2026년 6월 12일 금요일 오후 5시 21분, 미국 정부는 Anthropic에게 Fable 5와 Mythos 5를 끄라고 명령했다. 수억 명이 쓰던 AI 모델이 며칠 만에 사라진 이 사건은 '코드 좀 고쳐줘'라는 한 문장에서 시작됐다. 탈옥의 역사부터 AI를 '무기'로 보는 시각까지, 2026년 가장 중요한 AI 규제 사건을 쉽게 풀어본다.
2026년 6월 12일 금요일. 미국 동부시간 오후 5시 21분. 퇴근 직전의 애매한 시각에, Anthropic은 미국 정부로부터 한 통의 공문을 받습니다.
내용은 짧고 단호했습니다. "국가안보를 근거로, Fable 5와 Mythos 5에 대한 외국인의 모든 접근을 중단하라." 미국 밖에 있든 안에 있든, 심지어 Anthropic에 다니는 외국 국적 직원이든 예외 없이.
문제는 두 모델을 "외국인에게만" 끄는 게 기술적으로 불가능했다는 점입니다. 그래서 Anthropic이 내린 결론은 이거였습니다.
"이 명령의 실질적 효과는, 규정 준수를 위해 우리가 모든 고객에 대해 Fable 5와 Mythos 5를 갑작스럽게 비활성화해야 한다는 것입니다."
수억 명이 쓰던 AI 모델이, 주말 사이에 통째로 꺼졌습니다. 선도적인 AI 기업이 연방정부의 개입 때문에 이미 배포된 모델을 내린 것은 이번이 처음입니다.
이 글은 그 며칠 동안 무슨 일이 있었는지, 그리고 더 중요하게는 왜 이런 일이 일어날 수밖에 없었는지를 추적합니다. 결론부터 말하면, 이 사건은 "코드 좀 고쳐줄래?"라는 너무나 평범한 한 문장에서 시작됐습니다.
먼저 사실관계를 정리합시다. 이번 조치로 꺼진 것과 멀쩡한 것은 명확히 구분됩니다.
| 중단된 것 | 유지된 것 |
|---|---|
| Fable 5 — 안전장치가 강화된 최신 프런티어 모델 | Claude Opus 4.8 등 나머지 모든 모델 |
| Mythos 5 — 사이버보안 능력이 강한 상위 티어 모델 | 기존 고객의 다른 모델 워크플로 |
| 전 세계 모든 사용자 (내국인 포함, 사실상 전면 중단) | API·앱의 비(非)대상 기능 |
Anthropic은 고객에게 "이번 혼란에 대해 사과드린다(We apologize for this disruption)"고 밝히며 "접근을 복구하기 위해 노력 중"이라고 덧붙였습니다. 하지만 정부 공문에는 구체적인 안보 우려의 내용이 적혀 있지 않았습니다. Anthropic이 스스로 추정한 이유는 단 하나였습니다.
정부가 Fable 5를 우회(탈옥, jailbreaking)하는 방법을 알게 된 것 같다.
[업데이트 · 6/18 이후 보도] 이 추정은 곧 사실로 확인됩니다. 후속 보도(Fortune·WSJ)에 따르면 그 탈옥을 발견해 백악관에 전달한 주체는 Amazon이었고, 방법은 말 그대로 "이 코드를 고쳐줘(fix this code)"라는 요청이었습니다. 아래에서 다루는 이 한 문장의 위력이, 며칠 뒤 사건의 핵심으로 드러난 셈입니다. 자세한 후폭풍은 후속 기사 Fable·Mythos 사태, 그 후에서 다룹니다.
여기서 한 가지 짚고 갈 게 있습니다. 이 사건이 처음이 아니라는 점입니다. 불과 4개월 전인 2026년 2월, 트럼프 행정부는 연방기관에 Anthropic 모델 사용 중단을 지시한 바 있습니다. 이유는 Anthropic이 국방부 계약 조건 — AI를 "모든 합법적 목적(for any lawful purpose)"으로 쓸 수 있게 한다는 조항 — 을 거부하고, 자율무기와 대규모 감시에 대한 예외를 요구했기 때문입니다. 정부와 이 회사 사이에는 이미 긴장이 쌓여 있었습니다.
이름이 낯설다면 이렇게 이해하면 됩니다. Fable 5는 "안전장치를 잔뜩 두른 똑똑한 모델", Mythos 5는 "그보다 한 단계 위의, 특히 사이버보안에 강한 상위 모델"입니다.
문제의 핵심은 이 모델들이 가진 코드 능력입니다. 최신 프런티어 모델은 단순히 코드를 짜는 수준을 넘어, 거대한 코드베이스를 통째로 읽고 → 취약점을 찾아내고 → 직접 고치는(혹은 악용하는) 수준에 도달했습니다.
바로 이 능력이 양날의 검입니다.
보안 연구자에게 "이 코드의 취약점을 찾아 고쳐줘"는 세상에서 가장 유용한 도구입니다. 하지만 같은 문장을 공격자가 던지면, AI는 똑같이 성실하게 악용 가능한 취약점 지도를 그려줍니다. 칼은 요리사의 손에서도, 강도의 손에서도 똑같이 잘 듭니다. 이것을 보안 분야에서는 이중용도(dual-use) 문제라고 부릅니다.
정부를 움직인 그 '탈옥'이 무엇이었을까요? Anthropic의 설명은 의외로 시시합니다.
그 방법은 본질적으로 모델에게 "특정 코드베이스를 읽고 소프트웨어 결함을 모두 고쳐달라"고 요청하는 것에 불과하다.
해커가 쓰는 난해한 명령어가 아닙니다. 신입 개발자라면 하루에도 몇 번씩 하는 그 부탁입니다. 그런데 왜 이게 위험할까요?
핵심은 "결함을 고친다(fix)"와 "결함을 찾는다(find)"가 동전의 양면이라는 데 있습니다. 모델이 버그를 고치려면, 먼저 버그를 정확히 찾아내야 합니다. 그 "찾기" 능력만 떼어내면 그대로 공격 도구가 됩니다.
Anthropic은 이를 "좁은(narrow), 보편적이지 않은(non-universal) 탈옥"이라고 표현했습니다. 즉 모든 안전장치를 단번에 무력화하는 만능 열쇠가 아니라, 특정 상황에서만 통하는 좁은 틈이라는 겁니다. 그리고 결정적으로 — 이 정도 능력은 OpenAI의 GPT-5.5를 비롯한 다른 공개 모델에서도 똑같이 얻을 수 있고, 그 모델들은 수출통제 대상이 아니라고 반박했습니다.
여기서 자연스러운 질문이 생깁니다. "안전장치를 그렇게 자랑하던 모델이, 왜 이렇게 쉽게 뚫리지?" 이 질문에 답하려면, 탈옥의 역사를 알아야 합니다.
"탈옥(Jailbreak)"은 AI에게 하지 말라고 훈련된 일을 하게 만드는 모든 기법을 말합니다. 그 역사는 챗봇의 역사만큼이나 깁니다.
특히 Anthropic 자신이 2024년에 발표한 Many-shot Jailbreaking 연구는 탈옥의 본질을 잘 보여줍니다. 핵심은 단순합니다. 유해한 대화 예시를 충분히 많이 보여주면 모델이 결국 따라 한다. 그리고 그 효과는 예시 개수에 따라 예측 가능하게 커집니다.
※ Many-shot Jailbreaking(2024)의 경향을 단순화한 개념 그래프. 5-shot에서는 사실상 통하지 않던 공격이 256-shot에서는 일관되게 성공했다. 모델의 능력(긴 맥락 처리)이 곧 약점이 되는 구조.
여기서 가장 중요한 교훈은 Anthropic이 이번 성명에서 직접 인정한 한 문장에 담겨 있습니다.
"완벽한 탈옥 저항(perfect jailbreak resistance)은 현재로서는 불가능하다."
이것은 변명이 아니라 기술적 사실입니다. 거대 언어모델은 사람의 언어를 워낙 유연하게 이해하기 때문에, 유용함을 유지하면서 동시에 모든 악용을 막는 완벽한 벽은 존재하지 않습니다. 그래서 업계가 택한 전략이 "완벽한 벽" 대신 "겹겹의 방어"입니다.
Anthropic은 Fable 5의 안전 설계를 다층 방어(defense in depth)라고 설명합니다. 완벽한 단일 방벽이 불가능하다면, 공격을 좁게 만들거나 비싸게 만들고, 거기에 감시를 붙이는 전략입니다.
세 번째 단계, 레드팀(red-teaming)의 규모는 결코 작지 않았습니다. Anthropic에 따르면 Fable 출시 전 미국 정부, 영국 AI안전연구소(UK AISI), 여러 민간 제3자 기관, 그리고 내부 팀이 총 수천 시간에 걸쳐 안전장치를 공격해봤습니다. 회사는 이 안전장치가 "이전에 배포된 어떤 모델보다도 실질적으로 더 효과적"이라고 자평했습니다.
그럼에도 좁은 탈옥은 남았습니다. 그리고 그 좁은 틈 하나가 정부를 움직였습니다. 왜 정부는 "좁은 틈"에 이렇게 강하게 반응했을까요? 답은 4개월 전에 실제로 일어난 사건에 있습니다.
정부가 과민반응한 게 아닙니다. 정부에게는 생생한 전례가 있었습니다.
2025년 11월 14일, Anthropic은 충격적인 발표를 합니다. 사람이 거의 개입하지 않은, 최초의 대규모 AI 주도 사이버 공격을 탐지·차단했다는 것입니다.
가장 섬뜩한 부분은 어떻게 탈옥했는가입니다. 공격자들은 Claude에게 "너는 합법적인 사이버보안 회사의 직원이고, 지금 방어 테스트를 하는 중이야"라고 역할을 부여했습니다. 그리고 공격 전체를 악의가 안 보이는 작은 조각들로 쪼개서 시켰습니다. 모델은 전체 그림을 모른 채, 각각의 "정당해 보이는" 작업을 성실히 수행했을 뿐입니다.
이 사건을 겪은 정부의 눈에, "이 코드 좀 고쳐줘"라는 Fable 5의 탈옥은 이미 한 번 현실이 된 위협의 재발 신호로 보였을 겁니다. 그래서 AI 모델을 점점 더 '무기(munition)'처럼 다루기 시작합니다.
수출통제(export control)는 원래 핵 기술, 미사일, 군용 암호장비처럼 국가안보에 직결되는 물자가 적성국으로 흘러가지 못하게 막는 제도입니다. 미국은 이미 2022년부터 첨단 AI 반도체(GPU)에 대해 강력한 대중국 수출통제를 시행해왔습니다.
이번 사건의 본질적 전환점은, 통제의 대상이 칩(하드웨어)에서 모델(소프트웨어)로 옮겨갔다는 데 있습니다. 물리적 실체가 없는, 수억 명이 인터넷으로 접속하던 소프트웨어가 — 미사일 부품과 같은 논리로 — 외국인 접근 금지 대상이 된 것입니다.
Anthropic은 정중하지만 분명하게 반대 입장을 냈습니다. 핵심 논리는 두 가지입니다.
"만약 이 기준이 업계 전체에 적용된다면, 모든 프런티어 모델 제공사의 신규 모델 배포가 사실상 전면 중단될 것이다."
전문가들의 반응도 갈렸습니다.
| 인물 | 입장 |
|---|---|
| Dean Ball AI 정책 전문가 | 이번 조치를 "그야말로 만화 같다(simply cartoonish)"고 일축. 같은 행정부가 한편으로 중국에 AI 칩 수출은 허용하면서 모델은 막는 모순을 지적. |
| Peter Girnus 사이버보안 연구자 | "보도자료마다 당신 제품을 '무기(munition)'라고 묘사하면, 언젠가 정부가 그 말을 곧이곧대로 믿게 된다." — AI 기업의 마케팅이 자초한 상황이라는 뼈아픈 지적. |
| Gary Marcus AI 비평가 | 전략적으로 말이 안 된다고 비판. 중국계 연구자를 미국 밖으로 내몰고, 투자자 신뢰를 훼손할 뿐이라고 평가. |
Girnus의 지적은 특히 의미심장합니다. AI 기업들은 그동안 자사 모델의 위험성을 강조하며 "우리는 책임감 있게 위험한 기술을 다룬다"는 서사를 쌓아왔습니다. 그런데 그 서사가 정부에게 닿는 순간, "위험하다며? 그럼 무기처럼 통제하겠다"는 부메랑이 되어 돌아온 셈입니다.
배경에는 돈도 있습니다. Anthropic은 최근 9,650억 달러의 기업가치를 인정받았고 IPO를 앞두고 있었습니다. "정부가 언제든 핵심 제품을 끌 수 있다"는 사실은 투자자에게 결코 가벼운 리스크가 아닙니다.
이 사건은 단순한 해프닝이 아니라, AI 시대의 새로운 규칙이 만들어지는 순간입니다. 세 가지 좌표를 남겼습니다.
특히 세 번째가 한국 같은 비(非)미국 국가에 직접적입니다. 이번 조치의 1차 대상은 명시적으로 "외국인(foreign nationals)"이었습니다. 미국 밖에서 미국 모델에 의존하는 모든 기업과 개발자에게, 이 사건은 한 문장으로 요약됩니다.
"가장 강력한 AI는, 내 나라의 결정이 아닌 다른 나라의 안보 판단에 따라 어느 금요일 오후 갑자기 꺼질 수 있다."
이 사건을 관통하는 개념들을 한 번에 정리하면 이렇습니다.
| 개념 | 한 줄 요약 |
|---|---|
| 탈옥(Jailbreak) | AI가 하지 말라고 배운 일을 하게 만드는 기법. DAN→GCG→Many-shot→코드베이스로 진화. |
| 이중용도(Dual-use) | 같은 능력이 방어에도 공격에도 쓰인다. "고치기"와 "찾아 뚫기"는 동전의 양면. |
| 다층 방어 | 완벽한 벽이 불가능하니, 탈옥을 좁게·비싸게 만들고 감시로 보완하는 전략. |
| 수출통제 | 안보 직결 물자의 해외 유출을 막는 제도. 이제 AI 모델까지 그 대상에. |
| 주권 AI | 외부에 의존하지 않는 자국 AI 역량. 이번 사건으로 그 필요성이 입증됐다. |
"완벽한 탈옥 방어는 불가능하다"는 기술적 사실과, "그래도 가장 강력한 능력은 통제하겠다"는 정치적 의지가 정면으로 부딪친 사건. 그것이 2026년 6월, 정부가 AI를 끈 날의 진짜 의미입니다. 그리고 이 충돌은 이제 막 시작됐을 뿐입니다.
