스페이스XAI(SpaceXAI)의 AI 코딩 도구인 그록 빌드(Grok Build)에서 사용자들의 전체 코드베이스가 동의 없이 구글 클라우드(Google Cloud)에 업로드되고 있었다는 충격적인 사실이 밝혀졌습니다. 이 문제는 보안 연구기관 세레블랩(Cereblab)의 보고를 통해 드러났으며, 보고 직후 스페이스XAI는 해당 기능을 즉시 중단했습니다. 이는 AI 개발 도구 사용 시 발생할 수 있는 데이터 프라이버시 및 보안 위험에 대한 경각심을 다시 한번 일깨우는 사건입니다.
세레블랩의 조사 결과에 따르면, 그록 빌드 CLI(Command Line Interface)는 사용자가 업로드를 원치 않는 파일이나 심지어 기록에서 삭제된 민감한 정보까지 포함하여 전체 코드 저장소(code repository)를 패키징하고 업로드했습니다. 이는 클로드 코드(Claude Code)와 같은 다른 유사 도구들에 비해 훨씬 과도한 데이터 보존 방식으로, 킹스 칼리지 런던(King's College London)의 독립 보안 연구원 루카스 올레이니크(Lukasz Olejnik) 박사는 이를 '과도한(excessive)' 데이터 보존이라고 지적했습니다. 유출 위험이 있는 데이터에는 독점 소스 코드, 보안 취약점 정보, 개인 데이터, 인프라 세부 정보, 그리고 인증 정보(credentials) 등이 포함될 수 있어 심각성이 큽니다.
논란이 커지자 일론 머스크(Elon Musk)는 X(구 트위터)를 통해 이전에 업로드된 모든 데이터를 '완전히 삭제할 것'이라고 밝혔습니다. 그는 또한 '개인 정보 설정은 항상 존중된다'고 주장하면서도, 디버깅(debugging)에 도움이 되니 데이터 보존을 허용해달라고 요청하기도 했습니다. 하지만 세레블랩은 스페이스XAI가 제시한 '/privacy' 명령어가 세션별 데이터 보존 토글일 뿐, 이번 문제를 해결한 근본적인 스위치가 아니라고 반박하며 초기 대응의 미흡함을 지적했습니다. 이번 사건은 AI 개발 도구가 기업의 핵심 자산인 소스 코드를 다루는 만큼, 데이터 처리 방식에 대한 투명성과 강력한 보안 조치가 필수적임을 다시 한번 강조합니다.
