사건의 경과: 12GB 중 5.1GB가 서버로 흘러간 까닭
지난 7월 13일 개발자 공유 플랫폼 깃허브에 폭로가 올라왔다. 일론 머스크의 인공지능 기업 스페이스XAI의 AI 코딩도구 '그록 빌드'가 사용자 동의 없이 코드를 자사 서버로 전송한다는 내용이었다. 검증 과정에서 실제로 데이터 12기가바이트(GB)짜리 가짜 코드 저장소 중 5.1GB가 스페이스XAI 서버로 빠져나간 사실이 확인됐다.
이 논란은 즉시 업계의 관심을 받았다. 오픈AI, 앤트로픽 등 주요 AI 기업들이 데이터 유출을 우려하고 있는 상황에서 일어난 사건이기 때문이다. 오픈AI의 샘 올트먼 CEO도 "걱정된다"고 직접 언급했다.
스페이스XAI는 이틀 만에 강경한 대응에 나섰다. 2026년 7월 15일, X(옛 트위터)를 통해 "보존된 모든 데이터를 삭제해 완벽한 사용자 개인정보 보호를 보장한다"고 밝혔다.
기본값 변경과 소스코드 공개: 신뢰 회복의 두 가지 수단
스페이스XAI는 여러 조치를 동시에 실행했다.
1. 데이터 업로드 정책 변경
그록 빌드 초기 출시 당시, 사용자는 명시적으로 '데이터를 업로드하지 않는다'는 조항에 체크해야 했다. 회사는 이를 역으로 변경했다. 지금은 데이터 업로드를 기본값으로 비활성화해 사용자가 별도로 동의하지 않으면 서버 전송이 일어나지 않는 구조다.
동시에 회사는 ZDR(Zero Data Retention) 정책을 유지하고 있다고 설명했다. ZDR은 AI 모델 등 시스템이 작업을 마친 뒤 사용자 정보를 완전히 폐기하는 방침을 의미한다. 다만 출시 초기에는 이 정책이 제대로 작동하지 않았던 셈이다.
2. 소스코드 공개
스페이스XAI는 그록 빌드의 소스코드(소프트웨어의 설계도)를 공개했다. 사용자가 직접 도구를 컴퓨터에 다운로드해 데이터 유출 우려 없이 사용할 수 있다는 의미다. 다만 제한이 있다. AI 모델 가중치(엔진에 해당하는 부분)는 여전히 비공개 상태로, 그록 빌드를 최대 성능으로 활용하려면 API(응용프로그램인터페이스) 비용을 지불해야 한다.
데이터 유출 통계: 구체적 수치로 본 위험도
| 항목 | 수치 | 의미 |
|---|---|---|
| 실험용 코드 저장소 크기 | 12GB | 전체 용량 |
| 실제 유출 데이터 | 5.1GB | 약 42.5% 유출률 |
| 대응 소요 시간 | 이틀 | 7월 13일 폭로 → 7월 15일 조치 |
| 현재 데이터 보관 상태 | 모두 삭제 | 영구 폐기 완료 |
의미 해석: 신뢰와 투명성의 갈림길
이 사건은 세 가지 질문을 던진다.
첫째, AI 기업의 데이터 정책이 얼마나 신뢰할 만한가?
스페이스XAI는 애초부터 "데이터를 저장하지 않는다"고 주장했지만, 실제로는 42.5%에 달하는 데이터가 서버로 전송됐다. 사용자 입장에서는 기업의 공식 설명보다 실제 동작을 믿기 어려운 상황이 된 것이다.
둘째, '기본값'의 중요성이다.
개인정보보호 관점에서 '데이터 업로드 동의 필수'와 '기본값 비활성화'는 정반대다. 같은 기능이라도 어느 쪽이 기본값인지에 따라 수백만 사용자의 데이터 노출 여부가 결정된다. 스페이스XAI가 초기에 동의를 강제하는 방식을 택한 이유가 명확하지 않지만, 이는 사용자 보호보다 데이터 수집을 우선했다는 인상을 준다.
셋째, 투명성의 한계다.
소스코드 공개는 신뢰 회복의 긍정적 신호지만, AI 모델 자체는 여전히 폐쇄돼 있다. 사용자는 알고리즘 동작 방식을 알 수 없으므로, 소스코드 공개만으로는 완전한 보안을 보장할 수 없다.
실무 관점의 이용자 선택지 변화
이 사건 이후 사용자의 선택지는 두 가지로 나뉜다.
Option 1: 클라우드 버전 (현재 기본값)
- 편의성: 높음 (자동 업로드 등 추가 기능)
- 데이터 안전성: 기업 신뢰도에 의존
- 비용: API 사용 시에만 발생
Option 2: 로컬 설치 버전 (오픈소스)
- 편의성: 낮음 (수동 관리 필요)
- 데이터 안전성: 사용자 통제
- 비용: API 사용 시에만 발생
결론
스페이스X AI의 데이터 모두 삭제 발표는 사후 대응이다. 사건 발생 이틀 만의 조치는 신속했지만, 이는 문제를 해결한 것이지 신뢰를 회복한 것은 아니다. 사용자는 지금 다음 단계를 고려해야 한다.
- 당신의 코드 보관 방식 재검토하기: 민감한 소스코드나 사내 코딩 스타일이 담긴 파일은 그록 빌드 같은 클라우드 AI 도구에 업로드 전에 두 번 생각하자.
- 로컬 설치 옵션 평가하기: 데이터 보안이 최우선이면 공개된 소스코드를 다운로드해 로컬에서 실행하는 방식을 검토하자.
- 다른 AI 코딩도구의 데이터 정책 비교하기: 단일 도구에 의존하기보다 여러 기업의 정책을 비교해 자신의 필요에 맞는 선택을 하자.