모르면 손해: 앤트로픽 약관이 韓 통신사 'AI 수출 제재' 빌미가 된다?
혹시 여러분 회사나 팀이 Claude API를 쓰고 있나요? 아니면 KT, SKT, LGU+가 제공하는 AI 서비스를 기업 업무에 활용하고 있다면, 오늘 이 글은 꼭 끝까지 읽어야 합니다. 조용히 터지고 있는 이 이슈를 지금 이해하지 못하면 6개월 뒤 전략 전면 수정을 강요받을 수 있습니다.
무슨 일이 조용히 벌어지고 있나
2026년 6월, 국내 IT 업계에 낯선 단어 조합이 등장했습니다. "앤트로픽 × 수출 제재 × 한국 통신사". 전자신문 보도에 따르면, 앤트로픽(Anthropic)의 AI 사용 정책(Usage Policy)과 미국의 수출 통제 규정이 맞물리면서, 한국 통신사들이 Claude 기반 서비스를 특정 국가나 목적으로 제공할 때 법적 리스크를 떠안을 수 있다는 우려가 구체화되고 있습니다.
이 문제의 출발점은 앤트로픽이 Claude API 계약에 포함한 수출 통제 준수 조항입니다. 미국 상무부의 EAR(수출관리규정)과 OFAC(해외자산통제실) 제재 대상 국가·단체에 서비스를 제공하는 것을 금지하는 내용이 포함돼 있고, 이를 재판매하거나 재가공해 제3자에게 공급하는 파트너사(reseller, distributor)도 동일한 의무를 지게 됩니다.
한국 통신 3사는 이미 앤트로픽과 파트너십을 맺고 Claude를 기업 고객에게 공급하고 있습니다. 문제는 이 통신사들이 서비스를 판매하는 기업 고객 중 일부가 제재 대상 국가와 거래하거나, 혹은 군사·무기 관련 활용 사례에 가까운 영역에 AI를 사용할 경우, 기술적으로 약관 위반 및 미국 수출 통제법 위반의 공범 구조가 만들어질 수 있다는 점입니다.
왜 한국 통신사가 특히 취약한가
실리콘밸리의 AI 기업들은 대부분 미국 법인으로서 수출 통제 의무를 직접 집행합니다. 반면 한국 통신사는 '재판매자(reseller)' 포지션이기 때문에 의무는 떠안으면서도 최종 사용자 통제력은 약합니다. 쉽게 말해, 앤트로픽 입장에서는 "우리 약관에 다 써 있었다"고 면책을 주장할 수 있고, 통신사는 "우리 고객이 뭘 하는지 어떻게 다 알겠냐"고 항변하기 어려운 구조입니다.
더 구체적으로 보면 세 가지 리스크 포인트가 있습니다.
첫째, 최종 사용자 검증(End-User Verification) 의무. EAR 규정은 수출자뿐 아니라 재수출자에게도 최종 사용자가 제재 대상이 아닌지 확인할 의무를 부과합니다. 통신사가 B2B SaaS 형태로 Claude 기반 서비스를 공급할 경우, 고객사의 최종 사용 목적까지 실사해야 한다는 의미입니다.
둘째, 군사·이중 용도(dual-use) 애플리케이션 위험. 앤트로픽의 약관은 군사 용도, 대량살상무기 개발 지원, 사이버 공격 등에 Claude를 사용하는 것을 명시적으로 금지합니다. 기업 고객이 이 경계선에 가까운 프로젝트에 AI를 활용하면, 이를 공급한 통신사도 연루될 수 있습니다.
셋째, 데이터 로컬라이제이션 미비. 일부 통신사는 Claude API 호출 데이터를 앤트로픽 서버로 전송하는 구조를 유지하고 있습니다. 이 과정에서 한국 고객의 데이터가 미국 서버를 경유하면, 미국 법률의 적용 범위 안에 더 깊이 들어오게 됩니다.
이 흐름의 진짜 의미: AI 공급망 리스크의 시대
이 사안을 단순히 "통신사 문제"로 보면 안 됩니다. 이건 AI 공급망(AI supply chain) 전체에 걸친 리스크 관리의 시작입니다. 앞으로 어떤 AI 서비스를 도입하든, 그 서비스가 어떤 미국 기업의 기반 모델을 쓰는지, 그 기업의 약관에 어떤 수출 통제 조항이 포함돼 있는지까지 살펴야 하는 시대가 열렸습니다.
이미 미국은 AI 칩(H100 등)에 대한 수출 통제를 강화하고 있고, 이제는 AI 모델 자체, 나아가 AI 서비스의 재판매 구조까지 규제 레이더에 들어오고 있습니다. 한국은 미국의 동맹국이지만, 동맹국이라고 해서 이 규제에서 자동으로 면제되지는 않습니다. 오히려 한국 통신사가 글로벌 서비스를 운영하는 경우, 규제 노출 면적이 더 넓어집니다.
기업 담당자라면 지금 당장 해야 할 3단계
이 리스크가 남의 이야기처럼 들린다면 한 번 더 생각해보세요. Claude API를 직접 쓰는 스타트업, 통신사 AI 서비스를 구독하는 중소기업, 혹은 AI 솔루션을 기업에 납품하는 SI 업체 모두 이 공급망 안에 있습니다. 실제로 지금 취할 수 있는 단계는 명확합니다.
1단계: 사용 중인 AI 서비스의 약관 원문 확인. Claude, GPT, Gemini 등 어떤 모델을 쓰든 각 서비스의 Usage Policy와 Terms of Service에서 'export control', 'sanctions', 'prohibited use' 항목을 찾아 읽으세요. 영어 원문 기준입니다. 번역본은 법적 효력이 없습니다.
2단계: 내부 사용 목적 및 고객 범위 문서화. 특히 B2B 서비스를 운영 중이라면, 귀사의 AI 사용 목적과 고객 범위를 내부 문서로 정리해두세요. "우리는 제재 대상 국가에 서비스하지 않는다"는 구두 확인만으로는 부족합니다. 법적 분쟁 시 증거로 쓸 수 있는 기록이 필요합니다.
3단계: 법무팀 또는 수출 통제 전문가와 리스크 검토. 미국 수출 통제법(EAR, ITAR)은 전문 영역입니다. AI를 핵심 제품으로 활용하는 기업이라면 연 1회 이상 외부 전문가와 컴플라이언스 리뷰를 하는 것을 권장합니다. 비용보다 리스크가 훨씬 큽니다.
앞으로의 전망: AI 규제가 기술 선택을 바꾼다
이번 이슈가 중요한 이유는 단기 위기가 아니라 구조적 변화의 신호탄이기 때문입니다. 앤트로픽뿐 아니라 OpenAI, Google도 유사한 약관 구조를 가지고 있습니다. 미국 AI 기업들이 글로벌 규제 압박 속에서 파트너사에 대한 요구 수준을 높여가는 방향은 바꾸기 어렵습니다.
이런 흐름이 계속된다면 한국 기업들의 선택지는 크게 두 갈래입니다. 하나는 컴플라이언스 역량을 내재화해 미국 AI 생태계 안에서 책임 있는 파트너로 자리잡는 것, 다른 하나는 규제 리스크가 낮은 대안 모델(오픈소스 LLM, 국내 개발 모델)을 적극 도입해 공급망 다변화를 꾀하는 것입니다.
두 전략 모두 장단점이 있지만, 한 가지는 확실합니다. 아무것도 하지 않는 것이 가장 위험하다는 점입니다. 지금 이 이슈를 'IT팀 문제'로 넘기는 경영진이라면, 반드시 한 번쯤은 직접 검토해보시길 권합니다. AI 공급망 리스크는 이미 C레벨 의제입니다.
댓글