xAI “Grok에 코드 다 털렸어요”…개발자들 충격

xAI의 AI 코딩 도우미 ‘Grok Build’가 사용자의 깃 저장소 전체를 — 비공개 .env 파일과 시크릿 키까지 포함해 — xAI 클라우드로 자동 업로드하고 있었다는 사실이 14일(현지시각) 드러났다. 프라이버시 보호 토글은 무용지물이었고, 머스크는 전격적인 내부 감사를 예고했다.

보안 연구자들이 이날 공개한 분석에 따르면, Grok Build CLI는 개발자가 명시적으로 허용한 파일만 전송하는 것이 아니라 작업 중인 깃 저장소의 전체 코드베이스를 xAI의 구글 클라우드 스토리지 버킷에 업로드했다. 여기에는 데이터베이스 접속 정보, API 키, 서드파티 인증 토큰 등이 담긴 .env 파일도 그대로 포함됐다. 문제의 업로드는 Grok Build가 설치된 순간부터 백그라운드에서 자동 실행됐으며, 사용자에게 별도 고지도 없었다.

더 심각한 것은 이 업로드가 ‘코드 공유 설정’과 무관하게 작동했다는 점이다. Grok Build의 설정 화면에는 분명히 “코드 공유”를 끄는 토글이 존재했지만, 보안 연구진이 확인한 결과 이 토글은 업로드 동작에 전혀 영향을 주지 않았다. 꺼도 올라갔다. 국제 사이버 보안 매체 사이버뉴스는 이 상황을 “앱이 당신의 비밀을 빨아들이고 있었다(Slurping Secrets)”고 표현했고, 더 레지스터는 “개발자 동의 없는 전면적 저장소 업로드”라고 지적했다.

이번 사태가 특히 민감한 이유는 Grok Build의 사용자층이 대부분 기업 개발자라는 점이다. 더 버지에 따르면 Grok Build는 2025년 말 출시 이후 “GPT-5.5급 코딩 성능을 10분의 1 가격에 제공한다”는 평가를 받으며 빠르게 기업용 시장을 잠식해왔다. 그동안 xAI는 Grok Build를 “로컬에서 안전하게 실행되는 AI 코딩 파트너”라고 마케팅해왔는데, 실제로는 로컬 컴퓨터의 가장 민감한 파일들을 자동으로 클라우드로 전송하고 있었던 셈이다.

일론 머스크는 이날 자신의 X 계정을 통해 “이 문제에 책임 있는 자들을 찾아내 문책할 것”이라며 내부 감사를 예고했다. 악시오스의 후속 보도에 따르면 xAI는 이미 수집된 데이터를 삭제하기 시작했으며, 긴급 패치를 준비 중이다.

보안 업계의 반응은 냉담하다. 한 사이버 보안 전문가는 해커뉴스에 “실수라고 치부하기에는 설계 단계에서부터 동의를 무시한 구조적 결함”이라고 평했다. 인시큐리티의 칼럼니스트는 “AI 도구가 사용자 저장소 전체를 읽지 않고는 코딩 도우미 기능을 할 수 없다는 주장은 오히려 이 사태의 본질을 회피하는 것”이라고 꼬집었다.

이번 사건은 AI 코딩 도구의 신뢰성에 대한 근본적인 의문을 던집니다. Grok Build만의 문제가 아니라, 로컬에서 실행된다고 믿었던 도구가 실제로는 사용자의 가장 민감한 데이터를 중앙 서버로 전송하는 구조 자체가 AI 업계 전반에 걸친 사각지대라는 점이 드러난 셈입니다. 개발자 커뮤니티가 요구하는 것은 단순한 패치가 아니라 투명한 데이터 흐름의 재설계이며, 이번 사태가 없다면 그 논의가 시작조차 되지 않았을 것이라는 점에서 역설적이지만 AI 산업에 필요한 충격이었다고도 볼 수 있겠습니다.


이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다.