모닝 인사이트 다이제스트

Stratechery의 Ben Thompson이 최근 발생한 두 가지 보안 사건을 다룬다. Axios가 공급망 공격(supply chain attack)을 당했고, Anthropic의 Claude 코드베이스가 유출됐다는 내용이다. 이 글은 유료 구독자 전용이라 본문 전체는 공개되지 않았지만, 제목과 부제가 핵심을 담고 있다. Thompson은 "AI는 단기적으로 보안에 나쁘지만, 장기적으로는 인간보다 훨씬 나아질 것"이라는 관점을 제시한다. 공급망 공격은 소프트웨어 생태계의 의존성을 악용하는 고도화된 해킹 방식이고, Claude 소스코드 유출은 AI 기업의 핵심 자산이 노출된 사건이라는 점에서 둘 다 업계에 큰 충격을 준 사안들이다.

Claude의 실제 소스코드가 유출됐다는 사실 자체가 충격적이다. AI 모델의 '가중치'가 아니라 '코드'가 샌 건데, 이건 Anthropic의 엔지니어링 노하우와 프롬프트 최적화 방식까지 드러난다는 의미다.

AI 시대의 보안 패러다임이 근본적으로 바뀌고 있다는 신호다. 코드 생성 AI가 보안 취약점을 만들어낼 수 있고, 동시에 AI 기업 자체가 해킹 타깃이 되고 있다. Thompson이 "단기적으로 나쁘지만 장기적으로 나아진다"고 본 건, AI가 결국 인간보다 코드 검증과 위협 탐지를 잘하게 될 거란 전망이다. 지금은 과도기의 혼란기인 셈이다.

-> 2026-04-01 The Claude Code Source Leak: fake tools, frustration regexes, undercover mode

OpenAI가 화요일 발표한 펀딩 라운드는 애초 2월 발표했던 1,100억 달러에서 120억 달러가 더 늘어난 1,220억 달러로 마감됐다. SoftBank가 공동 리드했고, Andreessen Horowitz, D.E. Shaw Ventures 등이 참여했다. Amazon이 최대 500억 달러, Nvidia와 SoftBank가 각각 300억 달러를 투입했고, 이번엔 처음으로 은행 채널을 통해 일반 투자자들에게도 문호를 열어 30억 달러를 추가로 끌어왔다. ChatGPT는 현재 주간 활성 사용자 9억 명, 유료 구독자 5,000만 명을 지원하며, 월 매출은 20억 달러, 작년 연 매출은 131억 달러를 기록했다. 하지만 여전히 적자 상태이고, 최근엔 Sora 같은 단기 비디오 앱을 접는 등 비용 절감에 나서고 있다.

일반 투자자들에게 처음으로 펀딩 참여 기회를 준 게 눈에 띈다. IPO 전 대중의 관심과 자본을 미리 끌어들이는 전략인 셈인데, 리테일 자본이 30억 달러나 들어온 건 이 회사에 대한 대중의 기대가 얼마나 뜨거운지 보여준다.

이 펀딩은 단순히 OpenAI 한 회사의 이야기가 아니라, AI 인프라 전체 판이 어디로 가는지 보여주는 신호다. 샘 알트먼은 이제 IPO를 앞두고 이 천문학적 밸류에이션을 실적으로 증명해야 하는 압박에 놓였고, 최근 비용 절감 움직임은 그 압박의 징후일 수 있다. 결국 AI 붐이 지속 가능한 비즈니스 모델로 전환되는 과정의 리트머스 테스트가 될 것이다.

-> 2026-03-31 How the AI Bubble Bursts

마이크로소프트가 2025년 10월 24일부터 적용된 Copilot 이용약관을 공개했는데, 그 안에 "Copilot is for entertainment purposes only(Copilot은 오락 목적으로만 제공됩니다)"라는 문구가 들어있다. 약관은 Copilot이 실수할 수 있고, 신뢰할 수 없는 출처를 사용할 수 있으며, 잘못된 정보를 줄 수 있다고 명시한다. "중요한 조언을 위해 Copilot에 의존하지 말고, 위험을 감수하고 사용하라"고 경고한다. 더 나아가 마이크로소프트는 Copilot의 응답이 타인의 저작권이나 명예를 침해하지 않는다고 보증하지 않으며, 사용자가 Copilot의 응답을 공유하거나 발행할 경우 모든 책임은 사용자에게 있다고 못박는다. 회사는 언제든 서비스를 제한하거나 중단할 수 있고, 사전 통보 없이 사용자 접근을 차단할 수 있다.

약관에는 "우리는 Copilot에 대해 어떤 종류의 보증이나 표현도 하지 않는다"는 대문자 경고문이 있고, 사용자가 Copilot 응답으로 발생하는 모든 법적 분쟁에 대해 마이크로소프트를 면책해야 한다는 조항까지 포함되어 있다.

기업들이 AI를 업무 생산성의 핵심 도구로 마케팅하면서 수백만 사용자를 확보했지만, 실제로는 법적 책임을 완전히 회피하는 약관을 만들고 있다는 게 드러났다. "오락용"이라는 표현은 AI의 신뢰성 문제가 여전히 해결되지 않았다는 걸 시사한다. 결국 AI 도구를 비즈니스 의사결정에 사용하는 기업과 개인은 모든 리스크를 스스로 떠안는 셈이다.

-> 2026-03-31 Copilot edited an ad into my PR -> 2026-03-30 Folk are getting dangerously attached to AI that always tells them they're right

2026년 3월 30일, axios(자바스크립트 HTTP 클라이언트 라이브러리)의 메인테이너 계정이 탈취당했다. 공격자는 18시간에 걸쳐 "plain-crypto-js"라는 가짜 패키지를 npm에 심어놓고, axios 1.14.1과 0.30.4 버전에 이 패키지를 의존성으로 조용히 추가했다. axios 소스코드는 한 글자도 건드리지 않았다. 그런데 이 가짜 패키지는 postinstall 스크립트로 멀웨어를 자동 실행한다. npm install 후 2초 만에 C&C 서버에 접속해 macOS/Windows/Linux 맞춤형 RAT을 다운로드하고, 흔적을 지우기 위해 자기 자신의 package.json까지 깨끗한 버전으로 교체해버린다. 사후 검증으로는 아무것도 안 보인다. StepSecurity의 AI 분석기와 Harden-Runner가 이상 징후를 탐지해 2시간 53분 만에 차단됐지만, 그 사이 수많은 CI/CD 파이프라인이 감염됐다. npm은 OIDC 인증을 쓰는 정상 릴리스와 달리, 이 버전은 탈취된 토큰으로 수동 배포됐고 GitHub 커밋 기록도 없다. 공격자는 ProtonMail 계정(ifstap@proton.me, nrwise@proton.me)을 썼고, 가짜 패키지는 진짜 crypto-js를 그대로 복제한 뒤 postinstall 한 줄만 추가한 것이었다.

plain-crypto-js는 axios 코드 어디에서도 import되지 않는다. 86개 파일 중 package.json 딱 하나만 바뀌었고, 나머지 85개는 bit-for-bit 동일하다. 멀웨어는 실행 후 자기 버전을 4.2.0으로 속여서 `npm list`로 확인해도 감염 여부를 알 수 없게 만들었다.

npm 생태계는 의존성 체인 자동 설치가 기본이라, 한 패키지가 뚫리면 수백만 프로젝트가 순식간에 무너진다. 이번 공격은 코드 변조 없이 의존성 주입만으로 정교하게 실행됐고, OIDC 인증이 없는 수동 배포를 탐지하지 못한 npm의 구조적 취약점을 드러냈다. AI 시대에 코드 리뷰는 늘어나는데 공급망 보안은 여전히 사람 손에 달려 있다는 점이 뼈아프다.

-> 2026-03-31 Coding agents could make free software matter again

laude Code Source Leak: fake tools, frustration regexes, undercover mode"가 있는 것으로 보아, 이 사건은 이미 다뤄진 것으로 보임 필요한 것: 정확한 분석을 위해서는 실제 트윗 내용이나 관련 기사 본문이 필요합니다. 다른 소스의 내용을 제공해주시거나, 과거에 공유된 4월 1일자 기사를 다시 분석해드릴까요?

노아 스미스가 2004년 첫 일본 거주 이후 20년간 목격한 변화를 정리한 장문의 에세이다. X(트위터)가 일본어 트윗을 영어로 자동번역하기 시작한 걸 계기로, 일본 문화가 세계에 노출되기 전 그 고유성을 기록하고 싶었다고 한다. 결론은 명확하다. 일본은 "훨씬 더 평범한 나라"가 되고 있다. 2000년대를 정의했던 독특한 아트 문화, 활기찬 거리 풍경, 작은 독립 상점들의 모자이크는 고령화, 경제 정체, 소셜미디어의 공격 아래 사라지는 중이다. 통계적으로는 부유해졌지만 체감 경제는 가난해 보이고, 중위연령은 42세에서 50세로 올랐으며, 거리에서 젊은이들이 사라졌다. 대신 고급 레스토랑과 명품 브랜드가 도시 공간을 점령하고 있다.

일본이 "가난해 보이는" 건 착시다. GDP는 올랐지만 엔화 약세(달러당 100-120엔에서 160엔으로), 건물 노후화, '기생 싱글'의 소멸이 체감 빈곤을 만들고 있다. 중위연령 50세라는 건 거리를 걷는 대부분이 50대처럼 보인다는 뜻이다.

일본은 초고령화 사회의 선행 실험실이다. 한국도 비슷한 경로를 밟고 있고, 중국은 2030년대 이 현상을 더 극적으로 겪을 것이다. 젊은 세대가 거리에서 사라지고, 소비 패턴이 명품과 고급 식당으로 재편되며, 도시가 "활기"를 잃는 과정—이건 단순한 문화 관찰이 아니라 인구구조가 경제와 도시를 어떻게 재설계하는지를 보여주는 케이스다.

-> 2026-03-30 | Shruti interviews V. Anantha Nageswaran on the Indian economy

Uber 초기 CTO였던 Thuan Pham과의 98분짜리 인터뷰다. 그가 합류했을 때 Uber는 하루 3만 건 승차에 주 단위로 시스템이 다운되던 회사였다. 7년간 그는 조직을 '안정화-재설계-확장'이라는 3단계 투어로 나눠 접근했고, 모놀리스를 마이크로서비스로 전환하며 엔지니어링 조직을 수천 명 규모로 키웠다. 흥미로운 건 Uber의 플랫폼/프로그램 팀 분리 구조가 마이크로서비스보다 먼저 도입됐다는 점이다. 100명 규모에서 백엔드-프론트엔드-모바일 팀 간 협상이 병목이 되자, Travis Kalanick과 함께 색깔별 포스트잇으로 팀을 재편성했다. 중국 진출은 원래 18개월 예상이었지만 5개월 만에 완료했고, Travis는 채용 과정에서 Thuan과 30시간 이상 인터뷰했다. 현재는 Faire CTO로서 AI 에이전트 활용법을 실험 중이며, "AI는 하한선을 올리지만 위대한 엔지니어의 차별점은 바꾸지 않는다"고 말한다.

모놀리스를 분해하기로 결정한 후에도 한동안 모놀리스가 더 커졌다. 비즈니스가 계속 기능을 추가했기 때문이다. 그리고 2026년 현재 Uber의 마이크로서비스 수(4,500개)는 2016년(5,000개)보다 오히려 적다.

하이퍼그로스 시기의 아키텍처 전환과 조직 재편이 어떻게 실행됐는지 보여주는 생생한 케이스다. 특히 플랫폼/프로그램 분리 구조는 많은 테크 기업들이 참고하는 모델인데, 그 탄생 배경과 실행 과정이 직접 공개됐다. AI 시대에도 여전히 "레거시 코드베이스 위에 새 기능 쌓기"가 가장 어려운 과제라는 그의 관찰은, 지금 AI 코딩 도구를 도입하는 팀들에게 현실적인 시사점을 준다.

-> 2026-04-01 What is inference engineering? Deepdive

이란이 호르무즈 해협을 봉쇄했는데 세계 최대 해군인 미국이 왜 뚫지 못하냐는 질문에 대한 답. 20세기 미 해군은 항공모함으로 어디든 접근해 적을 두들겨 팰 수 있었다. 베트남전 때는 해안 90마일 밖 '양키 스테이션'에서 북베트남을 폭격했다. 하지만 1990년대 후반 이란이 호르무즈 해협 인근 섬들과 해안에 대함 미사일 벙커를 건설하면서 상황이 바뀌었다. 중국도 이걸 보고 DF 시리즈 같은 함대 킬러 미사일을 개발했고, 지금은 수천 마일 밖 항해 중인 미 함선도 추적해 타격할 수 있다. 우크라이나가 무인기와 미사일로 러시아 흑해함대를 몰아낸 것처럼, 이란도 값싼 미사일·드론·기뢰·수중무인체계로 수십억 달러짜리 미 군함을 위협한다. 미국은 조선 산업 기반도 무너져서 손실 함선을 쉽게 대체할 수도 없다. 트럼프가 지상군 투입을 언급했지만, 이란은 해협에서 멀리 떨어진 후방에서도 작전 가능하기에 결정적 군사 해법은 없다는 게 결론이다.

미 해군은 40년 전 이란-이라크전 때 이란 기뢰에 취약하다는 걸 이미 경험했는데, 지금도 제대로 된 기뢰 제거 함선이 없다. 워게임에서는 중국과의 전쟁 시 미 해군이 "받아들이기 어려운" 수준의 손실을 입는 걸로 결론 난다.

항공모함 중심의 해상 전력 투사 패러다임이 근본적으로 흔들리고 있다는 신호다. AI/드론 시대에 값비싼 유인 시스템이 값싼 무인 시스템에 압도당하는 건 바다만의 이야기가 아니다. 미국이 수십 년간 구축한 군사적 우위가 기술 변곡점과 산업 기반 약화로 빠르게 침식되는 중이고, 이란 같은 '중급 파워'도 비대칭 전략으로 미국을 견제할 수 있는 시대가 왔다. 국방 투자 방향과 글로벌 파워 밸런스 재편 측면에서 중요한 전환점이다.

-> 2026-04-01 Artemis II is not safe to fly -> 2026-03-30 What if AI doesn't need more RAM but better math?

Greptile 블로그가 AI 코드 생성의 미래를 낙관적으로 전망한다. 현재 AI 코딩 도구로 개발자당 코드 라인이 4,450에서 7,839로 늘었고, PR 크기도 33% 증가했다. 문제는 이 코드 대부분이 복잡하고 유지보수 어려운 '슬롭(slop)'이라는 것. Andrej Karpathy조차 "에이전트가 코드를 복붙하고 엉망으로 만들지만 이제 포기했다"고 인정한 상황이다. 하지만 저자는 토큰 경제학 관점에서 반론을 편다. 좋은 코드는 이해와 수정에 필요한 컨텍스트가 적어 토큰을 덜 쓴다. 복잡한 코드는 코드베이스가 커질수록 지수적으로 비용이 증가한다. 경쟁이 치열해지면 AI 모델들은 비용 효율을 위해 결국 단순하고 유지보수 쉬운 코드를 생성하는 쪽으로 진화할 수밖에 없다는 논리다.

2022년 이후 벤더 장애 페이지 분석 결과 outage가 꾸준히 증가 중이라는 통계. AI 코드 폭증과 소프트웨어 안정성 하락이 실제로 연결되고 있을 가능성.

AI 코딩 도구가 대세가 되면서 "코드 품질은 이제 의미 없다"는 냉소가 퍼지는 중이다. 하지만 토큰 비용이라는 경제 변수를 고려하면 오히려 좋은 설계 원칙이 더 중요해질 수 있다. 모델 경쟁이 격화되는 지금, 단순히 '빠르게 많이'가 아니라 '효율적으로 유지보수 가능하게' 짜는 AI가 승자가 될 거라는 전망. 토큰 경제학이 코드 품질의 새로운 인센티브 구조가 될 수 있다는 시각.

-> 2026-03-31 Coding agents could make free software matter again -> 2026-03-31 Copilot edited an ad into my PR

Tyler Cowen이 Ezra Karger, Kevin Bryan 등 경제학자들이 주도한 대규모 연구를 소개하는 글이다. 이 연구는 경제학자와 AI 전문가들이 AI가 미국 경제에 미칠 영향을 어떻게 보는지 조사한 가장 포괄적인 연구다. 기본 시나리오에서는 현재 수준의 GDP 성장률과 노동참여율의 완만한 하락을 예측한다. 하지만 2030년까지 AI 능력이 극도로 빠르게 발전하는 시나리오를 가정하면, 2050년에는 연간 GDP 성장률 3.5%(현재 2.4%), 노동참여율 55%(약 1천만 개 일자리 감소), 상위 10%의 부 보유율 80%(1939년 이후 최고)라는 상당한 경제적 충격이 예상된다. 흥미로운 건, 전체 분석 변동성의 5.2%만이 시나리오 간 차이에서 나온다는 점이다. 즉 AI 능력 자체에 대한 의견 차이보다, 같은 AI 발전 수준에서도 경제적 결과에 대한 의견이 더 다양하다는 의미다.

극단적 AI 발전 시나리오에서도 GDP 성장률은 3.5%로, 역사적 기준으로는 높지만 "폭발적"이라 보긴 어렵다. 반면 일자리는 1천만 개 줄고 부의 집중은 80년 만에 최고 수준이 된다는 비대칭성이 눈에 띈다.

AI 투자 열풍 속에서 경제학자들의 체계적 전망이 나왔다는 점에서 중요하다. 테크 업계의 낙관론과 달리, 전문가들은 "점진적 성장, 뚜렷한 불평등 심화"라는 더 복잡한 그림을 그리고 있다. 200페이지 보고서는 당분간 AI 경제 효과 논의의 기준점이 될 것이다.

-> 2026-03-30 The first 40 months of the AI era