미 백악관, Anthropic의 Fable 및 Mythos 모델 수출 제한 명령
API 키 하나로 최신 모델을 서비스에 연결하고 배포하는 과정은 몇 분이면 충분하다. 하지만 미 백악관이 국가 안보 우려를 이유로 Anthropic의 AI 모델 Fable과 Mythos에 대해 수출 제한을 명령하면서 서비스 이용이 즉각 중단됐다. 이번 명령은 미국 외 지역뿐 아니라 미국 내 거주 외국인에 대한 모델 수출까지 엄격히 제한한다. Anthropic은 행정부 지시 직후 두 모델의 제공을 중단했으며, 이로 인해 모든 사용자가 일주일 동안 해당 모델에 접근할 수 없는 상태가 됐다.
아마존(Amazon) CEO 앤디 재시(Andy Jassy)가 자사 연구원들이 Fable 5의 안전장치를 우회하는 방법을 찾아냈다고 행정부에 보고한 것이 이번 조치의 계기가 됐다. Anthropic은 전면적인 무력화가 아니라 패치가 완료된 좁은 범위의 문제라고 반박했다. 특히 모델 제한 설정을 강제로 푸는 '제일브레이크(jailbreak)'라는 표현의 사용을 두고 양측은 기술적 정의를 두고 대립했다. 글로벌 AI 모델을 API로 연결해 서비스에 도입하는 환경에서, 국가 간 수출 통제 규정은 서비스 가용성과 연속성을 결정하는 핵심 리스크 요소다.
PGP 사례와 국제 수출 통제 체제의 실효성 한계
이러한 기술 수출 통제는 과거 소프트웨어 산업에서도 반복된 갈등이다. 1990년대 초중반 미국 정부는 PGP(Pretty Good Privacy) 창시자 Phil Zimmermann를 형사 조사했다. 당시 미국 세관청(U.S. Customs Service)은 PGP가 정보기관의 이메일 감청을 방해해 정보 수집을 막을 것을 우려했다. Zimmermann는 PGP 소스 코드를 책으로 출판해 배포하며 정부의 수출 통제에 대응했다. 이 사건은 소프트웨어의 물리적 배포가 법적 규제를 넘어서는 선례가 됐으며, Signal이나 WhatsApp 같은 종단간 암호화 알고리즘이 현대 통신 보안 표준으로 도입되는 기반이 됐다.
Wassenaar Arrangement(전략물자 수출통제 체제) 역시 스파이웨어 수출을 제한하려 했으나 국가별 재량권으로 인해 실효성이 낮았다. 이스라엘은 협약을 준수하지 않았고, 이탈리아 정부는 자국 기업 Hacking Team에 수출 라이선스를 허용해 규제를 무력화했다. Intellexa 같은 기업들은 사우디아라비아 등 규제가 느슨한 국가로 거점을 옮겨 감시 도구 수출을 지속했다. 국제적 합의가 개별 국가의 이익에 따라 다르게 적용될 때, 특정 기술의 확산을 막으려는 수출 통제는 사실상 무력해진다.
SK텔레콤 사례로 본 AI 모델 공급망 리스크
특정 파트너사에 부여한 모델 접근 권한이 미국 정부의 수출 제한 조치를 촉발하는 트리거가 됐다. Anthropic은 제한적 파트너 프로그램을 통해 한국 SK텔레콤에 사이버 보안 특화 모델인 Mythos 접근 권한을 부여했다. 미국 당국은 이 과정에서 해당 기업의 중국 연관성을 의심해 경계심을 드러냈으며, SK텔레콤은 이를 전면 부인했다.
미 정부의 정책 결정은 미국 AI 기업의 글로벌 경쟁력에 영향을 미친다. Trump 행정부와 Anthropic의 대립 결과에 따라 기존 제한 조치가 완화될 가능성이 있다. 이는 중국 등 타국 AI 연구소들이 미국의 제한과 상관없이 유사한 성능에 도달할 수 있음을 미국 정부가 인정하는 결과가 된다. 규제 완화 여부는 글로벌 모델 도입 기업이 직면할 서비스 중단 리스크의 크기를 결정한다.
글로벌 모델 도입 기업은 기술적 성능뿐 아니라 수출 통제 규정(Export Control)이 서비스 가용성에 미치는 리스크를 핵심 판단 기준으로 삼아야 한다. API 연결성보다 공급망의 법적 안정성이 서비스 지속 가능성을 좌우하는 변수가 됐으며, 이를 관리하지 못하면 모델 성능과 관계없이 접근이 차단되는 제약에 직면한다.
미 정부의 Fable 및 Mythos 모델 수출 금지는 기술적 편의보다 국가 안보라는 물리적 제약이 우선함을 증명한다. 사이버 보안 특화 모델인 미토스의 가드레일 우회 사례는 접근 제어의 허점이 곧바로 강력한 수출 통제로 이어지는 경로를 보여준다.
이제 글로벌 AI 모델 도입 시 수출 통제 규정(Export Control) 준수 여부를 서비스 가용성의 핵심 지표로 설정해야 한다. 모델의 성능보다 중요한 것은 그 모델이 내일도 우리 코드에서 작동할 수 있는가라는 서비스 지속 가능성의 문제다.
