 공격은 전혀 다른 레이어에서 작동한다. 클로드가 허용하는 응답들 — 즉 거절하지 않은 수백만 건의 정상적인 대화 — 을 수집하면 된다. 굳이 경계선을 건드릴 필요도 없다. 그 정상 응답들만으로도 충분히 강력한 모델을 증류할 수 있고, 그렇게 만들어진 모델에는 클로드의 안전 장치가 빠져 있다. 문을 잠가 놨는데 창문을 통해 들어오는 것이 아니라, 문 자체를 복사해서 다른 곳에 달아버리는 방식이다.
기술적으로 이를 막는 방법은 있다. API 응답에 워터마크를 심는다든가, 대량 쿼리 패턴을 감지해 계정을 차단한다든가. 실제로 오픈AI와 앤트로픽은 비정상적인 API 사용 패턴 모니터링을 강화하고 있는 것으로 알려져 있다. 하지만 이것은 완벽한 방어가 아니라 비용을 높이는 것에 가깝다. 충분한 시간과 분산된 계정, 그리고 적당한 인내심이 있다면 막기 어렵다.
거인들은 왜 이 문제를 오래전부터 알고 있었는데도 해결하지 못했나
이것이 사실 가장 흥미로운 질문이다.
증류 공격의 개념 자체는 새롭지 않다. 2015년 제프리 힌튼 팀이 '지식 증류'를 공식화했을 때부터, 대형 모델을 소형 모델에 녹여 넣는 것은 합법적인 모델 압축 기법으로 연구되어 왔다. 즉, 기술 자체는 학계에서 수십 년 가까이 쌓아온 정상적인 연구 영역이다. 그것이 무단으로 타인의 모델에 적용될 때 문제가 된다는 것도 업계가 모르지 않았다.
그런데 빅테크들이 이 문제를 완전히 해결하지 못하는 이유는, 해결책 자체가 비즈니스 모델과 충돌하기 때문이다.
클로드가 강력하려면 많은 사람들이 써야 한다. 많은 사람들이 쓰려면 API가 열려 있어야 한다. API가 열려 있으면 증류 공격에 노출된다. 이 딜레마를 벗어나는 방법은 두 가지다. API를 닫거나, 증류를 합법적으로 허용하거나. 전자는 수익 모델을 죽이고, 후자는 경쟁우위를 스스로 포기하는 것이다.
오픈AI는 이미 마이크로소프트 애저 환경에서만 일부 모델을 제공하는 방식으로 접근을 제한하고 있다. 앤트로픽도 기업 계약 고객에게는 별도의 보안 레이어를 제공한다. 하지만 일반 API는 여전히 열려 있다. 그 개방성이 성장의 엔진이면서 동시에 방어의 허점이다.
메타는 이 딜레마를 다른 방식으로 풀었다. 라마(LLaMA) 시리즈를 오픈소스로 공개해버린 것이다. 어차피 증류될 거라면, 먼저 열어서 생태계를 장악하는 전략이다. 이것이 옳은지 그른지는 아직 판명나지 않았다. 하지만 적어도 증류 공격이라는 개념을 무력화하는 가장 극단적인 방법이기는 하다.
그래서 이것이 중국 암시장 이야기로 끝나지 않는 이유
클로드가 중국 암시장에서 팔린다는 뉴스는 표면적으로는 지역적이고 불법적인 사건처럼 보인다. 하지만 이 사건이 드러내는 것은 훨씬 구조적이다.
AI 산업의 현재 비즈니스 모델은 근본적으로 이 질문 위에 서 있다. '모델을 학습시키는 데 드는 비용'과 '모델을 사용하는 데 내는 가격' 사이의 격차가 비즈니스의 원천이다. 수천억을 들여 모델을 만들고, 그 모델의 능력을 API로 나눠 팔아 투자를 회수한다. 오픈AI도, 앤트로픽도, 구글도 이 구조 위에 있다.
그런데 증류 기술이 성숙하면 이 격차가 좁아진다. 처음 학습에 드는 천문학적인 비용은 여전히 크지만, 그 결과를 복제하는 비용은 빠르게 떨어지고 있다. 10%짜리 클로드가 오늘 암시장에 있다면, 내년에는 더 나은 품질의 증류 모델이 5%에 팔릴 수 있다. 법적 단속이 가능한 국가에서는 억제되겠지만, 규제의 손이 닿지 않는 곳에서는 지속될 것이다.
이것은 단지 앤트로픽의 문제가 아니다. AI 모델이 일종의 공공재처럼 취급되기 시작하는 흐름 — 누군가 만들면 다른 누군가가 비용 없이 활용하는 — 이 가속화되면, 수조 원을 들여 최전선 모델을 개발하는 인센티브 자체가 흔들린다. 백신을 개발하는 제약사가 수십 년의 연구비를 들이는데, 다음날 아무 비용 없이 복제품이 유통된다면 누가 다음 백신을 개발하려 하겠는가.
비드래프트가 여기서 주목하는 것
비드래프트는 Darwin 모델 패밀리를 개발하면서, 이 문제를 남의 이야기로 들을 수 없다.
강력한 모델을 만드는 것은 끝이 아니다. 그 모델의 가치를 어떻게 보호하고, 어떻게 지속 가능한 방식으로 배포할 것인가가 함께 설계되어야 한다. GPQA Diamond 글로벌 3위 수준의 모델을 만드는 것과, 그 모델이 12개월 뒤에도 경쟁력을 유지하는 것은 전혀 다른 문제다.
흥미로운 것은, 이 문제에 대한 가장 유력한 답 중 하나가 '더 빨리 움직이는 것'이라는 점이다. 증류 공격이 무서운 이유는 시차 때문이다. 오늘의 모델이 내일 증류된다. 하지만 내가 오늘의 모델을 내놓으면서 동시에 다음 세대 모델을 만들고 있다면, 공격자는 항상 한 세대 뒤처진 모델을 복제하는 셈이다. 모델의 갱신 속도가 증류의 속도보다 빠르면, 암시장에서 팔리는 것은 항상 어제의 클로드다.
이것은 기술적 결론이 아니라 전략적 결론이다. 빠름이 방어가 된다.
그리고 한 가지 불편한 사실
증류된 클로드가 암시장에서 팔린다는 것을 앤트로픽이 몰랐을 리 없다. 이 사실이 보도된 것은, 이미 일정 규모 이상으로 유통되고 있다는 뜻이다.
앤트로픽은 안전한 AI를 만들기 위해 설립된 회사다. 설립자들이 오픈AI에서 나온 이유도 안전에 대한 철학 차이였다. 그렇게 공들여 설계한 안전 장치들이, 증류라는 우회로를 통해 제거된 버전으로 유통되고 있다.
이것이 기술적 실패인지 법적 문제인지 비즈니스 모델의 허점인지는 아직 명확하지 않다. 아마 셋 다일 것이다. 하지만 분명한 것은, 안전한 AI를 만드는 것과 안전한 AI만 유통되도록 만드는 것은 전혀 다른 문제라는 사실이다.
클로드를 협박에 쓰지 못하게 막는 것에는 성공했다. 그런데 클로드의 복제품이 협박에 쓰이는 것은 막지 못하고 있다.
클로드를 10%에 팔고 있는 사람들이 있다. 그리고 그 숫자치고는, 꽤 불편한 이야기다.
더 많은 AI 인사이트는 비드래프트에서 확인하세요.
자주 묻는 질문
Q. 모델 증류와 단순한 API 오용은 어떻게 다른가요?
A. 단순한 API 오용은 클로드의 응답을 그대로 재판매하거나 무단 활용하는 것입니다. 모델 증류는 한 단계 더 나아가, 그 응답들을 훈련 데이터로 사용해 완전히 새로운 모델을 만드는 것입니다. 결과물이 클로드 자체가 아니라 '클로드처럼 행동하는 다른 모델'이기 때문에 법적·기술적으로 훨씬 복잡한 문제가 됩니다.
Q. 앤트로픽이 법적으로 이를 막을 수 있지 않나요?
A. 이론적으로는 가능하지만 현실적으로 매우 어렵습니다. 증류 행위 자체를 적발하려면 누가 어떤 목적으로 대량 쿼리를 했는지 증명해야 하고, 해당 행위가 중국 암시장에서 일어날 경우 법적 관할권 문제가 생깁니다. 기술적 방어와 법적 대응을 동시에 진행해야 하는 구조입니다.
Q. 증류된 모델은 원본과 얼마나 비슷한가요?
A. 일반적인 대화나 코딩, 요약 같은 작업에서는 꽤 유사한 수준에 도달할 수 있습니다. 하지만 복잡한 추론, 미묘한 맥락 파악, 그리고 특히 안전 관련 판단에서는 원본보다 크게 떨어질 가능성이 높습니다. 10% 가격이 암시하듯, 완전한 복제가 아니라 '충분히 쓸 만한 수준'의 근사치입니다.
Q. 이 문제는 오픈소스 모델이 해결책이 될 수 있나요?
A. 메타의 라마처럼 처음부터 공개하면 증류 공격이라는 개념 자체가 무의미해집니다. 하지만 오픈소스 모델은 악의적 사용에 대한 방어막도 함께 제거됩니다. 개방과 안전 사이의 트레이드오프는 아직 업계에서 합의된 해답이 없는 질문입니다.
Top comments (0)