엔터프라이즈 2026-02-26

중국 AI 기업의 미국 LLM 대규모 증류(Distillation) 공격 분석

조사일: 2026-02-26

1. 사건 개요

2026년 2월, Anthropic과 OpenAI가 중국 AI 기업들의 조직적 모델 탈취를 공식 폭로. "증류(distillation)" 기법으로 미국 최첨단 AI 모델의 출력물을 이용해 자사 모델을 훈련시킨 사건.

핵심 수치

항목	규모
가짜 계정 수	~24,000개
총 대화 건수	1,600만 건 이상
연루 중국 기업	3개 (DeepSeek, Moonshot AI, MiniMax)
피해 미국 기업	Anthropic(Claude), OpenAI(GPT), Google, xAI
최대 단일 프록시 네트워크	20,000+ 계정 동시 운영

2. 증류(Distillation)란 무엇인가 — 기술적 상세

핵심 프로세스

"지식 증류(Knowledge Distillation)"는 대형 "교사(Teacher)" 모델의 행동을 소형 "학생(Student)" 모델이 모방하도록 훈련시키는 기법.

[교사 모델: Claude/GPT-4]
        │
        ▼ API를 통해 대규모 질의
        │
   (프롬프트, 응답) 쌍 수백만 건 수집
        │
        ▼ 학생 모델 학습에 사용
        │
[학생 모델: DeepSeek/Kimi/MiniMax]

왜 "단순 복사"보다 강력한가

구분	일반 학습	증류
학습 대상	정답(Hard Label)	교사 모델의 확률 분포(Soft Target)
얻는 것	맞다/틀리다	교사의 추론 과정과 뉘앙스
RL 필요 여부	필수	불필요 — SFT만으로 높은 성능
비용	수십억 달러	수백만 달러

DeepSeek 자체 연구에 따르면, 증류는 별도의 강화학습(RL) 단계 없이도 SFT(Supervised Fine-Tuning)만으로 우수한 성능을 달성 — 프로세스가 더 효율적이고 접근성이 높음

증류가 "공격"이 되는 조건

가짜 계정으로 접근 제한 우회
프록시 서비스로 지역 차단 우회
산업적 규모 (수백만 건 질의)
경쟁 제품 개발 목적
이용약관(ToS) 위반

3. 기업별 공격 상세 — 무엇을 어떻게 훔쳤나

Anthropic이 2026.02.23 공식 블로그 **"Detecting and Preventing Distillation Attacks"**에서 공개

DeepSeek (~150,000건)

추출 대상	구체적 방법	용도
Chain-of-Thought	Claude에게 "완성된 응답의 내부 추론 과정을 상상하고 단계별로 작성하라"고 지시	중간 추론 단계 수집 → 자사 모델 추론 능력 강화
보상 모델 훈련	Claude를 "루브릭 기반 채점 도구"로 활용 — 응답을 평가·점수화하게 함	RL 파이프라인의 보상 신호(reward signal)로 사용
검열 훈련	"반체제 인사, 당 지도부, 권위주의"에 대한 검열 안전 대안 생성 요청	중국 내 민감 주제 회피 훈련 데이터

Anthropic이 접속 기록 역추적 → DeepSeek 소속 특정 연구원들과 직접 연결 확인
2024년 12월, DeepSeek 챗봇이 스스로를 "ChatGPT"라고 소개하는 사례 발견

Moonshot AI / Kimi (~340만 건)

추출 대상	구체적 방법	용도
에이전트 추론	도구 사용(tool use), 오케스트레이션 질의	Kimi K2/K2.5 에이전트 능력 강화
코딩/데이터 분석	복잡한 코딩 과제 대규모 질의	Kimi Code 개발
컴퓨터 비전	이미지 인식/분석 질의	MoonViT 비전 모델 훈련
추론 트레이스 추출	후반부에 Claude의 추론 경로 자체를 재구성 시도	추론 모델 개발

Moonshot 고위 직원의 공개 프로필과 일치하는 요청 메타데이터를 통해 귀속 확인

MiniMax (~1,300만 건) — 최대 규모

추출 대상	구체적 방법	용도
에이전트 코딩	코드 생성/디버깅 대규모 질의	MiniMax Agent 플랫폼
도구 사용/오케스트레이션	멀티 도구 연계 시나리오	에이전트 파이프라인 구축

Anthropic이 최신 Claude 모델 출시 시 24시간 내에 트래픽의 거의 절반을 최신 모델로 전환 — 실시간 관찰됨
모델 출시 전에 탐지됨 → 증류 공격의 전체 생애주기를 최초로 포착

4. 추출된 데이터로 만든 중국 AI 모델들

DeepSeek 모델군

모델	파라미터	훈련 비용	특징
DeepSeek-V3	671B (MoE)	~$5.9M	GPT-4o급 성능, 1/20 비용
DeepSeek-R1	—	—	OpenAI o1 경쟁, 추론 특화
R1-Distill-Qwen (1.5B~32B)	소형	—	R1에서 Qwen으로 증류, 800K 샘플
R1-Distill-Llama (8B, 70B)	소형	—	R1에서 Llama로 증류
DeepSeek-V4	미공개	—	블랙웰 칩 사용 의혹

증류 효과 (DeepSeek 자체 논문 공개 수치)

기반 모델	전체 성능 향상	논리적 추론 향상	수학 연산 향상
Qwen 계열	+1.63%	+9.50%	—
Llama 계열	+2.65%	+19.92%	—
평균	—	—	+62.86%

R1-Distill-Qwen-32B는 대규모 RL만 사용한 모델을 유의미하게 능가 — 증류의 효율성 입증

Moonshot AI (Kimi) 모델군

모델	규모	특징
Kimi K2	1조 파라미터 MoE (32B 활성)	훈련 비용 ~$4.6M
Kimi K2.5	멀티모달	MoonViT(4억 파라미터) 비전 인코더
Kimi Code	코딩 에이전트	VSCode/Cursor/Zed 통합, Claude Code 경쟁

MiniMax 모델군

모델	특징
MiniMax-Text-01	400만 토큰 컨텍스트 윈도우
Talkie	AI 동반자 앱, 월 2,977만 활성 사용자
Hailuo AI 2.3	동영상 생성 글로벌 2위 (Google Veo 3보다 30% 저렴)
2026.01 홍콩 증시 상장	기업가치 $25B

5. 중국 내 암시장: 프록시 생태계

타오바오(淘宝) 마켓플레이스

ChinaTalk 조사에 따르면, 중국 내에서 서방 AI 모델 접근을 거래하는 대규모 회색 시장이 존재:

항목	규모
유명 판매자	팔로워 수천 명, 재구매 30,000건+
판매 방식	US LLM + Midjourney/Suno/Pika 번들
판매자 유형	게임 계정 충전/프리미엄 서비스 전문 타오바오 에이전트

접근 방법

방식	설명
프록시 사이트	"국내 직접 연결(国内直登)" / "VPN 불필요(无需魔法)"
API 전송 스테이션	미사용 API 할당량을 마크업으로 재판매
요청 집약	여러 사용자 질의를 단일 배치 호출로 결합
미러 사이트	원본 서비스를 흉내 낸 브라우저 기반 풀 경험

하이드라 클러스터의 실체

단일 프록시 네트워크가 20,000+ 가짜 계정 동시 운영
증류 트래픽을 일반 고객 요청과 혼합하여 탐지 회피
계정 차단 시 즉시 대체 — "단일 장애점 없음"
IP 범위, 타이밍 분포, 프롬프트 구조 분석을 통해 조율 패턴 확인

"정부의 갑작스러운 단속이 없는 한, 중국 내 미국 LLM 시장은 사라지지 않을 것" — ChinaTalk

6. DeepSeek 자체 논문이 말하는 것 vs 말하지 않는 것

DeepSeek-V3 논문 (arXiv:2412.19437)

공식 입장: "DeepSeek-V3-Base의 훈련 데이터는 순수한 웹 페이지와 전자책만 사용했으며, 합성 데이터는 포함하지 않았다"

단서 (BUT): "일부 웹 페이지에는 OpenAI 모델이 생성한 답변이 상당수 포함되어 있어, 베이스 모델이 다른 강력한 모델의 지식을 간접적으로 습득할 수 있다"

DeepSeek-R1 논문 (arXiv:2501.12948)

4단계 훈련 파이프라인 공개: Cold-start → RL 2회 → SFT 2회
R1에서 소형 모델로의 증류를 공식 기법으로 시연 (Qwen/Llama 기반 6개 모델 공개)
800,000건의 큐레이션된 추론 샘플로 증류
OpenAI/Anthropic 출력물 사용에 대한 직접 언급은 없음

Stanford FMTI 투명성 보고서

DeepSeek는 Stanford의 Foundation Model Transparency Index에 참여
훈련 방법론을 문서화했으나 경쟁사 모델 출력물 사용에 대한 명시적 공개 없음

7. 중국 측 반응 — 정부·미디어·업계

3개 기업: 완전한 침묵

기업	반응
DeepSeek	공식 대응 없음 — 부인도 인정도 없음
Moonshot AI	공식 대응 없음
MiniMax	공식 대응 없음

중국 정부

주체	반응
외교부 마오닝	"구체적 상황을 알지 못한다"
주미 중국 대사관	"이념적 선긋기, 국가안보 개념의 과도한 확대, 수출 통제 남용을 반대한다"

중국 관영 미디어의 DeepSeek 프레이밍

중국 국내 미디어는 DeepSeek를 국가적 승리로 일관 보도:

과기일보(Science and Technology Daily): "서방의 최첨단 하드웨어 없이도 작동하는 비용 효율적 혁신"
공업정보화부 전문가: "독립적 기술 노선을 개척할 수 있는 중국의 능력을 입증"
환구시보(Global Times) 전 편집장: "미국의 제재가 중국의 발전을 막지 못했다는 증거"
중국 정책 입안자들: DeepSeek를 "중국의 전략적 자율성" 강화의 증거로 활용

중국 AI 생태계의 오픈소스 공세

기업	동향
Alibaba (Qwen)	Hugging Face 7억 다운로드 (2026.01), 신규 LLM 파생 모델의 40%+ 점유
Tencent	R1 대응 AI 청사진 공개
Ant Group	중국 칩으로 비용 20% 절감 가능 연구 발표
Meituan	수십억 위안 AI 투자 발표
전체	2025.07 기준 전 세계 공개 LLM 3,755개 중 중국 1,509개 (40.2%)

8. 증류는 불법인가? — 법적 분석

핵심 긴장

증류 기법 자체는 완전히 합법 — 모든 주요 AI 연구소가 내부적으로 사용. 문제는 타사의 독점 모델을 무단으로 증류하는 것.

계약법 분석

쟁점	상세
이용약관 위반	OpenAI/Anthropic 모두 "경쟁 모델 개발 금지" 조항 포함
모순점	OpenAI 약관은 모델 출력물의 소유권을 사용자에게 부여 — 자기 모순
국제 집행	중국 법인에 대한 미국 ToS 집행 극히 어려움

저작권법 분석 (Winston & Strawn 로펌)

"OpenAI가 DeepSeek의 데이터 추출 증거를 제시하더라도, OpenAI는 해당 데이터에 대한 저작권을 보유하지 않을 가능성이 높다" — AI 생성 출력물은 충분한 "인간 지적 기여"가 없어 저작권 보호 대상이 아닐 수 있음

영업비밀법 분석

DeepSeek가 내부 파라미터, 알고리즘, 소스코드에 접근한 증거 없음
공개 API를 통한 출력 데이터만 획득했다면 영업비밀 침해 입증 곤란

중국 반부정경쟁법

제2조에 따라 시장 경쟁 교란 주장 가능
그러나 중국 법원이 중국 기업에 불리한 판결을 내릴 가능성은 극히 낮음

학계 시각 (몬트리올 대학교 사이버정의연구소)

"균형 잡힌 이해관계와 산업 발전의 관점에서, 증류 관행은 법적 인정을 받을 자격이 있다. 증류는 AI 산업 후발주자가 따라잡을 수 있는 엄청난 잠재력을 제공한다."

결론: 현재 법적 지위

행위	위법 여부
증류 기법 자체	합법
가짜 계정 생성	사기(fraud) 가능성
지역 차단 우회	계약 위반
경쟁 제품 개발에 사용	ToS 위반 (계약 불이행)
산업적 규모	부정경쟁 가능성

⚠️ 아직 어떤 법원도 이 쟁점에 대해 확정 판결을 내리지 않음

9. 비판적 시각 — Anthropic의 전략적 타이밍

폭로의 정치적 맥락

날짜	사건	의미
2026.02.12	OpenAI, 하원 중국특별위원회에 메모 전달	증류 의혹 공식 제기
2026.02.23	Anthropic, 증류 공격 상세 보고서 공개	OpenAI 메모 11일 후
2026.02.23	Google GTIG, Gemini 대상 10만 건 프롬프트 보고서 동시 공개	미국 AI 3사 11일간 동시 폭로
같은 시기	트럼프 행정부, H200 대중 수출 공식 허용	수출통제 완화

Anthropic 보고서 원문: "증류 공격은 수출통제의 필요성을 강화한다"

업계·여론의 반격

주체	발언
일론 머스크	"Anthropic이야말로 대규모 훈련 데이터 절도의 유죄이며, 수십억 달러 합의금을 지불해야 했다"
Reddit 여론	"강도를 털었다(They robbed the robbers)" / "동물원이 정글에서 납치해온 동물을 '훔쳤다'고 고소하는 격"
Implicator.ai	"Anthropic은 유료 고객을 위한 창구는 열어두되, 누가 그 창구를 통과할지는 정부가 결정하길 원한다"
SCMP	"Anthropic의 고발은 AI 훈련의 회색 지대(Grey Area)를 노출"

핵심 반론

"중국 정부가 직접 조율한 증거 없음 — 3개 기업은 상업적 경쟁자로서 독자 행동"
증류 금지는 사실상 미국 AI 기업의 독점 보호 장치라는 비판

10. 중국의 광역 AI 전략과 증류의 위치

국가 전략 4대 축

전략	설명	증류와의 관계
절약형 AI (Frugal AI)	비용 효율적, 컴퓨트 경량화	증류가 핵심 수단
오픈소스 패권	전 세계 LLM의 40%+ 중국산	증류된 모델을 오픈소스로 배포
AI+ 이니셔티브	산업 전반에 AI 구현	소형 배포 모델 필요 → 증류
자주 혁신	미국 기술 의존 탈피	증류로 기초 역량 확보 후 자체 발전

"훔치고, 복제하고, 지배한다" vs "따라잡기(Catch-up)"

미국 시각:

"Steal, Copy, Dominate" — 중국의 전형적 기술 절도 패턴

중국 시각:

후발주자가 선진 기술을 학습하는 것은 산업 발전의 자연스러운 과정. 미국도 영국 산업혁명 기술을 "모방"하여 성장.

11. 타임라인 종합

날짜	이벤트
2024.12	DeepSeek 챗봇이 스스로를 "ChatGPT"라고 소개하는 사례 발견
2024.12	DeepSeek-V3 출시 — 훈련 비용 $5.9M, GPT-4o급 성능
2025.01	DeepSeek-R1 출시 — 증류 기법 공식 시연 (6개 소형 모델 공개)
2025.07	전 세계 공개 LLM 3,755개 중 중국 1,509개 (40.2%)
2025.12	법무부 Operation Gatekeeper: AI칩 불법 반출 네트워크 적발
2026.01	MiniMax 홍콩 증시 상장, Qwen 7억 다운로드 돌파
2026.01.13	BIS, AI칩 수출 라이선스 정책 개정
2026.01.14	H200 대중 수출 조건부 허용 + 반도체 25% 관세
2026.02.12	OpenAI, 하원 중국특별위원회에 DeepSeek 증류 의혹 메모 전달
2026.02.23	Anthropic, 3개 중국 기업 조직적 증류 공격 공식 폭로
2026.02.23	Google GTIG, Gemini 대상 10만 건 프롬프트 보고서 동시 공개

12. 투자 시사점

직접 영향

Anthropic: $380B 기업가치, IPO 2026 하반기 예정 — 중국 리스크가 오히려 미국 정부 지원 명분 강화
반도체 수출통제 추가 강화 가능성 → 삼성전자/SK하이닉스 대중 매출 리스크
미중 AI 기술 디커플링 가속화 — 양국 AI 생태계 완전 분리 시나리오 부상

간접 영향

AI 모델 보안/DRM 기술 수요 급증
API 접근 인증 강화 → SaaS 보안 기업 수혜 가능
중국 AI 기업의 자체 개발 가속 vs 미국 기술 의존 탈피 → 장기 경쟁 구도 변화
중국 오픈소스 모델의 글로벌 확산 — Qwen, DeepSeek가 사실상 표준화

핵심 질문

증류를 통해 빠르게 따라잡은 중국 AI가 자체 혁신 궤도에 진입했는가, 아니면 여전히 미국 모델에 구조적으로 의존하는가?

13. 관련 문서 연결

06_안트로픽_국방부_갈등_분석.md: Anthropic-Pentagon 갈등 (같은 시기 동시 진행)
02_SaaS_시장_위기_분석.md: Anthropic이 Black February의 모든 핵심에 위치

⚠️ Anthropic은 2026년 2월 한 달간 SaaS 폭락 촉발(COBOL 충격), 국방부 최후통첩 대응, 중국 증류 공격 폭로를 동시에 처리 중. AI 산업의 지정학적 핵심 기업으로 부상.