3월 31일, Anthropic는 Claude Code 2.1.88 배포 과정에서 내부 TypeScript 코드가 들어 있는 소스맵 파일을 함께 공개해 버렸다. 이후 공개 보도를 통해 이 파일이 50만 줄이 넘는 Claude Code 내부 구현을 사실상 복원 가능한 수준으로 노출했다는 점이 알려졌고, Anthropic은 이를 “인간 실수로 인한 릴리스 패키징 문제”라고 설명했다. 다음 날 공개된 Claude Code 변경 이력은 이미 2.1.89로 넘어가 있어, 문제 버전이 매우 빠르게 대체됐다는 점도 확인된다.
여기서 핵심은 “해킹으로 모델 가중치가 털린 사건”이 아니라는 점이다. 소스맵은 원래 번들되거나 변환된 JavaScript를 원본 소스에 다시 매핑하기 위한 JSON 형식 파일이고, 디버깅 편의를 위해 쓰인다. 문제는 이 파일이 잘못 배포되면, 원래 감춰져 있어야 할 소스 구조와 원본 코드가 재구성 가능해진다는 데 있다. 이번 사건은 바로 그 실수가 실제 제품 코드 노출로 이어진 케이스였다.
이번에 외부로 드러난 것은 Claude Code CLI의 내부 구현, 기능 플래그, 향후 기능 단서, 일부 시스템 프롬프트와 메모리 구조에 대한 힌트들이었다. 반면 Anthropic은 고객 데이터나 자격 증명은 노출되지 않았고, 유출된 것은 Claude 모델 자체가 아니라 Claude Code 제품 코드라고 선을 그었다. 이 구분은 중요하다. 모델의 비밀이 샌 것이 아니라, 에이전트형 코딩 도구를 어떻게 조립했는지가 샌 사건이기 때문이다.
유출보다 더 흥미로운 건 그 다음이었다
그런데 더 흥미로운 건 유출 자체보다 그 다음에 벌어진 일이다. 이런 사건이 터지자마자 왜 Claw Dev 같은 프로젝트가 금방 나올 수 있었을까. 이유는 Claude Code의 구조가 생각보다 “닫힌 단일 앱”이 아니라 “호환 가능한 API 위에 올라간 클라이언트”에 가깝기 때문이다.
Anthropic 공식 문서를 보면 Claude Code는 ANTHROPIC_AUTH_TOKEN을 이용해 LLM 게이트웨이나 프록시를 경유할 수 있고, 게이트웨이 쪽은 Anthropic Messages 형식의 /v1/messages 엔드포인트와 관련 헤더를 제대로 전달하면 된다. 심지어 공식 릴리스 노트에는 프록시가 세션 단위 요청을 묶어 볼 수 있도록 X-Claude-Code-Session-Id 헤더가 추가됐다는 내용도 있다. 즉, 원래부터 “중간에 호환 프록시를 두는 구조”는 충분히 성립 가능한 설계였다.
Claw Dev는 바로 그 틈을 파고들었다
Claw Dev는 바로 그 틈을 파고든 프로젝트다. 현재 공개된 GitHub 저장소는 자신을 “local multi-provider coding assistant launcher”라고 설명하고, 저장소 안에 Leonxlnx-claude-code/라는 번들드 터미널 클라이언트 디렉터리와 src/anthropicCompatProxy.ts라는 로컬 프록시 구현을 포함하고 있다.
README 기준으로 이 프록시는 Claude Code 스타일의 Anthropic /v1/messages 요청을 OpenAI, Gemini, Groq, Ollama, GitHub Copilot Models, z.ai 호출로 번역한다. 말하자면, 프런트엔드는 Claude Code처럼 유지하고 백엔드만 갈아끼우는 구조다. 작성 시점 기준 저장소는 4 commits, 254 stars, 153 forks, 릴리스 없음, 기여자 2명 상태다.
“Claude Code를 0원으로 쓸 수 있다”는 말은 절반만 맞다
이 지점에서 “Claude Code를 이제 0원으로 쓸 수 있다”는 말은 절반만 맞다. Anthropic 공식 문서는 Claude Code 사용에 Pro, Max, Teams, Enterprise, Console 계정 또는 Bedrock·Vertex·Foundry 같은 제3자 제공자 설정이 필요하다고 밝히고, 무료 Claude.ai 플랜에는 Claude Code 접근이 포함되지 않는다고 적고 있다. 즉, Anthropic이 공식적으로 Claude Code를 공짜로 푼 것은 아니다.
다만 Ollama의 현재 공식 문서는 Anthropic 호환 API를 통해 “Claude Code 같은 도구”를 Ollama에 연결할 수 있다고 설명하고, 심지어 Claude Code 전용 통합 문서에서 오픈 모델을 Claude Code와 함께 쓸 수 있다고 적고 있다. 로컬 Ollama API는 localhost:11434에서 인증 없이 동작하므로, 이 조합에서는 “Anthropic 과금 없이 Claude Code 스타일 워크플로를 로컬 모델에 태운다”는 의미의 사실상 무상 사용이 가능해진다.
정확히 말하면 “Claude Code가 공짜가 된 것”이 아니라, “Claude Code 인터페이스가 더 저렴하거나 로컬인 백엔드에 연결될 수 있게 된 것”에 가깝다.
이건 유출 해프닝이면서도, 더 큰 흐름의 일부다
더 흥미로운 건 이 흐름이 이제 예외가 아니라는 점이다. Ollama 공식 퀵스타트는 아예 ollama launch claude를 안내하고 있고, Claude Code 통합 문서에서도 Anthropic 호환 API로 Claude Code를 붙이는 방법을 별도 페이지로 제공한다.
즉 Claw Dev 같은 비공식 런처는 “유출이 만든 돌발 해프닝”이기도 하지만, 동시에 AI 코딩 도구가 점점 “프런트엔드 경험”과 “모델 백엔드”로 분리되어 가는 흐름을 보여주는 사례이기도 하다. 클라이언트가 충분히 게이트웨이 친화적이면, 결국 모델 교체는 기술적으로 시간문제다.
진짜로 드러난 건 제품 경계의 약화다
이 사건이 진짜로 보여준 건 기술보다 제품의 경계가 약해지고 있다는 사실이다. 예전에는 “특정 회사의 코딩 에이전트”라고 하면 모델, 클라이언트, 워크플로, 권한 제어가 하나의 묶음처럼 보였다. 하지만 이번 일 이후 더 선명해졌다.
사용자가 체감하는 건 터미널 UX와 에이전트 루프이고, 그 뒤에서 실제로 답을 생성하는 모델은 Anthropic일 수도, OpenAI일 수도, Gemini일 수도, 아니면 내 PC에서 도는 로컬 모델일 수도 있다.
그래서 앞으로의 해자는 단순히 “CLI를 예쁘게 만들었다”에 있지 않다. 더 중요한 건 모델 품질, 장기 세션 안정성, 권한/보안 설계, 팀 기능, 배포 신뢰성, 그리고 생태계다.
물론 주의할 점도 있다
물론 여기엔 분명한 주의점도 있다. Claw Dev 같은 저장소는 아직 초기 상태이고, Claude Code 계열 도구는 원래부터 코드 읽기, 파일 수정, 셸 명령 실행 같은 강한 권한을 가진다. 공식 Claude Code 문서도 이 도구가 코드베이스를 읽고, 파일을 수정하고, 명령을 실행하는 에이전트형 툴이라고 설명한다.
따라서 비공식 번들 클라이언트나 파생 런처를 민감한 저장소, 회사 계정, 실제 운영 자격 증명이 있는 환경에서 바로 쓰는 건 별개의 리스크다. Anthropic 역시 현재는 npm 설치에서 네이티브 설치로 이동하라고 안내하고 있고, 최신 기능을 바로 받는 latest 채널 대신 약 일주일 늦은 stable 채널도 제공한다. 이건 단순 편의 기능이 아니라 배포 신뢰성에 대한 메시지이기도 하다.
정리하면
정리하면, 이번 사건의 본질은 “Claude Code가 유출됐다”보다 조금 더 크다. 더 정확한 표현은 이렇다.
Claude Code의 내부 구현이 실수로 노출되면서, AI 코딩 에이전트의 프런트엔드와 백엔드가 얼마나 쉽게 분리될 수 있는지가 드러났고, 그 결과 Claw Dev 같은 멀티 프로바이더 런처가 거의 즉시 현실화됐다.
유출본 자체보다 더 오래 남을 변화는 아마 이쪽일 것이다. 이제 사람들은 특정 회사의 코딩 에이전트를 통째로 쓰기보다, 익숙한 에이전트 UX를 유지한 채 모델만 바꿔 쓰는 방향을 더 적극적으로 시도하게 될 가능성이 크다.
