안녕하세요, 여러분! 일타 강사 저스틴입니다! 오늘은 새벽을 뒤흔든 충격적인 사건, 클로드 코드 소스 유출과 액시오스 해킹에 대해 아주 쉽고 재미있게 파헤쳐 볼 거예요! 💥 개발자라면 꼭 알아야 할 이야기, 지금부터 저스틴과 함께 시작해 볼까요?

지도 하나가 금고 문을 활짝 열어버렸다고요?

어려운 개념, 저스틴이 아주 쉽게 풀어드릴게요! 여러분이 게임을 만들거나 멋진 앱을 개발했다고 생각해 봐요. 이걸 다른 사람들이 함부로 베끼지 못하게 하려면 코드를 좀 숨기고 싶겠죠? 그래서 코드를 막 압축하고, 읽기 어렵게 바꿔서 배포하는 거예요. 마치 어려운 암호문처럼 말이죠! 🕵️‍♀️

그런데 이렇게 암호화된 코드에서 문제가 생기면, 어디서부터 잘못된 건지 찾기가 정말 힘들겠죠? 그래서 개발자들은 ‘지도’ 같은 걸 만들어요. 암호화된 코드의 어느 부분이 원래 코드의 어느 부분에 해당하는지 알려주는 지도! 이걸 바로 .map 파일이라고 불러요. 이 지도는 오로지 개발자들이 프로그램 오류를 고칠 때만 쓰는 아주 은밀한 파일이랍니다.

핵심은! 이 .map 파일 안에 원래 코드의 모든 내용이 고스란히 담겨 있었다는 거예요! 앤스로픽이라는 회사가 클로드 코드 프로그램을 배포하면서, 이 지도를 공개 저장소(npm)에 실수로 올려버린 거죠. 마치 은행이 금고 문을 열어둔 채 퇴근했는데, 금고 안 지도가 금고 설계도를 통째로 보여준 격이랄까요? 이 실수 하나로 무려 51만 줄이 넘는 클로드 코드의 설계도가 전 세계로 유출된 바로 이거예요!

설상가상! 문이 열린 날, 도둑까지 들었다고요?

여러분, 나쁜 일은 꼭 같이 온다고 하죠? 클로드 코드 유출 사건이 터진 바로 그날, 또 다른 엄청난 사고가 동시에 일어났어요. 개발자들이 인터넷으로 정보를 주고받을 때 쓰는 아주 중요한 도구인 ‘액시오스(Axios)’가 해킹당한 거예요! 😱

액시오스는 전 세계에서 매주 8천만 번 이상 다운로드될 만큼 널리 쓰이는 프로그램인데, 이 도구를 관리하는 사람의 계정이 도둑맞은 거죠. 공격자들은 몰래 ‘RAT(원격 접근 트로이목마)’이라는 악성 프로그램을 심은 액시오스 버전을 올렸어요. RAT는 쉽게 말해, 여러분 컴퓨터를 마치 자기 컴퓨터처럼 원격으로 조종할 수 있게 해주는 ‘유령 손님’ 같은 악성 코드예요.

더 소름 끼치는 건, 클로드 코드가 액시오스를 작동하는 데 필요한 ‘부품’으로 사용하고 있었다는 거예요. 즉, 그 짧은 시간 안에 클로드 코드를 설치하거나 업데이트한 개발자라면, 뜻밖의 코드 유출과 액시오스 해킹이라는 두 가지 위험에 동시에 노출되었을 수도 있다는 거죠. 😱

여러분, 혹시 개발자라면 지금 당장 해야 할 일이 있어요! 여러분의 프로젝트 파일(package-lock.json 또는 yarn.lock)을 열어 ‘axios 1.14.1, 0.30.4’나 ‘plain-crypto-js’라는 항목이 있는지 확인해야 해요. 만약 발견된다면, 그 컴퓨터는 감염된 것으로 보고 모든 비밀번호와 API 키(서비스 접속용 암호)를 즉시 바꿔야 할 거예요! 🚨

유출된 설계도에는 무엇이 들어있었을까요?

클로드 코드의 설계도가 공개되자 전 세계 개발자들이 깜짝 놀랐어요. 겉으로는 AI와 대화하며 코드를 짜는 단순한 도구처럼 보였지만, 안을 들여다보니 엄청나게 정교한 시스템이었거든요! 😲

40개가 넘는 다양한 도구 시스템, 여러 AI가 역할을 나눠 팀워크로 작업하는 ‘멀티에이전트 오케스트레이션(다중 AI 협업 구조)’ 등 최첨단 기술들이 모두 드러난 거죠. 마치 여러 명의 AI 요원이 각자 다른 임무를 맡아 하나의 목표를 향해 완벽하게 협력하는 모습이랄까요? 게다가 아직 세상에 공개되지 않은 미래 기능 44가지까지 모두 노출되었다고 해요. 출시도 전에 제품의 ‘미래 계획’이 통째로 공개된 셈이죠!

하지만 걱정 마세요! 이번에 유출된 건 클로드 코드라는 ‘도구의 설계도’일 뿐, AI의 핵심 기술인 ‘모델 가중치(AI가 학습한 내용의 집약체)’나 고객들의 민감한 데이터는 포함되지 않았다고 앤스로픽은 밝혔어요. 그래도 경쟁사들은 이 설계도를 보고 클로드 코드를 비슷하게, 아니면 더 좋게 만들 수 있는 엄청난 정보를 얻은 셈이죠!

이건 단순히 ‘운 나쁜 하루’가 아니었어요!

여러분, 이 모든 사건을 그냥 ‘에이, 재수 없었네!’ 하고 넘어가고 싶을 수도 있을 거예요. 사람이 하는 일인데 실수할 수도 있고, 해킹은 언제든 일어날 수 있는 일이니까요.

하지만 저스틴은 그렇게 생각하지 않아요. 왜냐고요? 포인트! 앤스로픽은 이미 2025년 2월에도 똑같은 방식으로 .map 파일을 유출하는 실수를 저질렀었거든요! 같은 파일, 같은 방식, 같은 실수… 한 번이 아니라 두 번이나 일어난 일이라는 게 이 사건을 더 심각하게 만들어요. 보안은 한 번의 실수로도 큰 피해를 입을 수 있다는 것을 다시 한번 깨닫게 되는 거예요.

오늘의 정리

첫째, .map 파일은 단순한 지도가 아니라 원본 코드를 통째로 담고 있을 수 있으니, 외부에 절대 노출되면 안 되는 아주 위험한 파일이라는 것을 알게 됐죠. 둘째, ‘공급망 공격’은 널리 사용되는 외부 도구(액시오스처럼)를 해킹하여 여러 프로그램에 악성 코드를 퍼뜨리는 무서운 공격 방식이라는 것을 기억해야 할 거예요. 셋째, 보안은 작은 ‘사람의 실수’에서도 시작될 수 있으며, 한 번 유출된 정보는 인터넷에서 영원히 사라지지 않는다는 점을 명심해야 합니다!

[실천 과제] 오늘 당장 해볼 수 있는 것: 여러분이 사용하는 소프트웨어 패키지 버전이 안전한지 주기적으로 확인하고, 공식적이고 신뢰할 수 있는 설치 경로만 이용하는 습관을 들이는 거예요! 그리고 모든 계정의 비밀번호는 복잡하게 만들고 자주 바꿔주는 건 기본 중의 기본이겠죠?