클로드코드 DMCA 대참사 — 앤트로픽이 GitHub 8,100개 저장소를 날린 하루
지난 글에 이어서
지난 글에서 클로드코드 소스코드 51만 줄이 npm 패키지에 그대로 딸려 나간 사건을 다뤘잖아요. .npmignore에 소스맵 파일을 빼먹은 게 원인이었죠. 그런데 그 뒤에 벌어진 일이 더 황당하거든요. 앤트로픽이 유출 코드를 정리하겠다고 DMCA(미국 디지털 저작권법에 따른 삭제 요청)를 날렸는데, 그게 GitHub 생태계를 통째로 뒤흔들어 버렸어요.
클로드코드 저장소 8,100개가 한 방에 사라진 이유
2026년 3월 31일, 앤트로픽은 GitHub에 DMCA 테이크다운 통지를 제출했죠. 대상은 nirholas/claude-code 저장소. 통지서에는 “저장소 전체가 침해”라고 적혀 있었어요.
여기서 GitHub DMCA 정책이 문제를 키웠어요. 포크가 100개를 넘으면 네트워크 전체를 한꺼번에 처리하는 규칙이 있잖아요. 결과적으로 약 8,100개 저장소가 일괄 비활성화. 원본에서 유출 코드를 가져간 포크든, 아무 관계 없는 포크든 구분 없이 전부 내려갔죠.
유출된 소스맵은 59.8MB, 코드 분량은 약 1,900개 파일에 걸친 512,000줄 이상. Bun 빌더가 기본적으로 소스맵을 생성하는데, .npmignore에 *.map을 넣지 않은 게 발단이었어요. 한 줄 실수가 8,100개 저장소를 날린 셈.
“스킬 하나 편집했을 뿐인데”
피해는 엉뚱한 사람들한테 돌아갔죠. 유튜버 Theo(t3.gg)는 유출 코드와 아무 상관이 없었거든요. PR에서 스킬 파일만 수정한 게 전부였는데 저장소가 통째로 막혔죠.
개발자 Daniel San도 마찬가지. 포크에 들어있던 건 스킬, 예시, 문서뿐이었더라고요. Danila Poyarkov는 공개 저장소를 포크했을 뿐인데 DMCA 통지를 받았어요.
코드를 유출한 적이 없는 사람들이, 포크 네트워크에 엮였다는 이유만으로 저장소를 잃은 거예요.
하루 만에 철회
반발이 거세지자 앤트로픽은 다음 날인 4월 1일에 DMCA 철회 문서를 냈어요. 원본 nirholas/claude-code와 개별적으로 지목된 96개 포크만 차단을 유지하고, 나머지 전부 복원해달라는 내용이었죠.
클로드코드 책임자 Boris Cherny에 따르면 “의도적인 건 아니었고, GitHub과 함께 수정 작업을 진행하고 있다”고. 8,100개를 날린 뒤 하루 만에 되돌린 건데, 그 하루 동안 개발자들이 겪은 혼란은 이미 되돌릴 수 없었죠.
인터넷은 잊지 않더라고요
DMCA가 나간 바로 그날, 한국인 개발자 Sigrid Jin이 움직였죠. 새벽 4시에 유출 소식을 접하고 바로 작업을 시작했어요.
그렇게 나온 게 claw-code예요. 방식이 영리했어요. 원본 TypeScript를 한 줄도 남기지 않는 클린룸 디자인. 처음에 Python으로 재작성하고, 이후 Rust로 다시 옮겼죠. 원본 코드가 한 줄도 안 남았으니 저작권 침해가 성립하지 않는다는 논리를 내세웠죠.
GitHub에 올리자 2시간 만에 스타 50,000개를 찍었더라고요. 별도로 탈중앙화 플랫폼 Gitlawb에도 미러가 올라갔는데, “절대 삭제 안 됨”이라는 메시지가 함께 달렸어요. 앤트로픽이 DMCA로 막으려 할수록, 코드는 오히려 더 널리 퍼진 셈이죠.
클로드코드 IPO 앞두고 5일 만에 두 번째 사고
타이밍이 안 좋았죠. 클로드코드는 연간 반복 매출(ARR) $2.5B, 우리 돈으로 약 3.6조 원 규모거든요. 기업 고객이 매출의 80%를 차지하고, 앤트로픽 기업가치는 $350B~$380B. 2026년 4분기 IPO를 검토 중이에요.
그런데 3월 26일 Mythos CMS 설정 유출에 이어 3월 31일 소스코드 유출. 5일 사이에 보안 사고 두 건.
Boris Cherny에 따르면 “배포 과정에 수동 단계가 몇 개 있는데, 그중 하나를 제대로 수행하지 못한 휴먼 에러”였다고. 해고된 사람은 없고, “정직한 실수였다”는 입장이었죠. “개인 탓이 아니라 프로세스와 문화, 인프라의 문제”라고도 했어요.
같은 사람의 다른 발언이 눈에 걸리더라고요. “개인적으로 2개월 넘게 코드를 100% AI가 작성하고 있고, 작은 수정도 직접 하지 않는다.” AI가 100% 작성한 코드에서 .npmignore 한 줄이 빠진 거예요. v2.1.88은 npm에서 제거됐고, v2.1.87에서 바로 v2.1.89가 발행됐어요.
FAQ
Q. DMCA로 유출 코드를 완전히 삭제할 수 있나요?
GitHub 같은 곳에선 내릴 수 있지만, 이미 누군가 받아갔거나 다른 곳에 복사해 뒀다면 사실상 회수가 안 되죠. 이번에도 Gitlawb 같은 탈중앙화 플랫폼에 미러가 올라갔고, claw-code처럼 클린룸 재작성까지 나왔어요.
Q. claw-code는 어떻게 저작권 문제를 피했나요?
클린룸 디자인이라는 방법을 썼기 때문이에요. 원본 TypeScript 코드를 참조하지 않고 기능만 분석한 뒤 Python과 Rust로 완전히 새로 작성한 거예요. 원본 코드가 0줄 남아있으니 새로운 창작물이라는 논리. 법적으로 다툼의 여지가 있긴 하지만, 현재까지 DMCA 대상이 되진 않았어요.
Q. 앤트로픽 IPO에 영향이 있을까요?
매출의 80%가 기업 고객인데, 5일 사이 보안 사고가 두 건이면 신뢰에 금이 안 갈 수가 없잖아요. 기업가치 $350B~$380B에 Q4 IPO를 검토 중인 만큼, 재발 방지 조치가 빨리 나와야 할 텐데 어떻게 될지 지켜봐야죠.
- GitHub DMCA 통지서 — 2026-03-31-anthropic.md
- GitHub DMCA 철회 문서 — 2026-04-01-anthropic-retraction.md
- PiunikaWeb — Anthropic DMCA: Claude Code leak leads to mass GitHub takedown
- 36kr — claw-code: Clean-room rewrite of Claude Code
- Yahoo Finance — Claude Code 512,000 line leak and business impact
- Decrypt — Anthropic Accidentally Leaked Claude Code’s Source
- OfficeChai — Boris Cherny 인터뷰 원문
- Futurism — Anthropic’s 100% AI-Written Code Leak
