Anthropic 「Fable 5 / Mythos 5」 전면 중단 사건이 시사하는 점

2026년 6월 12일(일본 시간 6월 13일), 미국 정부의 서한 한 통이 세계 최강급 AI 모델을 하룻밤 사이에 오프라인 상태로 만들었다. 본고는 무엇이 일어났는지, 왜 전면 중단에 이르렀는지, 이용자에게 어떤 영향을 미쳤는지, 앞으로 어떻게 변할 수 있는지, 그리고 우리는 무엇을 대비해야 하는지를 1차 자료(Primary Source)를 중심으로 정리한 기록이다.

클라우드 AI를 사용할 수 없게 되는 상황에는 이미 익숙하다. 레이트 리미트(Rate Limit), 유지보수(Maintenance), 리전 장애(Region Failure). 하지만 2026년 6월 12일에 일어난 일은 그중 어느 것과도 달랐다.

Anthropic의 최상위 모델인 「Claude Fable 5」 및 「Claude Mythos 5」를 전 세계에서 사용할 수 없게 된 이유는 기술적인 결함도, 상업적인 판단도 아니다. 미국 정부가 국가 안보를 이유로 외국인에 의한 접근을 금지하는 수출 관리 명령(Export Control Directive)을 발령했기 때문이다. 그리고 그 부작용으로 미국 시민을 포함한 모든 이용자가 접근 권한을 잃었다.

이 사건이 중요한 이유는 결과의 화려함이 아니라 구조의 새로움에 있다. 지금까지 미국의 기술 패권 도구는 '반도체'라는 물리적인 물건이었다. 이번에 규제의 칼날은 처음으로 클라우드 상에서 구동되는 완성된 AI 모델에 대한 접근권이라는 무형의 대상을 향했다. 본고에서는 이 사건을 시계열, 기술, 법, 지정학의 네 가지 층위로 나누어 깊이 있게 파헤친다.

참고로 필자는 평소 로컬 LLM(Local LLM)과 에이전트 기반(Agent Infrastructure)을 직접 구축하는 사람이다. 그렇기에 "클라우드의 최강 모델은 정치적 판단에 의해 하룻밤 사이에 빼앗길 수 있다"라는 이번 교훈은 남의 일이 아니었다. 마지막에는 그 관점에서의 "대비책"도 기술한다.

사건의 기점은 중단 3일 전으로 거슬러 올라간다. Fable 5와 Mythos 5는 2026년 6월 9일에 일반 제공이 시작되었다. 두 모델은 모두 미공개 프론티어 모델(Frontier Model)인 「Claude Mythos Preview」에서 유래했다. Mythos Preview는 보안 버그나 결함을 발견하는 데 특화된 고도의 모델로, 당초 「Project Glasswing」이라는 프레임워크를 통해 소수의 기업 및 연구 파트너에게만 한정 제공되었다.

여기서 중요한 것이 Fable 5와 Mythos 5의 관계다. 양자는 동일한 기반 모델(Foundation Model)을 공유하고 있으며, 뉴럴 네트워크(Neural Network)의 가중치(Weight)나 근본적인 능력에는 차이가 없다. 두 모델을 가르는 것은 모델의 전단에 배치된 「세이프가드(Safeguard, 안전 분류기)」의 유무뿐이다. Mythos 5는 세이프가드를 해제한 강력한 버전으로 Project Glasswing 참가자 한정, Fable 5는 세이프가드를 갖춘 일반 공개 버전이라는 식으로 구분되어 있었다.

Anthropic의 공식 성명에 따르면, 동사가 명령을 받은 시점은 미국 동부 시간 6월 12일 오후 5시 21분 ── 일본 시간으로는 6월 13일 오전 6시 21분이었다. 일본 독자들에게는 이른 아침에 명령이 전달되고, 아침(일본 시간 9시 50분경)에 중단이 발표되어, 출근할 때쯤 최상위 모델이 사라져 있었다는 시계열이 된다.

발신 주체에 대해서는 한 가지 유보가 필요하다. 보도가 갈리고 있다. Reuters, NBC, Bloomberg 계열은 미 상무부(장관 Howard Lutnick가 CEO Dario Amodei에게 서한을 보냈다)라고 보도하는 반면, Axios는 금요일 저녁 백악관이 Anthropic에 서한을 보냈다고 보도했다. Anthropic 자신의 성명은 발신 주체를 단순히 「미국 정부(US government)」라고만 기재하고 있다. 이 두 가지는 모순이라기보다, 백악관 주도 및 상무부 권한 행사라는 실무 구도를 서로 다른 각도에서 포착했을 가능성이 있으나, 정식 발신 명의는 본고 집필 시점에서 확정되지 않았다. 이하에서는 보도의 다수설을 따라 상무부를 주체로 기술하되, 이러한 불확정성을 염두에 두길 바란다.

명령의 내용은 다음과 같았다. 미국 정부는 국가 안보 당국을 근거로, 미국 내외를 불문하고 모든 외국인(Foreign National) ── Anthropic의 외국 국적 직원조차 포함 ── 에 의한 Fable 5와 Mythos 5에 대한 접근을 중단하는 수출 관리 명령을 발령했다. 서한에는 국가 안보상의 우려에 대한 구체적인 상세 내용은 기재되지 않았다.

Anthropic의 이해로는, 정부가 Fable 5의 세이프가드를 회피하는 「제일브레이크(Jailbreak, 탈옥)」 수법을 파악하고 있다고 생각한다. 하지만 그 근거로서 정부가 제시한 것은 구두 증거뿐이었다.

지시를 받은 Anthropic의 대응은 선택적 차단이 아닌 전면 중단이었다. 동사는 "컴플라이언스 (Compliance)를 확보하기 위해, 모든 고객에 대해 Fable 5와 Mythos 5를 즉시 무효화할 수밖에 없다. 다른 Anthropic 모델에 대한 액세스는 영향을 받지 않는다"라고 표명했다.

클라우드를 통한 액세스도 차단되었다. AWS는 금요일 심야, Anthropic으로부터 모든 리전의 모든 사용자를 대상으로 모델 액세스를 취소해 달라는 요청을 받았다고 발표했다.

일본 시간으로 따지면, 제공 중단 발표는 2026년 6월 13일 오전 9시 50분경이었다. 일본 사용자 입장에서는 아침까지 사용하던 최상위 모델이 출근 전후로 홀연히 사라진 격이 되었다.

주목해야 할 점은 Anthropic이 지시에 따르면서도, 그 근거에 공개적으로 이의를 제기했다는 점이다. 동사는 "이는 오해라고 생각하며, 가능한 한 빨리 액세스를 복구하기 위해 노력하고 있다"라고 하며 이용자에게 사과했다. 나아가 "극히 적은 잠재적 탈옥 (Jailbreak) 사례가 발견되었을 뿐인데, 수억 명에게 전개된 상용 모델을 회수해야 한다는 주장에는 동의할 수 없다. 이 기준이 업계 전체에 적용된다면, 모든 프론티어 모델 (Frontier Model) 제공자의 신규 모델 전개가 사실상 중단될 것이다"라고 강력히 반박했다.

법적 지시에는 따르되, 논리에는 동의하지 않는다 ── 이 이례적인 이중 대응이 사건의 성격을 말해주고 있다.

정부가 이토록 강경한 수단을 동원한 배경을 이해하려면, Mythos 클래스의 모델이 무엇을 할 수 있는지 알 필요가 있다.

Mythos 5의 전신인 Mythos Preview는 2026년 4월, Project Glasswing의 틀 안에서 시험 투입되었다. 그 성과는 업계에 충격을 주었다. Mythos Preview는 1,000개 이상의 오픈 소스 (Open Source) 프로젝트를 스캔하여, 전체 심각도를 합쳐 2만 3,019건의 후보를 검출했다. 그중 고위험·치명적 심각도의 것은 수천 건에 달했다.

상징적이었던 것은 오랜 기간 인간이 놓쳐온 버그의 발견이다. OpenBSD의 TCP SACK 구현에 잠재되어 있던 27년 된 취약성 (공격자가 TCP 연결을 시작하는 것만으로 디바이스를 원격 크래시 시킬 수 있는 것), 멀티미디어 프레임워크 FFmpeg의 16년 된 결함, 그리고 메모리 안전하다고 여겨졌던 가상 머신 모니터에서의 메모리 파괴 취약성. 수백만 번의 퍼징 (Fuzzing)을 뚫고 지나온 버그를 AI가 파헤쳐낸 것이다.

다만, 여기에는 냉정한 유보도 필요하다. 발견 속도에 수정 (Patch) 속도가 전혀 따라가지 못하고 있다. 보고에 따르면, 메인테이너 (Maintainer)에게 공개된 취약성 중 패치가 적용된 것은 극히 일부에 불과하며, 오픈 소스의 유지보수 체계가 처리 능력의 한계에 도달했다는 구조적 문제가 드러났다. "취약성을 찾는 것"에서 "수정하는 것"으로 병목 현상 (Bottleneck)이 옮겨갔다는 뜻이다.

Mythos 클래스의 진정한 위협은 단일 버그의 발견이 아니라, 여러 취약성을 연결하여 실용적인 공격을 성립시키는 "익스플로잇 체인 (Exploit Chain)" 구축 능력에 있다고 여겨진다. Cloudflare는 Project Glasswing의 일환으로 자사의 50개 이상의 리포지토리 (Repository)에 Mythos Preview를 적용하여 테스트했다. 그 보고서는 Mythos가 단순히 버그를 찾는 데 그치지 않고, 그것을 발판 삼아 시스템의 제어권을 탈취하는 단계까지 자율적으로 구성하는 능력을 보여주었다고 전하고 있다.

이러한 능력이 적대적 행위자 (Adversarial Actor)의 손에 들어간다면, 레거시 (Legacy) 중요 인프라 ── 전력망, 금융 시스템, 통신 ── 가 위기에 처할 수 있다. 정부가 Mythos 클래스를 "수출 규제해야 할 기술"로 간주한 논리의 출발점은 바로 여기에 있다.

Anthropic도 이 능력을 일반 공개 (Fable 5)함에 있어 중후한 방어책을 마련해 두었다. Fable 5에는 모든 요청에 대해 자동 안전 점검이 실행되는 메커니즘이 도입되어 있었다. 점검 대상은 최신 메시지뿐만 아니라 과거의 메모리, 커넥터로부터의 콘텐츠, 웹 검색 결과, 첨부 파일과 같은 컨텍스트 (Context) 전체에 미친다.

고위험 영역 ── 공격적 사이버 보안, 생물·화학, 모델의 내부 사고 추출, 프론티어 LLM 개발 태스크 ── 에 해당하는 요청이 감지되면, Fable 5는 답변을 거부하고 자동으로 더 능력이 낮은 (=안전한) Claude Opus 4.8로 처리를 넘긴다 (Fallback). Anthropic에 따르면, 95% 이상의 세션에서는 폴백 (Fallback)이 전혀 발동되지 않으며, 그 경우 Fable 5는 제한이 없는 Mythos 5와 실질적으로 동등한 성능을 발휘하도록 설계되었다.

즉, 이는 모델 본체에 검열을 거는 것이 아니라, 모델의 입구에 '문지기(Gatekeeper)'를 배치하여 위험한 쿼리(Query)만을 약한 모델로 우회시키는 사상이다. 문제는 그 문지기가 뚫렸을 때 어떤 일이 벌어지는가였다.

사건의 직접적인 도화선은 Fable 5의 세이프가드(Safeguard)가 돌파되었다는 일련의 보고들이다. 하지만 이 부분이야말로 '주장'과 '확인된 사실'을 신중하게 구분해야 하는 영역이다.

보도에 따르면, Amazon의 연구자 팀이 정교한 프롬프트 엔지니어링 (Prompt Engineering)을 사용하여 Fable 5의 안전 분류기 (Safety Classifier)를 통과시켰으며, 본래 Opus 4.8로 폴백 (Fallback)되어야 할 사이버 보안 관련 쿼리를 코어 모델 (Core Model)이 직접 처리하게 하여 소수의 소프트웨어 취약점에 관한 정보를 끌어냈다고 한다. 여러 보도는 이 Amazon의 실증이 정부의 경계심을 높였고, 수출 관리 명령으로 이어졌다고 전하고 있다.

또 다른 등장인물은 AI의 취약점 탐색으로 알려진 레드티머 (Red Teamer) Pliny the Liberator(온라인 닉네임)이다. 그는 공개 후 약 24~72시간 이내에 '협력적 멀티 에이전트 공격 (Collaborative Multi-agent Attack)'을 통해 Fable 5의 안전 계층을 돌파했다고 주장했다. 방법론으로 언급된 것은 외형이 유사한 유니코드 문자 (Homoglyph)를 이용한 금지어 회피, 유해한 요청을 무해한 작은 단계로 분할하는 수법, 학술적·픽션적 문맥을 이용한 위장, 긴 문맥 (Long Context)의 참조 추적 등이다. 그는 "여러 에이전트가 무리를 지어 사냥하듯 반복해서 시도했다"라고 밝혔다.

나아가 그는 Fable 5의 시스템 프롬프트 (System Prompt, 약 12만 자)를 추출하여 GitHub의 공개 리포지토리 (Public Repository, CL4R1T4S)에 업로드했다고 공표했다. 이 게시물은 며칠 만에 70만 뷰를 넘어섰다.

여기서 결정적으로 중요한 것은, Anthropic이 이것들을 '진정한 탈옥 (True Jailbreak)'이라고 인정하지 않고 있다는 점이다. 동사의 홍보 담당자는 SecurityWeek에 Pliny의 게시물이 Fable 5 안전 시스템의 탈옥을 보여주는 것은 아니라고 말했다. Anthropic의 정의에 따르면, 진정한 탈옥이란 핵심적인 세이프가드를 회피하여 고도의 사이버 공격이나 생물학적 위협과 같은 고위험 영역에서 실질적인 지원을 제공할 수 있는 것을 의미한다.

Anthropic의 시스템 카드 (System Card)에 따르면, 공개 전 버그 바운티 (Bug Bounty)에서는 6월 5일 기준으로 약 10만 회의 시도가 있었으나, 범용적인 탈옥은 0건이었으며 태스크 특화형 (Task-specific) 사례가 2건 확인된 것에 그쳤다. 1,000시간 이상의 외부 테스트에서도 범용적인 탈옥은 발견되지 않았다고 한다.

유출되었다고 알려진 약 12만 자의 시스템 프롬프트에 대해서도 유보적인 태도가 필요하다. 이는 X와 GitHub에서 유포되고 있는 비공식적인 추출물이며, Anthropic은 이를 확인하지 않았고 외부의 누구도 그것이 완전하며 변조되지 않았는지 검증할 수 없다. 더욱 중요한 점은, 이 파일은 Claude.ai의 소비자용 채팅 UI를 위한 것이며, API 사용자에게는 기본적으로 시스템 프롬프트가 붙지 않는다는 점이다. API 상에서 모델을 사용하는 구현자에게 이 구분은 본질적이다. 유출의 충격도는 종종 과장되어 전달되지만, 기술적인 실체는 그보다 제한적이다.

정리하자면, 정부는 '탈옥의 존재'를 근거로 규제했다. Amazon 연구자와 Pliny는 '돌파에 성공했다'고 주장했다. Anthropic은 '보여진 것은 제한적이고 비범용적인 것이며, 다른 공개 모델(OpenAI의 GPT-5.5 포함)에서도 마찬가지로 가능하므로 Fable 5 특유의 위험은 아니다'라고 반박했다.

이 세 주체의 논리가 끝까지 맞물리지 않은 것이 사건을 장기화시키는 불씨가 되고 있다. 기사나 논의에서 이 사건을 다룰 때는 '탈옥이 확인된 사실'과 '탈옥이 주장된 단계'를 반드시 나누어 말해야 한다.

가장 큰 의문은, 외국인 금지 명령이 왜 미국 시민을 포함한 전 세계의 중단으로 이어졌는가 하는 점이다. Anthropic 스스로가 정부의 평가에 동의하지 않았음에도 불구하고 말이다.

이 점을 설명하는 열쇠로서 전문가와 커뮤니티가 꼽는 것은 미국 수출 관리 규정 (EAR)의 '간주 수출 (Deemed Export)'이라는 법리이다 (이는 Anthropic의 공식 성명에서 사용한 용어가 아니라, 제3자에 의한 법적 해석이라는 점에 주의해야 한다).

간주 수출 (Deemed Export)이란, 미국 내 시설·서버·사무실에서 이루어지더라도 관리 대상 기술이나 소프트웨어, 데이터를 외국인에게 공개하거나 접근하게 할 경우, 그것이 물리적으로 미국 영토 내에서 발생한 사건일지라도 해당 외국인의 모국으로 '수출'된 것으로 법적으로 간주하는 제도다. 이번 지시의 문구인 "미국 내외를 불문하고, 모든 외국인"은 캘리포니아 사무실에서 정규직으로 근무하는 Anthropic의 외국 국적 엔지니어조차 사정권에 넣고 있었다.

여기서 클라우드형 AI의 본질적인 약점이 드러난다. 매일 수천만 회의 세션을 처리하는 플랫폼에서, Anthropic은 접근이 발생하는 밀리초(ms)의 순간에 화면 너머 사용자의 국적을 정확히 판별할 수 있는 수단을 가지고 있지 않았다.

IP 주소를 통한 지리적 차단(Geoblocking)만으로는 불충분하다. 미국 시민인 척하며 VPN을 사용하는 해외 사용자도 있고, 미국 내에 거주하는 외국 국적의 유학생·노동자도 있다. 후자에게 접근을 허용하면 그 시점에 간주 수출이 성립되어 버린다. 본인 확인의 허술함 ── 이메일 주소만으로 등록할 수 있는 현재 AI 서비스의 구조 ── 가 국적 기반의 선택적 차단을 기술적으로 불가능하게 만들었다.

EAR(수출관리규정) 위반은 거액의 벌금뿐만 아니라 경영진의 형사 책임까지 수반될 수 있다. 특정 국적의 개인만을 네트워크 계층에서 완벽하게 분리하여 배제할 수 없는 이상, 법적 리스크를 회피할 유일한 합법적 선택지는 "전원을 중단하는 것"이었다.

즉, 미국 시민까지 접근 권한을 잃은 것은 Anthropic의 자발적인 항의 행동이 아니라, EAR의 엄격한 법리와 현재 AI 제공 인프라의 허술한 본인 확인이 충돌하여 발생한 불가피한 부산물이다. 이는 구조적인 문제이지, Anthropic의 선의나 악의의 문제가 아니다.

여기서 더 정밀한 논점을 추가해 두고 싶다. 사실 미국 상무부 산업안보국(BIS)의 이미 공표된 수출 관리 규칙은 AI 모델의 가중치(weights)의 수출·저장·훈련에는 관여하고 있는 한편, API를 통한 추론(Inference) 접근은 금지하지 않는다고 명시하고 있었다 (Part 748의 보충 규정). 즉 "호스트형 모델에 API로 추론 접근을 하는 것" 자체는 공표된 규칙상 원래 규제 대상이 아니었다.

그렇다면 이번 중단은 "이미 공표된 일반 규칙을 당연하게 집행했을 뿐"이라는 설명으로는 부족하다. 오히려 공표된 규칙을 넘어 특정 기업·특정 모델에 대해 개별적·즉시적으로 발동된 행정 명령이었다고 보는 것이 정합적이다. 간주 수출의 법리는 배경 프레임워크로서 기능하고 있지만, 그것만으로는 이번 "호스트형 서비스에 대한 추론 접근의 전면 중단"이라는 전례 없는 사건을 다 설명할 수 없다. 이 부분이 본 건에서 법적으로 가장 새롭고, 가장 불투명한 부분이다.

그리고 결정적인 것은, 명령의 원본이 본고 작성 시점에서 공개되지 않았다는 점이다. Federal Register(연방 관보) 게재도, BIS의 공표문도 확인되지 않고 있다. 우리가 알고 있는 것은 Anthropic이 공표한 요지와 익명의 "정권 당국자"의 코멘트뿐이다. 서명자·문서 번호·법적 형식·유효 기간·구제 수단 ── 이 모든 것이 미확정 상태다. 단 한 통의 비공개 서신이 전 세계 시장을 멈춰 세웠다. 이러한 투명성의 결여야말로 Anthropic이 성명에서 "투명하고 공정한 법적 절차"를 요구한 이유이기도 하다.

이번 지시의 배경에는 트럼프 행정부와 Anthropic 사이에서 수개월 동안 이어져 온 AI의 군사 이용을 둘러싼 대립이 있다. 사건을 이해하기 위해 이 경위를 짚어둘 필요가 있다.

시계열을 정확히 파악해 두어야 한다(이 부분은 혼동되기 쉽다). 발단은 이번 사건의 몇 달 전인 2026년 2월이다. Anthropic은 미국 국방부 등에 자사 모델을 국내 대규모 감시나 완전 자율형 무기에 사용하는 것을 거부했으며, AI 벤더 계약에 "모든 합법적 목적의 사용"을 허용하는 조항을 받아들이기를 거부했다. Anthropic은 자율 무기나 대규모 국내 감시로의 이용을 계약에서 제외한다는 보장을 요구했다.

이에 트럼프 대통령이 반응했다. 그는 Truth Social을 통해 "모든 연방 기관에 Anthropic 기술의 사용을 즉시 중단하도록 지시한다. 우리에게는 필요 없다"라고 게시했다. 피트 헤그세스(Pete Hegseth) 국방장관은 Anthropic을 "국가 안보에 대한 공급망 리스크"로 지정하겠다고 표명했다. 이는 통상 외국 적대 세력에 대해 사용되는 조치로, 군 계약업자가 Anthropic과 거래하는 것을 금지하는 것이다. Anthropic은 이 지정에 대해 연방법원에서 다투고 있다.

여기서 대조를 이루는 것이 경쟁사인 OpenAI의 움직임이다. 2월, 트럼프 행정부가 Anthropic을 블랙리스트에 올린 지 불과 몇 시간 후, OpenAI의 샘 알트만(Sam Altman)은 국방부의 기밀 네트워크에서 자사 모델을 사용하는 계약을 "세이프가드(safeguard)가 포함된 상태"로 체결했다고 발표했다. 알트만 스스로도 Anthropic이 블랙리스트에 지정된 직후라는 타이밍에 대해 "기회주의적이고 부주의해 보였다"고 인정했다. 아모데이(Amodei)는 이에 대해 OpenAI의 주장 중 일부를 "20%는 진실이고 80%는 안전을 위한 연출이다"라며 통렬히 비판했다.

그리고 이번 Fable 5/Mythos 5 명령 직후, 국방부 최고정보책임자(CIO) 카스텐 데이비스(Karsten Davis)는 X를 통해 국방부의 행동을 옹호하며 암묵적으로 Anthropic을 비판했다. "수익 사이클, 클릭베이트(clickbait), IPO 전 기업 가치보다 단순히 더 중요한 것이 있다. 아메리카 퍼스트(America First). 언제나 그렇다."

이 타이밍 또한 간과할 수 없다. Anthropic은 6월 1일에 미국에서의 IPO를 위한 서류를 비밀리에 제출한 직후였다. 트럼프 행정부 하에서 AI 행동 계획 초안 작성에 관여했던 딘 볼(Dean Ball) 전 보좌관이 지적했듯이, 이 일련의 조치는 순수한 사이버 취약성에 대한 우려를 넘어, 국가 안보 정책에 종속되지 않는 AI 기업에 대한 정치적 압력이라는 측면을 강하게 띠고 있다.

다만 공정성을 기하자면, 볼은 다른 해석도 제시하고 있다. AI의 실존적 위험을 우려하는 사람들 ── 혹은 Anthropic 내부의 안전 지향적인 직원들조차 ── 이 AI 개발을 감속시키는 효과를 가질 수 있는 이 결정을 내심 환영할지도 모른다고 말이다. 즉, 이 사건은 "정치적 보복"이라는 일면적인 이야기로만 환원할 수 없는 복잡성을 가지고 있다.

지정학적 배경으로서 한 가지 더 언급하고 싶은 것은, 본 사건이 발생하기 불과 10일 전인 2026년 6월 2일에 트럼프가 서명한 대통령령 「Promoting Advanced Artificial Intelligence Innovation and Security」와의 관계이다.

이 대통령령은 프런티어 모델(frontier model)의 안전한 전개를 위한 프레임워크를 정하고, 개발자가 정부에 공개 전 최대 30일간의 조기 액세스를 "자발적으로(voluntarily)" 제공하는 메커니즘을 만드는 것이었다. 여러 법률 사무소의 분석이 일치되게 지적하는 점은, 이 명령이 **"강제적인 라이선스, 사전 허가, 사전 심사 요건을 창설하는 것이 아님"**을 명시했다는 점이다. 명령문 자체에도 "어떠한 당사자에 대해서도 법적으로 강제 가능한 권리나 이익을 창설하지 않는다"라고 적혀 있다.

그런데, 이 "자발적 프레임워크 및 강제 허가 없음"을 내세운 대통령령이 나온 지 10일 만에, 실제로는 단일 기업의 단일 모델 계열에 대해 극히 강력한 사후적 전면 중단 조치가 내려졌다. 법 기술적으로는 "대통령령은 자발적 프레임워크를 만들지만, 기존의 ECRA/EAR 권한을 방해하지 않으므로 개별적인 중단은 가능하다"라고 해석할 여지가 없지는 않다. 하지만 정책 메시지로서는 명백히 일관성이 결여되어 있다. "강제하지 않겠다"고 공언한 직후, 가장 강력한 강제력을 행사한 것처럼 보이기 때문이다.

이러한 비일관성은 기업과 동맹국들에게 극도로 심각한 불확실성을 낳는다. 공표된 규칙이나 대통령령을 읽고 안심하고 있어도, 어느 날 비공개 서신 한 통으로 모든 것이 뒤집힐 수 있다는 ── 그러한 시그널을 시장에 보내버린 것이다. 본 건의 진짜 무서움은 중단 그 자체보다, 이 "규칙의 예측 가능성 붕괴"에 있을지도 모른다.

미국 정부의 독단으로 AI 소프트웨어에 대한 액세스가 직접 차단되었다는 사실은 각국에 충격을 주었다. 특히 반응이 극적이었던 곳은 인도이다.

Zoho의 창업자 슈리다르 벰부(Sridhar Vembu)는 X를 통해 반응했다. "이것은 크다. Mythos와 Fable에 대한 액세스가 미국 이외의 모든 이들에게 무효화되었다." 그는 기술을 "궁극의 병기"라고 부르며, "국가 주권도, 국가 안보도, 이제는 모두 기술과 결합되어 있다. 글로벌라이제이션(globalization)은 죽었다. 바라트(Bharat, 인도)는 스스로의 길을 찾아야 한다"라고 말했다.

Aarin Capital의 회장이자 (전 Infosys CFO인) T.V. 모한다스 파이(T.V. Mohandas Pai)는 모디 총리에게 "인도 AI 미션"의 출범과, 딥테크(deep tech) 및 AI를 위해 연간 5만 크로르 루피(약 60억 달러) 규모의 전용 기금을 확보할 것을 요구했다. 벤처 캐피털에서도 "소버린 AI(Sovereign AI)는 현실이다"라는 목소리가 나오고 있다.

인도가 민감하게 반응한 데에는 이유가 있다. 인도는 미국 외 지역에서 최대 규모의 Claude 사용자를 보유하고 있으며, IT 서비스를 기간 산업으로 삼고 있다. 하룻밤 사이에 업무 인프라가 차단될 수 있다는 사실은, 해외 벤더의 클라우드형 AI에 의존하는 것이 지정학적으로 얼마나 취약한 '단일 장애점(Single Point of Failure)'인지를 일깨워 주었다.

이러한 반응이 보여주는 것은, 고도화된 AI가 '편리한 소프트웨어 도구'에서 국가의 독립성을 좌우하는 '전략적 인프라(혹은 병기)'로 불가역적인 개념 변화를 일으켰다는 사실이다. 벤무(Vembu)의 "접근권을 소유권과 혼동하지 마라"라는 경구는 클라우드 AI 시대의 모든 이용자를 향한 질문이기도 하다.

이 사건을 기점으로 AI 업계, 규제, 글로벌 시장에는 다음과 같은 구조적 변화가 일어날 수 있다.

지금까지 생성형 AI는 이메일 주소만 있으면 실질적으로 국적을 숨긴 채 사용할 수 있었다. 하지만 '간주 수출(Deemed Export)'이 클라우드 AI 접근에 적용될 수 있음이 법 집행을 통해 확인된 이상, 프론티어 모델(Frontier Model)에 대한 접근에는 금융기관 수준, 혹은 그 이상의 KYC(본인 확인)가 필수적이 될 수 있다. 여권이나 영주권에 기반한 신분 검증이 백그라운드에서 실행되고, IP와 대조되는 '제로 트러스트(Zero Trust)'형 접근 관리가 업계 표준이 될 가능성이 있다.

도달하는 종착지는, 여권의 색깔에 따라 사용할 수 있는 AI의 성능이 결정되는 세계다. 이는 비유가 아니라, 이번 지시가 이미 "외국인은 최상위 모델을 사용할 수 없다"라는 현실을 일시적으로 만들어냈다.

기업의 IT 전략에도 패러다임 시프트가 필요하다. 지금까지 클라우드의 중단 리스크라고 하면 '서버 다운'이나 '벤더 파산'을 의미했다. 앞으로는 여기에 '정부의 긴급 명령에 의한 갑작스러운 벤더 제공 중단'이라는 새로운 카테고리를 추가해야만 한다. 완화책은 단일 클라우드 AI에 대한 의존을 피하고, 규제의 망 밖에 있는 오픈 소스 모델을 온프레미스(On-premise)에서 병행 가동하는 '멀티 벤더·멀티 모델 전략'이다.

Anthropic이 경고했듯이, 만약 이 기준이 업계 전체에 적용된다면 프론티어 모델의 신규 전개는 사실상 중단된다. 여기에 역설이 존재한다. 능력이 높은 모델일수록 규제 리스크로 인해 전개가 멈추기 쉽다는 비대칭성이다. 이는 '강력한 모델 단독의 가치 독점'이 기술적 진부화가 아닌 규제라는 외생 요인에 의해 끝날 수 있음을 의미한다. 최첨단을 달리는 것이 상업적 전개 측면에서는 오히려 병목 현상(Bottleneck)이 되는 국면이 생겨났다.

미국의 수출 규제가 반도체라는 물리적 병목에서 추론 API에 대한 접근이라는 무형의 디지털 자산으로 발을 들여놓은 것은 기술 패권사의 중대한 한 걸음이다. 하지만 클라우드 접근을 차단한다고 해서 위협이 사라지는 것은 아니다. 오히려 각국에 비용을 도외시해서라도 자국 데이터 센터에서 구동되는 '주권적 AI(Sovereign AI)' 개발을 서두르게 하는 강력한 동기를 부여했다. '국경 없는 열린 글로벌 AI'라는 이상은 끝나고, 지정학적 블록별로 AI 기반이 분단되는 'AI의 발칸화(Balkanization)'의 입구에 우리는 서 있다.

여기서부터는 필자 자신이 로컬 LLM과 에이전트 기반을 직접 구축하고 있는 입장에서, 실무적인 대비책을 기술하고자 한다.

가장 큰 교훈은 이것이다. 업무 크리티컬한 파이프라인을 특정 프론티어 모델에 의존시키면, 정부 지시와 같은 외생적 쇼크로 하룻밤 사이에 중단될 수 있다 ── 이번에 그것이 실증되었다. 대책은 모델을 교체 가능하게 만드는 추상화 레이어(Abstraction Layer)를 삽입하는 것이다. 애플리케이션의 로직을 특정 모델의 API에 직접 연결하지 않고, 프로바이더를 추상화해 두어야 한다.

구체적으로는 복수 프로바이더의 폴백(Fallback) 구성, 라우팅 계층(OpenRouter나 RouteLLM 같은 메커니즘)의 도입, 그리고 최후의 보루로서의 로컬 LLM 확보이다. 클라우드의 최강 모델은 정치적으로 박탈당할 수 있지만, 수중에 둔 가중치(Weights)는 박탈당하지 않는다. 이 '주권성(Sovereignty)'의 가치는 이번 사건으로 인해 단번에 상승했다. 필자가 Mac Studio에 로컬 모델을 두고 있는 이유 중 하나도 바로 이러한 종류의 독립성 확보에 있다.

일본 이용자는 정의상 '외국인(foreign national)'이다. 이번 지시의 사정거리 안에 우리는 직접 들어가 있었다. 향후 프론티어 모델에 대한 접근이 국적·지리에 따라 분단될 수 있다는 전제하에 기술 선정과 아키텍처 설계를 수행할 필요가 있다. "지금 쓸 수 있으니까 괜찮다"가 아니라, "언제 국적을 이유로 차단되어도 업무가 멈추지 않는 구성인가"를 물어야 한다.

KYC 강화 흐름은 본인 확인 데이터의 제출을 의미한다. 어떤 프로바이더에 어느 정도의 개인정보를 넘길 것인지, 제로 데이터 보유(Zero Data Retention, ZDR) 계약의 유무, 데이터 보유 기간 ── 이것들을 계약 수준에서 파악해 두는 것이 앞으로 더욱 중요해질 것이다.

제8장에서 「가중치(Weights)를 수중에 두는 것」의 가치에 대해 언급했다. 이번과 같은 사건이 발생하면, 필연적으로 실용적인 로컬 LLM (Local LLM)에 주목이 쏠리게 된다. 여기서는 그 현황을 기대와 한계라는 양면의 관점에서 솔직하게 정리해 두고자 한다.

2026년의 상황은 1~2년 전과는 완전히 달라졌다. 과거에는 본격적인 에이전틱 코딩 (Agentic Coding)이라고 하면 Claude나 GPT에 유료 결제를 하는 것이 정석이었고, 오픈 웨이트 (Open-weight) 모델은 「흥미로운 실험」의 범주를 벗어나지 못했다. 하지만 지금은 오픈 웨이트 LLM이 실제 기업의 엔지니어링 파이프라인 (Engineering Pipeline)에 통합되어 가동되고 있다.

「준 프론티어 (Semi-frontier)」라고 부를 수 있는 수준의 로컬/오픈 웨이트 모델로는 구체적으로 다음과 같은 이름들이 거론된다. DeepSeek V4 계열 (Pro / Flash 등. Flash는 active 13B 급의 MoE로 경쾌함이 특징), Step 3.7 Flash (StepFun의 비전 언어 모델. 총 198B의 스파스 MoE (Sparse MoE)로, 토큰당 약 11B를 활성화(activate), 256k 컨텍스트, 최대 400 토큰/초), Qwen3.6 계열 (특히 Qwen3.6-35B-A3B는 총 35B · active 3B의 MoE로, 로컬 운용의 실용적 선두주자로 자주 언급됨), Gemma 4 계열 (31B 등). 이 외에도 GLM-5.1, Kimi K2.6, MiniMax M3와 같은 선택지들도 에이전틱한 용도에서 급격히 존재감을 높이고 있다.

이들은 MoE (Mixture of Experts) 아키텍처를 통해 총 파라미터 수에 비해 추론 시의 active 파라미터가 작게 억제되어 있기 때문에, 동등한 품질의 밀집 (Dense) 70B 모델보다 훨씬 빠르다. 레이턴시 (Latency)를 결정하는 것은 총수가 아니라 active 파라미터라는 설계 사상이 성숙해진 것이다. 필자처럼 Mac Studio의 통합 메모리 (Unified Memory) 위에서 로컬 추론을 돌리는 환경에서는, 이 「active가 작은 MoE」의 혜택이 매우 크다. 예를 들어 Step 3.7 Flash는 128GB 이상의 통합 메모리를 갖춘 Mac Studio / MacBook Pro 또는 워크스테이션에서의 동작이 공식적으로 상정되어 있으며, 게다가 Hermes Agent를 비롯한 에이전트 플랫폼 상에서의 이용이 모델 카드 (Model Card)에 명기되어 있다. 수중에 있는 에이전트 기반에 그대로 올릴 수 있는 준 프론티어급 모델이 현실적으로 존재하는 단계에 도달했다.

다만, 프론티어 모델 (Frontier Model)과 실용적인 로컬 LLM 사이에는 아직 분명한 괴리가 있는 것도 사실이다. 이 부분을 과소평가하면, 막상 전환했을 때 큰 어려움을 겪게 될 것이다.