AI 통제, 과거 암호화 전쟁과 스파이웨어의 악몽을 재현할 것인가?
Published Jun 20, 2026
최근 백악관이 인공지능 기업 Anthropic에 강력한 AI 모델인 Fable과 Mythos의 해외 수출을 제한하라고 명령하면서, 전 세계 기술 업계는 물론 일반 사용자들에게도 파장이 일고 있습니다. 일주일이 넘도록 이 모델들이 중단되면서, 우리는 AI 기술의 미래와 그 통제 가능성에 대한 중대한 질문에 직면했습니다. 과연 정부의 이러한 통제 시도는 효과적일까요? 아니면 과거 암호화 기술과 스파이웨어의 역사처럼, 또 다른 실패로 귀결될까요?
미지의 영역: Anthropic AI 모델 수출 통제, 그 시작은?
이번 사태의 시작은 Anthropic이 자사의 사이버 보안 모델 Mythos를 “둠즈데이(Doomsday) 사이버 머신”으로까지 묘사하며, 인터넷에 대혼란을 일으킬 수 있는 잠재력 때문에 극도로 제한된 150여 개의 검증된 기업과 정부 기관에만 접근을 허용했던 것으로 거슬러 올라갑니다. 악당들이 유사한 역량을 갖추기 전에 방어자들이 소프트웨어를 보호할 수 있도록 돕는다는 것이 이 모델의 원래 목적이었죠.
그러나 백악관의 금지령을 촉발한 두 가지 사건이 보고되었습니다. 첫째, Anthropic이 한국의 한 통신사에 Mythos 접근권을 부여했는데, 미국 정부는 이 회사가 중국과 연관이 있을 수 있다고 의심하며 경계심을 드러냈습니다. (이 회사는 SK텔레콤으로 널리 알려져 있으며, 중국과의 연관성을 부인하고 있습니다.) 둘째, 아마존 CEO 앤디 재시(Andy Jassy)는 아마존 연구원들이 Fable 5의 안전장치를 우회하는 방법을 찾아냈다고 보고하며 행정부에 경고를 보냈습니다. Anthropic 측은 이를 ‘탈옥(jailbreak)‘이 아닌 “좁고 이미 패치된 문제”라고 반박했지만, 결과는 마찬가지였습니다. 미국 상무부는 수출 통제 지침을 발표했고, Anthropic은 통보를 받은 지 약 90분 만에 제품 접근을 제한해야 하는 초유의 사태를 맞이했습니다.
이러한 움직임은 강력한 AI 기술을 국가 안보 문제로 인식하고, 그 확산을 통제하려는 미국 정부의 첫 번째 실제 시험대라는 점에서 매우 중요합니다. 이것이 어떻게 해결되느냐에 따라 Anthropic뿐만 아니라 다른 AI 연구소들이 따라야 할 새로운 ‘규칙서’가 만들어질 수도 있다는 것이죠.
데자뷔? 암호화 전쟁과 스파이웨어의 실패한 역사
사실, 정부가 위험하다고 판단한 사이버 기술의 확산을 수출 통제로 막으려 했던 시도는 이번이 처음이 아닙니다. 지난 수십 년 동안 비슷한 시도가 있었고, 그 결과는 “기껏해야 미미한(middling at best)” 수준이었습니다. 오히려 통제하려던 기술이 더욱 빠르게 확산되거나 예상치 못한 형태로 발전하는 아이러니를 낳기도 했습니다.
암호화 기술 통제의 좌절: PGP와 ‘크립토 전쟁’
아마도 이 분야에서 가장 극적인 실패 사례는 1990년대 초중반의 암호화 기술 통제 시도일 겁니다. 당시 컴퓨터 과학자들은 인터넷을 통해 데이터를 안전하게 전송하기 위한 암호화 기술을 개발하고 있었습니다. 그중 하나가 필 짐머만(Phil Zimmermann)이 개발한 ‘프리티 굿 프라이버시(Pretty Good Privacy, PGP)‘였습니다. 이 소프트웨어는 데이터를 암호화하여 중간에 가로채더라도 사실상 해독 불가능하게 만들 수 있었죠.
미국 정부는 PGP를 위험한 무기로 간주했습니다. 정보 기관이 이메일을 감청하는 것을 막을 것이라고 우려했기 때문입니다. PGP 배포를 막기 위해 미국 세관국은 짐머만을 무기 수출 통제 위반 혐의로 형사 수사하기까지 했습니다. 하지만 짐머만은 이에 맞서 PGP의 소스 코드를 책으로 출판하며 ‘크립토 전쟁(Crypto Wars)‘의 불을 지폈습니다. 소스 코드는 아이디어이자 표현물로서, 출판물은 수정 헌법 1조(언론의 자유)의 보호를 받기에 수출 통제의 대상이 될 수 없다는 주장이었죠.
결국 짐머만은 수사가 종결되면서 결정적인 승리를 거두었고, 이는 수십억 명의 시그널(Signal)과 왓츠앱(WhatsApp) 사용자들이 사용하는 것과 같은 핵심적인 종단 간(end-to-end) 암호화 알고리즘의 길을 열었습니다. 정부의 통제 시도는 실패했고, 오히려 암호화 기술의 대중화를 촉진한 셈입니다.
스파이웨어 통제의 한계: 바세나르 협정의 허점
2010년대 초반에는 또 다른 형태의 사이버 기술, 즉 서방에서 만들어진 스파이웨어가 중동의 반체제 인사들을 상대로 사용되고 있다는 사실이 밝혀지면서 국제 사회에 큰 파장을 일으켰습니다. 이에 대응하여 여러 정부는 민간 및 군사 목적으로 모두 사용될 수 있는 ‘이중 용도(dual-use)’ 소프트웨어 및 기술의 수출을 제한하는 국제 조약인 ‘바세나르 협정(Wassenaar Arrangement)‘을 확장하기로 합의했습니다. 감시 및 해킹 소프트웨어를 이중 용도 기술로 분류하여 스파이웨어 제조업체들이 해외 판매를 위해 수출 허가를 받도록 강제하는 것이 목표였습니다.
하지만 바세나르 협정은 태생적으로 두 가지 약점을 안고 있었습니다. 첫째, 세계에서 가장 활발한 스파이웨어 제조업체들이 위치한 이스라엘을 포함하여 여러 국가가 이 협정에 가입하지 않았다는 점입니다. 둘째, 이 협정은 각 가입국이 자국의 재량에 따라 국내 기업에 적용하도록 되어 있습니다. 예를 들어, 한때 이탈리아 정부는 자국 내 최고의 스파이웨어 제조업체 중 하나인 ‘해킹 팀(Hacking Team)‘이 기자들과 인권 운동가들을 해킹하는 데 사용되는 스파이웨어를 억압적인 정부에 판매한 전력이 있음에도 불구하고 전 세계로 제품을 수출할 수 있도록 허가했습니다.
이후로도 유럽 내 다른 국가들은 이탈리아처럼 스파이웨어 제조업체들에 대해 느슨한 태도를 보여왔습니다. 수많은 스캔들에도 불구하고, 유럽은 스파이웨어 및 해킹 도구 제조업체들이 많음에도 불구하고 권위주의 정권에 대한 스파이웨어 수출을 억제하는 데 지속적으로 실패했습니다. 비평가들은 최근 27개 회원국 블록에서 스파이웨어 수출 문제를 해결하려는 노력이 “충분하지 않다”고 지적하고 있죠. 심지어 ‘인텔렉사(Intellexa)‘와 같은 제재 대상 스파이웨어 기업 컨소시엄은 수출 통제가 느슨한 국가로 단순히 사업장을 이전하기도 했습니다. 일부 스파이웨어 제조업체들은 사우디아라비아로 사업장을 옮기려 시도하기도 했습니다.
물론 일부 성공 사례도 있습니다. 독일 검찰의 다년간 조사 끝에 독일 기반의 스파이웨어 제조업체 ‘핀피셔(FinFisher)‘는 2022년 폐쇄되었습니다. 핀피셔는 터키 정부 비판자들의 휴대폰에 스파이웨어를 배포했다는 의혹을 받았었죠. 하지만 이러한 사례는 예외적이며, 전반적인 그림은 통제가 쉽지 않음을 보여줍니다.
왜 AI 통제도 실패할 가능성이 높을까? 필자의 분석
Anthropic의 사례는 겉보기에는 새로운 시도 같지만, 사실 과거 암호화 기술이나 스파이웨어 통제 시도와 놀랍도록 닮아 있습니다. 역사적으로 볼 때, 정부가 특정 기술의 확산을 막으려 했던 시도는 종종 그 기술의 본질적인 특성, 즉 국경을 초월하고 복제가 쉬운 ‘정보’의 형태를 띠는 디지털 기술 앞에서 좌절을 맛봤습니다. PGP 소스 코드가 책으로 출판되어 통제를 벗어났듯이, AI 모델 역시 결국에는 코드와 지식의 형태로 존재합니다.
이 부분에서 주목할 점은, ‘기술의 민주화’를 막으려는 시도가 오히려 ‘지하 경제’ 또는 ‘그림자 영역’에서의 기술 개발을 부추길 수 있다는 점입니다. 미국의 통제가 엄격해질수록, 통제에서 자유로운 다른 국가나 개인들이 유사한 역량을 개발하거나 통제된 기술을 우회하는 방법을 찾으려 할 가능성이 높습니다. Anthropic의 Mythos가 아무리 강력하고 위험하더라도, 이러한 정보 기술의 확산을 원천적으로 차단하는 것은 물리적인 장벽을 세우는 것보다 훨씬 어렵습니다.
개인적으로는, 이러한 수출 통제 시도가 일시적인 지연은 가져올 수 있을지언정, 궁극적인 AI 기술의 확산을 막기는 어려울 것이라고 생각합니다. 오히려 이는 합법적이고 투명한 연구 개발의 속도를 늦추고, 기술의 잠재적 이점을 충분히 활용하지 못하게 만들며, 미국 중심의 기술 헤게모니를 약화시킬 수도 있습니다. 세계 곳곳에서 AI 기술이 발전하고 있는 상황에서, 특정 국가의 통제는 그 효과가 제한적일 수밖에 없다는 것이죠. 스파이웨어 제조업체들이 느슨한 규제를 찾아 국경을 넘나들었듯이, AI 기술 역시 어떤 식으로든 ‘자유로운 길’을 찾아 나설 것입니다.
결국, Anthropic과 미국 행정부 사이의 이번 갈등이 어떻게 해결될지는 미지수입니다. 하지만 과거의 역사는 기술 확산에 대한 정부의 직접적인 통제가 얼마나 불완전한 도구인지를 명확히 보여줍니다. AI라는 강력한 신기술 앞에서 우리는 역사로부터 무엇을 배워야 할까요? 단순한 통제가 아닌, 국제적인 협력과 윤리적 가이드라인 마련을 통한 책임 있는 개발과 사용을 유도하는 것이 훨씬 현명한 접근 방식일 것입니다.
출처
- 원문 제목: Encryption, spyware, and now Mythos: History shows why cyber export control doesn’t work
- 출처: AI News & Artificial Intelligence | TechCrunch
- 원문 기사 보러가기
