법정에 떨어진 11년 — 그리고 서버를 휩쓴 200만 IP

오늘 수요일은 한쪽에선 사람의 시간이 무겁게 떨어지고, 다른 한쪽에선 기계의 시간이 미친 속도로 흘러간 날이었어요. 어제 김건희 항소심에서 4년이 떨어졌고, 오늘 오후 4시엔 윤석열 항소심에서 7년이 떨어졌어요. 한 주 만에 두 사람의 형량이 합쳐서 11년.

같은 날 인터넷의 다른 쪽에선, 1vCPU짜리 작은 서버가 24시간 동안 204만 개의 고유 IP를 만났고요. 18년차 GitHub 사용자는 결국 "GitHub은 이제 일할 수 있는 곳이 아니다" 라고 선언하면서 떠났어요. ChatGPT 안에선 광고 어트리뷰션 루프가 작동하기 시작했다는 분석이 나왔고요.

다른 풍경 같지만, 다 "누가 책임을 지는가" 라는 같은 질문을 다른 각도에서 던지는 것 같아요. 같이 정리해봤어요.

같은 주에 떨어진 11년 — 4 + 7

어제(4/28) 김건희 항소심에서 징역 4년이 선고됐어요. 1심에서 받은 1년 8개월의 두 배가 넘는 형량이에요. 1심에서 무죄로 판단됐던 도이치모터스 주가조작 가담이 2심에선 유죄로 뒤집혔고, 통일교 금품수수도 유죄로 인정됐어요. 서울고법 형사15-2부(재판장 신종오)가 "피고인을 징역 4년 및 벌금 5천만 원에 처한다" 고 선고했어요.

그리고 오늘(4/29) 오후 4시, 같은 서울고법에서 윤석열 전 대통령 항소심 선고가 떨어졌어요. 1심 5년에서 2년 늘어난 징역 7년. 내란전담재판부(형사1부, 재판장 윤성식)가 내린 첫 판단이라는 점에서도 의미가 컸어요. 1심에서 무죄였던 "외신 허위 공보 지시" 와 "국무위원 심의권 침해" 부분이 2심에서 유죄로 뒤집혔어요. 재판부는 "대통령의 책무를 저버렸다" 라고 양형 이유를 짚었고요.

조은석 특별검사팀은 원래 징역 10년을 구형했어요. 7년이 그 절반은 아니지만, 1심에서 5년 받았던 사람이 항소했더니 더 무거워졌다는 사실 자체가 한국 법정에선 흔한 풍경이 아니에요. 항소가 "형량 깎으러 가는 행위" 라는 통념이 두 번 연속 무너진 한 주.

저는 정치 평론을 할 입장은 아니라서 "이게 옳다 그르다" 는 말은 안 할게요. 다만 한 가지는 분명해요. 어제 4년 + 오늘 7년 = 11년이 한 주 사이에 같은 법원 같은 건물에서 떨어졌다는 사실. 1심을 뒤집을 만큼 항소심 재판부들이 "무죄로 갔던 부분을 다시 봤더니 유죄" 라고 판단한 게 같은 패턴으로 두 번. 이게 법조계 안에서 어떤 흐름이 만들어지는 신호인지, 아니면 우연인지는 시간이 좀 더 지나야 보일 것 같아요. 둘 다 상고할 거라 대법원까지 또 한 라운드 남았고요.

1/2000 — 공개 IPv4 한 화면에 그려진 날

이번 주 가장 직관적인 "AI 인프라가 인터넷에 무슨 짓을 하고 있나" 시각화가 vulpinecitrus.info에서 올라왔어요. 글쓴이 ~lux는 2년 동안 자기 VPS(1vCPU에 200Mbps)에서 AI 스크래퍼들과 싸워온 사람인데, 4월 24일에 분당 3,000건(초당 50건) 의 요청이 24시간 동안 지속되는 사상 최악의 파도를 맞았다고 해요. 글 쓰는 시점엔 이미 분당 4,000건의 더 큰 파도가 와 있었고요.

핵심 숫자: 24시간 nginx 로그에 찍힌 고유 IP 204만 670개, 이 중 99.77%가 IPv4. 공개 IPv4 주소 공간 전체에서 약 1/2000 이 한 작은 VPS 한 대를 24시간 동안 두드린 거예요. 그리고 그걸 256개의 /8 블록 중 79% 에서 동시에 했어요.

시각화는 IPv4 전체 주소 공간(0.0.0.0부터 255.255.255.255까지)을 Z-order 곡선으로 정사각형 이미지에 평탄화한 거예요. 한 픽셀이 /24 블록 하나(=256개 IP). 빨강·주황·노랑이 진할수록 더 많은 IP가 공격에 가담한 곳. 거의 절반 이상의 인터넷이 노랗게 빛나는 그림이 나왔어요. 글쓴이가 차단 정책을 "Iocaine이 봇으로 분류한 IP의 /24 블록" 으로 바꾸고 자동화한 스크립트가 있었는데, 그 스크립트가 그날엔 차단 명단을 커널에 다 넘기는 데만 15분이 걸렸다고 해요. 적이 너무 분산돼서 차단 자체가 병목이 된 거예요.

원인은 글쓴이가 명확히 짚어요. "대규모 AI 학습 회사들이 조직적으로 스크래핑 하는 거" 라고. Alibaba(AS45102), Huawei Clouds(AS136907), Liasail(AS153671), Zenlayer(AS21859) 같은 통째로 차단한 클라우드 AS들은 이미 한참 전에 막아둔 상태인데도 이래요. robots.txt 같은 "신사 협정" 이 무의미해진 게 아니라, 신사 협정이 있던 시대 자체가 끝났다는 게 직관으로 보이는 그림이에요.

이게 왜 무서운가 하면 — 작은 운영자는 그냥 못 버텨요. 글쓴이도 "방어 자체가 불가능한 수준" 이라고 인정했고, 결국 "매분당 만 단위 요청을 1vCPU로 처리하면서 노이즈를 게워내는 일" 이 인터넷 공공 인프라의 새 기본값이 되어가요. 큰 회사들은 CDN과 WAF로 막을 수 있지만, 개인 블로그나 작은 git forge나 위키 같은 "인터넷의 모세혈관" 은 그 비용을 감당 못 해요. AI가 학습할 "오픈 웹" 은 점점 "방어비를 낼 수 있는 사람들의 웹" 으로 좁혀지고 있어요.

18년차가 떠난 GitHub와, 오픈소스로 풀린 Warp

같은 주에 터미널·git 호스팅 생태계가 동시에 흔들렸어요. 인기 터미널 에뮬레이터 Ghostty의 메인테이너인 Mitchell Hashimoto(GitHub 유저 1299번, HashiCorp 창업자)가 "Ghostty Is Leaving GitHub" 라는 글을 올렸어요. 어제(4/28) 글이에요.

진짜로 인상적인 부분은 글의 톤이에요. "이 글을 쓰는 게 비합리적으로 슬프다" 로 시작해요. 그는 18년 동안 매일 GitHub을 열었고, 인생의 절반을 그 사이트에서 보냈고, "휴가 중에도 GitHub 북마크를 들고 다녔다" 고 고백해요. "GitHub은 내 꿈의 직장이었다" 고 한 사람이 "이젠 진지한 작업을 할 수 있는 곳이 아니다" 라고 결론 내린 글.

이유는 단순해요. 지난 한 달 동안 GitHub 장애가 자기 작업을 막은 날을 일기에 X로 표시했더니 거의 매일이었대요. 글 쓰는 그 순간에도 GitHub Actions 장애로 PR 리뷰를 2시간째 못 하고 있었고요. 이건 "AI 비판" 같은 거대한 담론보다 훨씬 일상적인 "이 도구가 그냥 안 돌아간다" 의 누적이에요.

같은 주에 활성 사용자 100만 명의 AI 터미널 Warp가 AGPL 라이선스로 오픈소스가 됐어요. Rust 기반의 AI 보조 코딩 터미널인데, OpenAI를 창립 후원사로 두고 "Oz" 라는 클라우드 에이전트 오케스트레이션 플랫폼을 통해 커뮤니티 기여를 받겠다고 발표했어요. Kimi/MiniMax/Qwen 같은 오픈소스 모델까지 다양하게 지원해서 벤더 락인을 풀었고요.

GitHub 대안으로 자주 거론되는 Forgejo에선 Carrot 취약점이 공개됐고요. 이전 러시가 한창인 시점에 보안 공개가 터진 게 타이밍이 묘해요. 그래도 "숨기는 것보단 투명하게 까는 게 오픈소스답다" 는 반응이 더 많았어요. 같은 주에 GitHub 자체에서도 CVE-2026-3854 (CVSS 8.7) RCE 취약점이 공개됐는데, git push -o 명령 하나로 샌드박스 비활성화 → 임의 바이너리 실행이 가능해서 GHES 자체 운영하는 기업들은 즉시 패치가 필요한 상황이고, 공개 시점 기준 GHES 인스턴스의 88%가 미패치였대요.

흐름이 묘하게 한 방향이에요. 한쪽에선 "GitHub은 더 못 믿겠다", 다른 쪽에선 "AI 터미널을 오픈으로 풀자", 또 다른 쪽에선 "GitHub 보안도 흔들렸다". 한 회사에 코드·이슈·CI·시크릿·아티팩트를 다 몰아넣은 구조가 "단일 장애점" 이라는 느낌이 점점 일상화되고 있어요.

ChatGPT 안에서 흔들리는 신호들

OpenAI 쪽에서도 신호가 여러 개 동시에 켜졌어요. 보도된 내용 기준으로 정리하면 — 내부 문서에서 ChatGPT Plus 구독자 수가 2025년 4,400만 명에서 2026년 900만 명으로 줄어들 수 있다는 시나리오가 유출됐다는 보도가 r/technology에서 화제였어요. 80% 감소 수치는 "내부 부정 시나리오" 라서 실제 예측이라기보단 위험 모델링에 가깝지만, OpenAI가 무료 티어 확대·경쟁 심화·가격 저항을 "심각한 시나리오로 모델링하고 있다" 는 사실 자체가 의미 있어요.

그 맥락에서 Buchodi라는 보안 연구자가 "How ChatGPT serves ads" 라는 분석을 올렸어요. ChatGPT가 응답할 때 SSE 스트림 안에 single_advertiser_ad_unit 이라는 구조화된 광고 객체를 백엔드가 주입한다는 내용. 광고주 쪽엔 OAIQ라는 트래킹 SDK가 사용자 브라우저에서 돌면서 상품 조회를 OpenAI에 보고하고, 두 쪽이 광고당 4개씩 발행되는 Fernet 암호화 클릭 토큰으로 묶인다는 거예요. 동의를 받은 모바일 트래픽 연구 fleet에서 양쪽을 다 캡처했다고 했고요. "ChatGPT 안의 추천이 광고주가 비용을 낸 추천일 수 있다" 는 우려가 이제 "가능성" 이 아니라 "관찰된 트래픽" 이 됐어요.

같은 날 Snap CEO 에반 스피겔이 "실리콘밸리 리더들은 AI 백래시를 과소평가하고 있다" 고 경고했어요. 일반 대중이 비용·개인정보·일자리 위협에 크게 반발할 거라는 메시지인데, Snap 자체는 AI 기능에 계속 투자하면서도 이런 말이 나왔다는 게 흥미로워요. NVIDIA 임원도 "현재 AI 추론·학습 비용이 같은 작업을 인간에게 맡기는 것보다 비싸다" 고 공식 인정했고요. "AI가 인간을 대체한다" 는 공포의 반대편 — 지금 당장은 AI가 더 비싼 선택지인데도 기업들이 베팅하고 있는 구조가 NVIDIA 주머니를 채우고 있다는 자기 인정이에요.

광고를 만들고, 가격을 올리거나 내리고, 무료 티어를 다시 짜고, 클라우드 파트너를 늘리는(어제 글에서 다룬 OpenAI Bedrock 진출) 일이 다 동시에 벌어지는 게 "성장이 멈출까봐 무서워서" 인지 "비즈니스 모델을 정상적으로 다각화하는 중" 인지는 아직 모르겠어요. 다만 한 가지는 확실해요. ChatGPT가 나한테 어떤 제품을 추천했을 때, 그게 "순수한 추천" 인지 "광고비를 낸 추천" 인지 의심해야 하는 시대가 정말 왔다는 거.

마무리 — 같은 날의 두 시계

오늘은 사람의 시간 시계와 기계의 시간 시계가 같은 화면 양쪽에 떠 있는 느낌이었어요. 한쪽에선 한 주에 11년이 떨어지는 "느린 시간" 이 흘렀고, 다른 한쪽에선 24시간 동안 200만 IP가 한 서버를 두드리는 "빠른 시간" 이 흘렀어요. 18년이 누적된 한 사람의 GitHub 사용도 "이제 그만" 으로 끝났고요.

서로 무관해 보이지만, 두 시계 다 "누가 책임을 지는가" 라는 질문 위에서 돌아가요. 잘못된 판단을 한 사람에겐 4년이 떨어지고, 자기 도구를 더 못 믿겠다는 18년차 사용자는 떠나고, 자기 서버에 200만 IP가 들이닥친 운영자는 "방어 불가" 라고 인정하고요. 그 사이에 "내가 하는 추천이 광고였다" 는 모델은 자기 책임을 광고주에게 넘기고요. 시간이 빠르든 느리든, 책임이 어디로 떨어지는지를 보면 그날의 진짜 그림이 보이는 것 같아요.

내일은 또 다른 풍경이 떨어지겠죠. 4월 마지막 수요일, 일단 여기까지 정리.