【안전성 레벨 0】Higgsfield AI의 안전성 조사 리포트 ― 미국 법인의 표면에 숨겨진 「러시아권×중국×미국」 삼중 관할 리스크와 생체

카자흐스탄에서 출발하여 미국 법인을 가장한 동영상 생성 AI 플랫폼 Higgsfield. 백엔드(Back-end)에 ByteDance제 Seedance, 快手(Kuaishou)제 Kling, Alibaba제 Wan을 통합하였으며, 운영 거점은 카자흐스탄, CEO는 러시아 출신이다. 이용 약관은 영속적·취소 불가능한 라이선스를 요구한다. 생체 정보 노출도 10/10, 안전성 레벨 0(사용 불가)로 판정.

• 대상 AI 서비스: Higgsfield AI
• 공식 URL: https://higgsfield.ai/
• 안전성 레벨:
  0(사용 불가) - 후쿠로가쿠(厚黒学) 탐지: 15/21 항목(71%)
• 생체 정보 노출도: 10/10(최대)
• 지배국 명목국:
  복합(러시아권+중국)/미국(델라웨어)

Higgsfield AI는 표면적으로는 샌프란시스코에 거점을 둔 미국 법인(Higgsfield, Inc., 델라웨어 법인)으로서 운영되는 동영상 생성 AI 플랫폼이다. $1.3B 이상의 기업 가치를 지니며, Accel, Menlo Ventures, GFT Ventures 등의 미국계 VC(Venture Capital)로부터 투자를 받았고, Madonna, Will Smith 등의 유명 인사가 이용했다고 공언하는 성장 기업으로 인지되고 있다.

하지만 1차 자료를 정밀 조사한 결과, 다음과 같은 3가지 구조적 리스크가 동시에 내포되어 있음이 판명되었다.

첫째, 운영 실체는 미국이 아니다. 개인정보 처리방침(Privacy Policy) 제15.1항에서 운영 거점으로 카자흐스탄을 공식 보유하고 있으며, vendor/partner가 중국에 소재함을 명시하고 있다. CEO Alex Mashrabov는 러시아 체리야빈스크 출신으로 MIPT(모스크바 물리기술대학교) 졸업생이며, 공동 창업자 Erzat Dulat는 카자흐스탄인 ML(Machine Learning) 리서처로, 알마티에 R&D 거점을 둔 「카자흐스탄 첫 번째 유니콘」을 공식 아이덴티티로 삼고 있다.

둘째, 백엔드 AI 모델은 중국계 3사로 구성된다. 공식 통합 모델로서 ByteDance제 Seedance 2.0, 快手(Kuaishou)제 Kling 3.0, Alibaba제 Wan 2.7을 내장하고 있다. 사용자가 입력한 얼굴·목소리·동영상은 「외부 모델 호출」로서 중국계 AI 사업자 측으로 송신되는 구조를 가진다.

셋째, 이용 약관이 생체 정보의 영속적 착취를 가능하게 하는 조항을 가지고 있다. 이용 약관 제4.4항은 사용자가 업로드한 모든 콘텐츠와 프롬프트에 대해 영속적·취소 불가능·서브라이선스(Sub-license) 가능·전매 가능한 라이선스를 회사에 부여한다. 반면 제5.3항은 「생체 정보 업로드 금지」를 규정하고 있어, 동영상 생성 서비스로서의 본질과 구조적으로 모순되며 모든 책임을 사용자에게 전가한다.

법무 판정: 도입 불가 -
기술 판정: 위험 -
주요 리스크:

• 미국/러시아권(카자흐스탄)/중국의 삼중 법적 관할 리스크
• 중국계 AI 모델 3사를 경유한 데이터 국외 이전(중국 국가정보법 제7조 적용 가능성)
• 생체 정보 7개 축 중 5개 축 만점(얼굴·성문·몸짓·표정·신체 비율)의 집중 축적
• 이용 약관 제4.4항에 의한 영속적·취소 불가능한 라이선스
• 실존 인물 딥페이크(Deepfake)의 상시화(Madonna, Will Smith, Epstein 섬 사건 「Island Holiday」)
• CPP/Earn 프로그램을 통한 조직적 스텔스 마케팅(Stealth Marketing)

Higgsfield의 공식 설명에 따르면, 자체 개발 모델로서 Soul 2.0(이미지 생성), Soul Cinema, Higgsfield DOP(동영상 생성), Keyframes, Cinema Studio를 보유하고 있다. 나아가 Soul ID(캐릭터 일관성), Soul HEX(색상 제어)를 갖추고 있다.

더불어, 외부 통합 모델로서 다음을 공식적으로 공개하고 있다(Higgsfield 공식 AI Video 페이지).

Seedance 2.0(ByteDance제, 중국) -
Kling 3.0(快手제, 중국) -
Wan 2.7(Alibaba Tongyi Wanxiang제, 중국) -
Veo 3.1(Google, 미국)

• Sora 2(OpenAI, 미국)
• 기타

Reuters의 취재에 따르면, Higgsfield는 "reasoning engine"으로 여러 AI 시스템을 연결하여 동영상 일관성을 유지하는 설계이며, 자체 단독 기반 모델이라기보다 외부 모델 통합형 플랫폼으로서 기능하고 있다.

이용약관 제18.3항에서는 불가항력 (Force Majeure) 조항에 "unavailability of connected AI models, partner/API failures"(연결된 AI 모델의 이용 불가능, 파트너/API 장애)가 명시되어 있다. 이는 외부 모델 API에 대한 의존성을 회사 스스로 인정한 조항이다.

사용자가 얼굴 사진·동영상 소재·음성을 업로드할 경우, Higgsfield의 내부 처리만으로 완결되지 않고 선택된 모델에 따라 ByteDance/Kuaishou/Alibaba의 API 경로로 전송될 가능성을 배제할 수 없다. Higgsfield 측은 이러한 전송처를 「서브 프로세서 (sub-processor) 목록」으로서 일절 공개하지 않고 있다.

NVIDIA의 케이스 스터디(case study)에 따르면, Higgsfield는 Nebius AI cloud(네덜란드 법인, 유럽 거점 클라우드)를 포함한 NVIDIA Cloud Partners를 사용하여 Blackwell GPU로 학습을 진행하고 있다. 반면, 추론 인프라의 리전(region)·테넌트(tenant) 분리·운영 환경 접근 가능 국가 중 어느 것도 공식적으로 공개되지 않았다. SOC2·ISO27001 취득 여부 또한 비공개 상태이다.

이용약관 제4.4항은 다음과 같이 규정한다.

"you hereby grant to the Company a non‑exclusive, irrevocable, perpetual, worldwide, royalty‑free, fully paid, transferable, sublicensable right and license to use any Inputs and Outputs Made Available by you or otherwise generated in connection with your use of the Service at any point"

사용자가 업로드한 모든 입력값 (Input: 얼굴 사진·동영상·음성·프롬프트)과 출력값 (Output: 생성 동영상)에 대하여, 회사에 다음과 같은 권리를 부여한다.

• 비독점적 (non-exclusive)
• 취소 불가능 (irrevocable)
• 영구적 (perpetual)
• 전 세계적 (worldwide)
• 무상 (royalty-free, fully-paid)
• 양도 가능 (transferable)
• 서브라이선스 가능 (sublicensable)

이용 목적으로 「AI 모델·알고리즘의 학습·개발·개선·진화 (train, develop, enhance, evolve and improve its AI models, algorithms)", 「마케팅·프로모션 목적」이 명시되어 있다.

즉, 한 번 업로드한 얼굴 데이터는 영구히 Higgsfield 및 그 양수도 대상·서브라이선스 대상에서 이용 가능하게 된다. 회사가 인수되거나 사업 양도가 발생할 경우, 인수처(중화권 기업 포함)로의 데이터 이전도 계약상 가능해진다.

"You hereby provide your irrevocable consent to such monitoring. You acknowledge and agree that you have no expectation of privacy concerning the transmission of Your Content, including without limitation chat, text, or voice communications."

취소 불가능한 모니터링 동의이며, 채팅(chat)·텍스트(text)·음성 통신(voice communications)을 포함하여 프라이버시에 대한 기대권을 갖지 않는다는 점을 이용자에게 동의시킨다. 이는 미국 수정헌법 제4조(불합리한 수색·압수로부터의 보호)에 기반한 프라이버시권의 사전 포기와 다름없다.

"Your Content may not contain nudity, biometric data, violence, be sexually explicit, harmful, hateful, harassing, or offensive as determined by Company in its sole discretion."

동영상 생성·얼굴 생성·음성 지문 생성을 주요 기능으로 하는 서비스임에도 불구하고, 이용약관은 생체 정보 (biometric data)의 업로드를 명시적으로 금지하고 있다. 개인정보 처리방침 제13.2항 역시 마찬가지로, 생체 정보를 포함한 민감 정보의 제공 금지를 규정하고 있다.

하지만 개인정보 처리방침(Privacy Policy) 제1.1항의 끝부분은 다음과 같이 이어진다.

"귀하가 서비스를 이용할 때 그러한 민감한 개인정보를 당사에 제공하는 경우, 귀하는 본 개인정보 처리방침에 따라 당사가 해당 민감한 개인정보를 처리하고 사용하는 것에 동의하는 것으로 간주됩니다."

즉, 금지되어 있음에도 불구하고, 사용자가 생체 정보를 입력하는 순간 처리 동의로 간주된다는 것이다. 이는 영상 생성 서비스의 본질과 완전히 모순되는 조항이며, 모든 책임을 사용자에게 전가하는 파렴치한 구조이다(NK001 항목 12).

제11항은 사용자에게 수출 관리법, 제재법, 데이터 보호법 위반을 포함한 포괄적인 보상 의무를 부과한다. 제13.2항에서는 회사의 배상 책임 상한을 "지난 3개월간의 결제 금액 또는 $100 중 더 큰 금액"으로 설정하고 있다.

즉, Higgsfield 측의 과실로 얼굴 데이터가 유출되거나 제3자에게 재판매되더라도 사용자가 받을 수 있는 배상액은 최대 $100 상당에 불과하다.

또한 캘리포니아주에서의 개별 중재를 강제하며, 집단 소송 및 배심원 재판 권리를 포기하게 한다. Section 18.7은 캘리포니아주 산마테오(San Mateo) 카운티를 전속 관할로 규정하고 있다. 일본 이용자가 소송을 제기하는 것은 사실상 불가능하다.

CEO Mashrabov 본인이 팟캐스트 PMF Show에서 밝힌 경력은 다음과 같다.

"저는 Chelyabinsk라는 도시에서 자랐습니다. 러시아에 있는 도시이지만 카자흐스탄과의 접경 지역에 있으며, 아버지는 우즈베키스탄 출신입니다."

• 출신: 러시아 체랴빈스크(Chelyabinsk)시 (우랄 연방관구)
• 부친: 우즈베키스탄 출신
• 교육: MIPT (모스크바 물리기술대학교)
• 전직: AI Factory 공동 창업자 → Snap Inc. (2020년 인수, Generative AI 책임자)
• 2023년 9월: Snap 퇴사 → Higgsfield 창업

MIPT는 러시아 국방 산업 및 KGB/FSB 계열 연구 기관의 전통적인 인재 공급원으로 알려진 공과대학교이다. Revolut 창업자 Nikolay Storonsky, ABBYY 창업자 David Yan도 MIPT 출신이다. Mashrabov 본인도 인터뷰에서 "MIPT의 기업가 정신을 계승했다"라고 언급한 바 있다.

공동 창업자 Yerzat (Erzat) Dulat는 카자흐스탄인 ML(머신러닝) 리서처이며, Higgsfield는 "카자흐스탄 최초의 유니콘"으로서 Astana Times, Kursiv 등 카자흐스탄계 매체에서 대대적으로 다뤄지고 있다.

Sacra의 인터뷰에서 Mashrabov 본인은 "Almaty, Kazakhstan office"(알마티 사무소)를 전략적 거점으로 보유하고 있음을 명시했다. 그는 "카자흐스탄에는 10개 이상의 컨슈머 대상 유니콘 기업이 있으며, 해당 지역의 인재 풀에 깊은 감사를 느낀다"라고 밝혔다.

카자흐스탄은 다음과 같은 집단 안보 및 경제 통합 체제에 가입되어 있다.

집단안보조약기구 (CSTO) ― 러시아 주도의 군사 동맹
유라시아 경제 연합 (EAEU) ― 러시아 주도의 경제 통합체
상하이 협력 기구 (SCO) ― 중국과 러시아 주도의 안보 협력 프레임워크

카자흐스탄 국내법에는 개인정보 보호법(2013년 제정, 2021년 개정)이 존재하지만, 러시아 및 FSB와의 CSTO 권역 내 데이터 공유 프로토콜이 사실상 존재하며, 러시아의 야로바야 법(Yarovaya Law, 2016년 통신 감청법)과 유사한 데이터 강제 저장 요건도 국내법에 포함되어 있다.

즉, 미국 법인으로 홍보되는 Higgsfield의 실질적인 R&D 거점(알마티)에서 처리되는 데이터에는 러시아 권역의 법적 관할권이 사실상 미친다.

"당사는 미국에 본사를 두고 있으며 다른 국가에서 운영되는 서비스 제공업체를 사용할 수 있습니다. ... 또한 영국과 카자흐스탄에 거점을 두고 있으며, 미국, EU, 영국, 중국을 포함하여 전 세계에 벤더 및 파트너를 두고 있습니다."

회사 스스로가 운영 거점으로서 카자흐스탄을 보유하고 있으며, vendor/partner가 중국에 소재하고 있음을 공식적으로 인정하고 있다. 일본 사용자가 입력한 생체 정보는 이 모든 국가 및 지역에서 처리될 가능성이 있다.

층	국가·지역	적용 법령	리스크 내용
표층	미국	CLOUD 법, FISA, OFAC 제재	NSA 감시, 역외 데이터 요구
...

NK005의 최악값 원칙(Worst-case Principle)에 따라, 상기 3가지 중 가장 엄격한 중국 관할 리스크가 적용된다. 중화인민공화국 국가정보법(2017년 제정) 제7조는 중국의 관할이 미치는 모든 주체에 국가 정보 활동에 대한 협력 의무를 부과하며, 거부권은 사실상 존재하지 않는다. Seedance(ByteDance)·Kling(Kuaishou)·Wan(Alibaba)은 모두 중국 본토 법인이며, 이들 API로 전송된 데이터는 모두 해당 조항의 대상이 된다.

검출 항목 수: 15/21(71%) ― 후쿠로가쿠(厚黒学, 음험한 수법)적 리스크 높음 (NK001 판정 기준에서는 9개 항목 이상일 때 「높음」)

마케팅·선전의 기만(3/5 검출)

• 1. 과장된 캐치프레이즈 ― "killed the AI video industry" 등의 CPP를 통한 확산
• 2. 도입 실적의 과장 ― Madonna·Will Smith·Travis Scott 등을 고객으로 과시하나, 이용 형태(본인 공식 이용인지, 제3자에 의한 딥페이크(Deepfake) 생성인지)를 모호하게 처리
• 3. 성공 사례의 검증 불가능성 ― 사용자 생성 사례의 진위 검증 불가
• 4. 허위 희소성 연출
• 5. 스텔스 마케팅 ― CPP(Creative Partnership Program)/Earn 프로그램을 통한 조직적 Pay-for-Play

수익 모델·과금의 함정(0/2 검출)

• 6. 무료 조건의 은폐
• 7. 프리미엄(Freemium) 중도 해지 페널티

이용 약관·법적 조항의 문제(5/5 검출, 전 항목 해당)

• 8. ToS(Terms of Service) 심층 조항 ― 제4.4항의 영구적·취소 불가능한 라이선스, 제5.3항의 생체 정보 금지 모순
• 9. 옵트아웃(Opt-out) 선택지 결여 ― 학습 이용에 대한 이의 제기는 유럽 GDPR 적용 사용자만 가능
• 10. 포괄적 동의 강제 ― 제6.1항의 프라이버시 기대권 사전 포기
• 11. 서브프로세서(Sub-processor) 불투명 ― 중국 vendor는 명기되어 있으나 개별 사명 및 계약 형태는 비공개
• 12. 일방적 책임 전가 ― 생체 정보 투입 금지 + 처리 동의 자동 성립, 배상액 $100 상한

투명성·감사 체계의 결여(2/3 검출)

• 13. 보안 감사 정보의 비공개 ― SOC2/ISO27001/DPA 공개 없음
• 14. 기업 비밀에 의한 기술 상세 공개 거부 ― proprietary "reasoning engine"의 내부 구조, 테넌트(Tenant) 분리, 서브프로세서 비공개
• 15. AI 윤리 심사 체계의 부재 ― 부분적으로 존재 (콘텐츠 모더레이션 규정 있음)

통합 감시 시스템 관련(4/5 검출)

• 16. 통합 시스템 연계의 비공개 ― Kling/Seedance/Wan을 경유하는 데이터 경로의 상세 내용 비공개
• 17. 「단일 서비스」 위장 ― 「미국제 플랫폼」으로 선전하지만 실체는 중화계 AI 모델 통합
• 18. 바이너리 설치 권한 남용 ― 주로 브라우저 기반
• 19. 데이터 국경 초월·저장 장소 미명시 ― 리전(Region) 비공개, 미국/EU/UK/카자흐스탄/중국의 혼재
• 20. 삭제권의 사실상 기능 불능 ― 제4.4항 영구 라이선스, 계정 삭제 후 30일 활성 + 백업 무기한 + 학습 모델 제거 언급 없음

경영·조직의 은폐(1/1 검출)

• 21. 경영자·투자자·최종 수익자 은폐 ― 「미국 법인」으로 선전되지만, CEO 출신·실체 R&D 거점·백엔드 AI의 중화계 구성 등을 표면적으로 명시하지 않음

첫째는, 보납법(補鍋法, 문제를 만들어 해결책을 파는 수법)이다. Higgsfield는 「외부 모델 통합의 번거로움」이라는 문제를 고객에게 의식시키고, 그 「해결책」으로서 중화계 AI(Seedance/Kling/Wan)에 대한 원클릭 액세스를 제공한다. 고객은 중화계 AI로의 데이터 전송이라는 근본적인 문제를 해결하지 못한 채, 편의성에 의존하는 구조에 편입된다.

둘째, 현대판 아편전쟁(의존성 창출). 월 $39~$300,000의 계층형 과금, CPP/Earn 프로그램(첫날 상한 $1,000, 영상 상한 $2,500의 즉시 보상)을 통해 크리에이터와 마케터가 대체 불가능할 정도로 Higgsfield 에코시스템에 의존하는 구조를 만든다. 한 번 Soul ID(얼굴의 영속적 학습)를 생성하면, 경쟁 플랫폼으로의 이행은 실질적으로 불가능해진다.

셋째, 면종복배 전략(표면적 협력과 내심의 계산). "카자흐스탄발 성공 사례", "미국 법인", "글로벌 시장 전개"라는 표면적인 서사 뒤에서, 러시아 출신 CEO가 러시아권 거점을 보유하고 백엔드(Back-end)에 중화계 AI를 통합하는 삼중 구조를 운영한다.

Higgsfield의 통합 모델 중 ByteDance(Seedance 제공처), Alibaba(Wan 제공처), Kuaishou(Kling 제공처)는 모두 중국 본토 법인이며, 중화인민공화국 국가정보법 제7조의 적용 대상이다.

사용자가 얼굴 사진, 음성 샘플, 영상 소재를 업로드하고 이 모델들을 선택하여 생성 태스크를 실행할 경우, 데이터는 다음과 같은 경로로 유통된다.

[일본 사용자의 얼굴·음성]
↓ Higgsfield AI (미국 법인/카자흐스탄 처리)
↓ 모델 선택 (Seedance/Kling/Wan)
...

Higgsfield의 Soul ID 기능은 사용자의 얼굴, 음성, 몸짓, 표정의 특징을 "아이덴티티 템플릿 (Identity Template)"으로서 영속적으로 저장하도록 설계되어 있다. 이는 중화계 AI 사업자 측에도 전송될 가능성이 있으며, TikTok, WeChat(微信), Alipay(支付宝) 등 타 중화계 서비스와의 명요세(Cross-service Personal Identification, 크로스 서비스 개인 식별)의 기반이 될 수 있다.

Higgsfield의 "reasoning engine"은 복수의 AI 시스템을 연결하여 사용자의 의도(narrative structure, camera logic, visual consistency)를 추정한다. 이 추정 알고리즘 자체가 사용자의 취향, 심리, 행동 패턴의 프로파일링(Profiling) 기구로서 기능한다.

축	점수	근거
B1. 얼굴	3/3	Soul ID(얼굴의 영속적 학습), AI Influencer Studio, Madonna·Will Smith 등 실존 인물 생성 사례
...
기초 점수: 18/21점

• C1. 지속적·자동 취득: ✅ +2 (SaaS형, 삭제 후 30일 + 백업 무기한)
• C2. 구동 중 상시 취득: 해당 없음 (매번 입력형)
• C3. 4K 이상 고해상도: ✅ +1 (cinematic-quality 명시)
• C4. 멀티 카메라: ✅ +1 (1,296개 렌즈, multi-shot)
• C5. 생체 간 역추론 가능: ✅ +2 (얼굴 × 음성 × 몸짓 × 표정의 동시 학습)
• C6. 학습 모델 제3자 제공: ✅ +2 (API, CLI, MCP 공개, 중화계 AI 연계)
• C7. 계정 삭제 후 잔존: ✅ +2 (제4.4항 영속 라이선스)
• C8. 모델 가중치로부터 역추출 가능: ✅ +1 (diffusion 모델 구조)

보정 합계: +11점

• 종합 점수:
  29점 (기초 18 + 보정 11) - 노출도:
  10/10 (최대) (27점 이상) - 크로스 추론 패턴 4건 성립 (얼굴 × 성문, 얼굴 × 몸짓, 표정 × 성문, 신체 × 보행)
• 누에(Nue)도 추정 9/10 (NK004 확장)
• 법적 관할: 하이 리스크 국가 상당 (삼중 리스크 최악값)
• NK009 통합 감시 가능성:
  확인됨 (중화계 AI 모델 3사 경유) - 매트릭스 판정:
  레벨 0

Higgsfield AI는 공식 X(@higgsfield_ai, 약 195K 팔로워)에서 연일 신기능을 발표하며, CEO Alex Mashrabov(@alexmashrabov, 약 8.7K 팔로워)도 제품 발표 및 업계 시프트론을 발신한다.

추천자의 다수는 Creative Partnership Program (CPP) 또는 Higgsfield Earn 프로그램의 참가자이다. CPP 참가자에게는 월간 무료 크레딧, 신기능 조기 액세스, 1:1 지원이 제공된다 (Higgsfield 공식 CPP 페이지). Earn 프로그램은 영상 1개당 최대 $2,500, 첫날 최대 $1,000의 즉시 보상을 지급한다 (Higgsfield Earn 공식).

X상의 주요 추천자 (Grok 조사 결과에 의함).

• @MonetizationDon(프로필에 CPP 참여 명시) ― Higgsfield 기능의 지속적 소개
• @heygurisingh(Collab 모집 중) ― Supercomputer 권장
• @AIFilmMastery ― Higgsfield "Element" 기능 권장
• @VibeMarketer_ ― 「1명이 10명 팀에 상당하는 출력」이라며 권장
• @aakashgupta ― $39/month의 가성비를 평가

CPP는 명시적인 금전적 이해관계가 있는 권장이며, 스텔스 마케팅 (Stealth Marketing)의 전형적인 구조이다.

X상의 비판은 구조적으로 소수파이다.

• @alekstheseo(AI SaaS 빌더) ― "mediocre slop ads" (Higgsfield보다 저렴한 API로 동등한 품질을 낼 수 있음)
• @vladimircherner(본인도 CPP 참여자) ― Seedance 검열 문제 ("flat skin, inconsistent")
• @WhatDreamsCost(경쟁사 LTX Director 개발자) ― 자체 도구와의 비교

TechCrunch는 2026년 1월 15일 기사에서, Higgsfield를 사용하여 제작된 「Island Holiday」 영상에 대해 보도하고 있다. 해당 영상은 Epstein files (에프스틴 문서)에 이름이 등장하는 인물과 픽션 캐릭터가 「에프스틴 섬」에서 「휴가」를 보내는 내용의 딥페이크 (Deepfake)로, TechCrunch 스스로가 「공격적인 내용이므로 링크하지 않음」이라고 판단할 수준이었다 (AI video startup, Higgsfield, founded by ex-Snap exec, lands $1.3B valuation - TechCrunch 2026/01/15).

회사 측은 이 사건에 대해 사과, 모더레이션 (Moderation) 강화, 약관 개정 중 어느 것도 공표하지 않았다.

웨이보(微博)・샤오홍슈(小紅書)・지후(知乎) 등에서, Higgsfield는 Kling(Kuaishou)・Seedance(ByteDance)로의 액세스 인프라로서 실무적으로 호평을 받고 있다. 이는 서방 사용자 측이 의식하지 못한 채 중화권 AI로 데이터를 전송하는 구조를 중화권 측도 인식하고 활용하고 있음을 나타낸다.

업무 이용 즉시 금지― 안전성 레벨 0 (사용 불가) 확정 - 계정 삭제 요청 (support@higgsfield.ai 앞, Section 5.9 절차) ― 단, 학습 완료된 모델에서의 제거는 제4.4항에 의해 보장되지 않음

• 과거에 업로드한 소재의 리스트업과 전매・서브 라이선스(Sub-license)・국가 기관 제공 리스크에 대한 사내 어세스먼트 (Assessment)
• 기밀 소재 (직원 얼굴 사진, 사내 영상, 제품 프로토타입)를 투입한 실적이 있는 경우, 유출을 전제로 한 인시던트 대응 (Incident Response) 계획 수립

동영상 생성 AI의 대체 선택지 안전성 레벨 참고 (NK010 평가 결과 기반).

Runway Gen-4(미국) ― 노출도 5, 레벨 3 (주의 필요), 현실적인 선택지 -
OpenAI Sora(미국) ― 노출도 5, 레벨 3, API 경유 + 학습 옵트아웃 (Opt-out) 설정 필수 -
Google Veo(미국) ― 노출도 6, 레벨 3, Google 에코시스템 통합 리스크 유의 -
HeyGen(미국, 아바타 생성 특화) ― 노출도 7, 레벨 2, 용도 한정으로 검토

단, 모두 「실재 인물의 얼굴·목소리를 포함한 소재를 투입하지 않는다」 「업무 소재는 사내 온프레미스 (On-premise) 환경에서 완결시킨다」 「API 경유 및 학습 옵트아웃 (Opt-out) 설정을 필수화한다」라는 운용 가드레일 (Guardrail)이 전제된다.

• Higgsfield의 중화권 AI 통합 모델 추가・변경

• 카자흐스탄 거점 규모 확대・이전

• M&A・인수 제안 (2024년 Meta 인수 제안은 거부되었으나, 향후 중화권 자본에 의한 인수 가능성)

• 중국・러시아・카자흐스탄의 신규 규제 제정 (특히 AI 규제・생체 정보 규제)

• 소송・규제 당국 조사 진전 (EU AI Act, 미국 DOJ 등)

• 알마티(Almaty) R&D 거점의 실규모― 종업원 수, 역할 유형(Role type), 운영 시스템(Production system) 접근 권한 유무

• vendor/partner의 구체적 사명― 중국 소재의 개별 vendor 명칭, 계약 형태, 데이터 취급 조항

• Seedance/Kling/Wan과의 API 계약 조항― 사용자 데이터의 취급 범위, 보유 기간, 학습 이용 범위

• Series A 투자자 AI Capital Partners의 실태― TechCrunch 기사에서 추가 투자자로 기재, 출자자 구성 및 LP 국적

• Higgsfield Earn 프로그램의 중국·러시아 국민 참여 가능 여부― 제재 회피 및 자금 세탁(Money laundering) 리스크

Higgsfield AI는 「미국 델라웨어 법인」, 「미국 VC 출자」, 「샌프란시스코 본사」라는 표층적인 시그널을 통해 서방 기업으로 인지되고 있다. 13억 달러($1.3B) 초과의 기업 가치와 3억 달러($300M)의 런레이트(Run-rate)는 확실히 사업의 급성장을 나타내고 있으며, Madonna, Will Smith 등의 셀러브리티가 이용했다는 홍보 또한 표면적으로는 신뢰성을 보강한다.

하지만 1차 자료를 정밀 조사한 결과, 실체는 다음과 같은 삼중 구조를 가지고 있다.

첫째, CEO Alex Mashrabov는 러시아 체랴빈스크 출신으로 MIPT 졸업생이며, 공동 창업자 Erzat Dulat는 카자흐스탄인 ML 리서처(ML Researcher)이고, 운영 거점으로서 알마티에 R&D 시설을 보유하고 있다. 「카자흐스탄 첫 번째 유니콘」을 공식 아이덴티티로 삼고 있으며, 카자흐스탄 정부계 미디어는 이를 전략적 국가 자산으로 위치시킨다. 카자흐스탄은 CSTO/EAEU/SCO 가맹국으로서 러시아와 중국의 영향권에 편입되어 있다.

둘째, 백엔드 AI 모델로서 ByteDance 제 Seedance, 快手(Kuaishou) 제 Kling, Alibaba 제 Wan이라는 중화계 3사의 AI를 공식적으로 통합한다. 사용자가 업로드한 얼굴·목소리·영상은 선택한 모델에 따라 이들 중국 본토 법인의 API로 전송되며, 중화인민공화국 국가정보법 제7조의 적용을 받는다.

셋째, 이용 약관 제4.4항은 사용자 콘텐츠에 대해 영구적·취소 불가능하며·서브라이선스(Sublicense) 가능하고·전매 가능한 라이선스를 회사에 부여한다. 제5.3항은 생체 정보의 업로드를 금지한다고 규정하면서도, 개인정보 처리방침(Privacy policy) 제13.2항은 투입된 생체 정보의 처리 동의를 자동으로 성립시킨다. 이는 영상 생성 서비스로서의 본질과 완전히 모순되며, 모든 책임을 사용자에게 전가하는 후흑학적(厚黑學的) 구조이다.

이것들은 독립된 세 가지 리스크가 아니라, 통합된 하나의 데이터 수탈 구조로서 기능한다. 일본 기업 및 개인이 Higgsfield를 이용하는 것은 미국·러시아권·중국의 삼중 법적 관할권 아래 자신의 생체 정보를 영구적으로 제공하는 것을 의미한다.