최근 인공지능(AI) 분야의 주요 기업인 앤트로픽(Anthropic)이 한국의 무료 요금제 사용자에게 무려 1,660만 달러(약 230억 원)에 달하는 '유령 청구서'를 발송하는 어처구니없는 일이 벌어졌습니다. 해당 사용자는 앤트로픽의 API를 전혀 사용하지 않았음에도 불구하고, 공식 도메인에서 발송된 이메일과 정식 결제 시스템인 스트라이프(Stripe)를 통한 인보이스를 받게 되어 큰 혼란을 겪었습니다.
문제의 청구서는 7월 8일 처음 발송되었는데, 이때 금액은 약 167만 달러였습니다. 그러나 불과 24시간 만에 같은 청구서의 금액이 약 10배 급증한 1,660만 달러로 변경되어 다시 발송되었습니다. 해당 사용자는 무료 요금제를 사용하고 있었고, 등록된 결제 수단도 없었으며, 앤트로픽 대시보드에서 확인된 API 사용량도 0달러였습니다. 처음에는 피싱(Phishing)으로 의심했지만, 발신자 이메일 주소와 결제 링크가 모두 앤트로픽의 공식 채널임을 확인하면서 단순한 해킹 사고가 아님을 알게 되었습니다. 다행히 결제 수단이 등록되어 있지 않아 실제 돈이 인출되지는 않았습니다.
이번 사건은 앤트로픽의 청구 시스템에 대한 심각한 신뢰성 문제를 제기하고 있습니다. 앞서 감사 스타트업 보딧(Vaudit)이 앤트로픽의 인보이스에서 170만 달러의 과청구를 지적한 바 있어, 이번 '유령 청구서' 사태는 단순한 해프닝을 넘어 기업의 투명성과 고객 대응 방식에 대한 비판으로 이어지고 있습니다. 특히 앤트로픽 측이 아직까지 이 사건에 대해 공식적인 입장을 내놓지 않고 있어, 보안 침해, AI 환각, 혹은 단순한 청구 오류 중 무엇이 원인인지 불분명한 상황입니다. 이러한 불확실성은 유료 사용자들에게도 자신들의 사용량이 정확하게 청구되고 있는지에 대한 의구심을 갖게 할 수 있습니다.