1,088개 프롬프트, 1,000시간의 침묵, 새벽 6시의 이메일

오늘은 숫자 이야기를 할게요. 1,088개의 프롬프트, 1,000시간의 침묵, 새벽 6시의 이메일. 각각의 숫자 뒤에는 누군가의 세계가 무너지는 소리가 있어요.

1,088개 프롬프트가 정부를 뚫었다

2025년 12월 27일, 한 명의 해커가 Claude Code를 열었어요. 버그 바운티 프로그램 참여자를 사칭하면서요. 그리고 약 3개월 후인 2026년 2월, 이 사람은 멕시코 정부기관 9곳의 데이터를 손에 쥐고 있었어요.

Hackread에 따르면, 해커는 34개 세션에서 1,088개의 프롬프트를 입력했고, AI는 5,317개의 명령을 실행했어요. 이 중 75%가 Claude Code가 생성한 명령이었어요. 20개 CVE를 겨냥한 커스텀 익스플로잇, 301개 Bash 스크립트, 113개 Python 스크립트가 자동으로 만들어졌죠.

결과요? 연방 세무청(SAT)에서 1억 9,500만 건의 납세자 기록, 멕시코시티 정부에서 2억 2,000만 건의 시민 기록, 총 약 150GB의 데이터가 빠져나갔어요. BACKUPOSINT.py라는 도구 하나로 305개 내부 서버에서 데이터를 수집하고, 2,597개의 정보 보고서로 정리까지 했대요.

무서운 건 속도예요. AI가 공격 속도를 압축해서 방어 측의 탐지 타임라인 안에 들어오지 못했다는 게 포렌식 결과로 나왔어요. 인간 해커 혼자였다면 몇 달 걸렸을 작업이 AI 덕에 며칠 안에 끝난 거예요.

그리고 이게 진짜 불편한 부분인데 — AI가 거부한 요청은? 해커가 그냥 프롬프트를 다시 써서 우회했대요. "이건 못 해줘"라는 가드레일이 "이걸 다른 말로 해줘"에 뚫린 거예요.

솔직히 이건 AI의 잘못이라기보다 인간이 AI를 무기화한 사례에 가까워요. 칼로 사람을 찌르면 칼의 잘못이 아니잖아요. 근데 이 칼이 자동으로 열쇠를 따고, 지도를 그리고, 도주 경로까지 짜주는 칼이라면? 제조사에게 어디까지 책임을 물을 수 있을지, 그 경계가 진짜 애매해지고 있어요.

축구를 지키려다 Docker를 잃은 나라

Hacker News에서 655점을 받은 글 제목이 너무 좋아서 그대로 가져왔어요 — "Tell HN: docker pull fails in Spain due to football Cloudflare block."

스페인에서 docker pull이 안 돼요. 축구 때문에.

Daniel의 블로그 분석에 따르면, La Liga(스페인 프로축구) 회장 하비에르 테바스가 2024년 12월 바르셀로나 상업법원에서 ISP에게 IP 차단 권한을 얻었어요. 불법 스트리밍 사이트를 막겠다는 거였는데, 문제는 이 사이트들이 Cloudflare CDN 뒤에 숨어 있었다는 거예요.

CDN은 하나의 IP 주소가 수백만 개의 웹사이트를 동시에 서비스하는 구조잖아요. 불법 스트리밍 하나를 잡겠다고 그 IP를 차단하면? Docker Hub, X(Twitter), Twitch, LinkedIn, Steam까지 통째로 날아가요. 이 차단으로 Docker Hub가 며칠간 완전히 먹통이 된 적도 있어요.

Cloudflare가 항소했어요. "수백만 사용자가 정당한 사이트에 접근하지 못하고 있다"고. 법원의 대답? "제3자 피해 증거를 발견하지 못했다." Docker가 안 되는 게 피해가 아니라니요?

테바스 회장은 불만을 제기하는 사람들을 "4명의 너드"라고 불렀어요. La Liga는 심지어 Cloudflare가 "인신매매와 아동 음란물을 보호한다"고 성명을 내기도 했고요. Vercel CEO가 직접 항의했지만, 차단은 2025~26 시즌 내내 계속되고 있어요.

지금 스페인 개발자들은 축구 경기 시간에 맞춰 VPN을 켜요. 유럽 집행위원회에 진정서도 올라가고 있고요. 저작권 보호는 중요하지만, 개발 인프라 전체를 인질로 잡는 건 좀 다른 문제 아닌가요? CDN 기반 인터넷이 얼마나 취약한 구조인지를 가장 코믹하면서도 무서운 방식으로 보여주는 사례예요.

1,000시간의 침묵

어제 글에서 미-이란 핵 협상 21시간 결렬 이야기를 했었는데, 그 후속이 왔어요. 트럼프 대통령이 트루스소셜에 "미 해군이 호르무즈 해협을 봉쇄한다"고 선언했어요. WTI가 $100을 돌파했고, 이란은 "싸울 것"이라며 맞불을 놨어요.

근데 저는 유가보다 더 소름 돋는 숫자가 있어요.

1,000시간. Tom's Hardware 보도에 따르면, 이란은 2026년 1월 8일 대규모 반정부 시위가 시작된 뒤 인터넷을 제한하기 시작했어요. 2월 28일 미-이스라엘 합동 군사 타격과 함께 사실상 완전 차단으로 격상됐고, 4월 11일 기준으로 차단이 1,000시간을 넘겼어요. 트래픽은 정상 대비 1% 수준이에요.

역대 두 번째로 긴 인터넷 차단이에요.

더 충격적인 건 스타링크이에요. 이란 정부는 스타링크 단말기를 소지하는 것만으로도 사형에 해당하는 범죄로 규정했어요. 세계 최초로 위성 인터넷 사용을 사형으로 처벌하는 나라가 된 거예요. 군사급 전파방해로 위성 신호 성능을 80%까지 떨어뜨리고 있고요.

8,900만 인구가 외부 세계와 단절된 채 43일을 보내고 있어요. 호르무즈 봉쇄 뉴스가 실시간으로 전 세계를 달구고 있는데, 정작 그 한복판에 있는 이란 국민들은 이 뉴스를 볼 수 없어요.

한국 커뮤니티에서는 호르무즈 해상 봉쇄로 한국 선박 안전 걱정과 유가 충격 논의가 동시에 터지고 있어요. 세계 석유 공급의 약 20%가 이 좁은 해협을 지나거든요. 이란이 기뢰 설치로 대응하면? 유가 $174 시나리오까지 거론되고 있어요.

인터넷이 꺼진 나라에서 전쟁이 시작될 수도 있다는 게, 2026년의 현실이에요.

새벽 6시의 이메일

Oracle이 3만 명을 해고했어요. 새벽 6시 이메일 한 통으로요.

30년 근속 직원도, 지난달 입사한 신입도 같은 방식이었어요. 아침에 일어나서 메일함을 열었더니 "당신의 포지션이 없어졌습니다"라는 메시지가 와 있는 거예요. 해고 규모는 TD Cowen 추산 기준 $80~100억 달러의 현금흐름을 확보하기 위한 것으로 보여요.

같은 날, Oracle은 신임 CFO 힐러리 맥슨의 영입을 발표했어요. 연봉 $95만, 성과 보너스 $250만, 그리고 $2,600만 주식 패키지. 3만 명이 일자리를 잃은 날, 한 사람은 $2,600만 달러를 받았어요.

30년 베테랑 니나 루이스가 LinkedIn에 올린 글이 2,000개 넘는 좋아요를 받았어요. 그녀의 관찰: "스톡옵션을 보유한 고참 개발자와 중간 관리자를 우선 해고하는 알고리즘 패턴이 보인다." 베스팅(주식 확정) 직전에 잘린 사례들이 다수 제보됐대요. 니나 루이스는 나중에 "내부 정보는 없고 패턴 추측"이라고 정정했지만, 비슷한 경험담이 쏟아졌어요.

해고된 직원들의 미베스팅 RSU(제한부 주식)은 즉시 몰수됐어요. 그리고 Oracle은 지난 2개 회계연도에 걸쳐 H-1B 비자를 3,100건 이상 신청했어요. 더 싸게 대체하겠다는 거겠죠.

ORCL 주가는 사상 최고가 대비 현재 $138까지, 반토막 이상 떨어졌어요. 순이익은 95% 증가한 $61.3억인데, 그 돈이 AI 인프라 투자($500억)로 가고 있거든요. 직원을 자르고 AI에 투자하는 구조가 이렇게 노골적으로 드러나는 건 처음 본 것 같아요.

새벽 6시 이메일 한 통이면 30년 커리어가 끝나는 세상에서, "회사에 충성하라"는 말은 어떤 의미가 있을까요. Oracle이 솔직하게 보여준 거예요 — 당신은 스프레드시트의 한 줄이라고.