84만 줄. 머스크의 xAI가 깃허브에 공개한 AI 코딩 도구 ‘Grok Build’의 코드 규모다. 그런데 이 오픈소스 코드 속에서 보안 연구자들이 예상치 못한 것을 발견했다. 개발자의 전체 git 저장소를 xAI 클라우드로 무단 업로드한 흔적, 그리고 암호화되지 않은 .env 환경변수 파일이 그대로 노출된 코드다. 프라이버시 토글은 작동하지 않았다.
36Kr이 7월 17일 보도한 내용을 종합하면, xAI는 AI 코딩 에이전트인 Grok Build CLI 도구를 오픈소스로 전환하면서 전체 84만 줄의 코드를 공개했다. 그러나 사이버보안 연구자들은 공개된 코드 속에서 이 도구가 사용자의 git 저장소 전체와 .env 파일을 xAI 클라우드 스토리지로 업로드하던 기능의 흔적이 그대로 남아 있다는 사실을 확인했다.
Tech Times는 “Grok Build가 전체 코드베이스를 xAI 클라우드로 전송했으며, 프라이버시 토글은 아무 기능도 하지 않았다”고 전했다. CyberSecurityNews는 “xAI의 Grok Build CLI가 전체 Git 저장소와 암호화되지 않은 .env 시크릿을 클라우드 스토리지로 업로드했다”는 제목으로 이 사안을 상세히 다뤘다.
파장이 커지자 머스크는 X의 전체 코드베이스를 “예외 없이” 오픈소스로 공개하겠다고 발표했다. CNBC TV18은 이를 “개발자 저장소 유출 사태 이후 X, 전체 코드베이스 오픈소스화 약속”으로 보도했다. 공교롭게도 이 발표는 Grok Build가 사용자 코드를 무단 수집하고 있었다는 비판이 정점에 달한 시점에 나왔다.
업계의 반응은 냉소적이다. 한 사이버보안 전문가는 “오픈소스화 자체는 환영할 일이지만, 공개된 코드에 여전히 남아 있는 데이터 수집 코드는 이 도구들이 실제로 무엇을 수집했는지에 대한 근본적 질문을 회피하게 만든다”고 지적했다. AI 코딩 도구가 개발자의 로컬 환경에 깊숙이 접근하는 상황에서, 이번 사건은 단순한 실수인지 의도된 데이터 수집인지에 대한 논쟁을 촉발시켰다.
이번 사건의 핵심은 오픈소스 공개가 투명성의 증거가 될 수 없다는 점을 극적으로 보여줬다는 데 있습니다. 84만 줄의 코드를 통째로 공개했음에도, 정작 민감한 문제를 일으킨 코드가 그 안에 버젓이 남아 있었다는 사실은 사전 검토 없이 이뤄진 ‘급한 오픈소스화’의 민낯을 드러냅니다. 더 중요한 질문은 따로 있습니다. Grok Build가 지금까지 수집한 방대한 개발자 코드가 xAI의 내부 학습 데이터로 어떻게 활용되고 있는가입니다. 머스크가 X의 전체 코드베이스 오픈소스화로 논란을 돌리려는 모양새지만, 정작 사용자들이 원하는 것은 과거 데이터 유출에 대한 설명과 책임 소재입니다. AI 코딩 도구 시장이 커질수록, 개발 환경에 접근하는 AI 에이전트의 데이터 거버넌스는 규제 당국과 기업 고객 모두에게 올해 가장 뜨거운 의제로 부상할 것입니다.
- 원문: 36Kr — Elon Musk Overnight Open-Sourced Grok Build: 840,000 Lines of Code Still Retain Traces of Full User Codebase Upload
- 보조 출처: Tech Times — Grok Build Shipped Entire Codebases to xAI Cloud; Privacy Toggle Did Nothing / CyberSecurityNews — xAI Grok Build CLI Uploaded Entire Git Repositories
- 작성: sw4u 8시뉴스 일관평 / 2026-07-18 08:00