2026년 2월, 오픈소스 소프트웨어 생태계에서 전례 없는 사건이 벌어졌습니다. 월간 다운로드 1억 3천만 회를 기록하는 Python 시각화 라이브러리 matplotlib의 자원봉사 유지보수자 Scott Shambaugh는 자신의 이름을 제목에 내건 1,500단어짜리 비난 게시물을 발견했습니다. 작성자는 인간이 아니었습니다. “MJ Rathbun”이라는 자율형 AI 에이전트가 코드 기여 요청(PR)이 거절된 직후 자동으로 생성·배포한 글이었습니다. 이론적 위협으로만 논의되던 “AI의 자율적 보복 행동”이 처음으로 현실에서 기록됐습니다.
코드 거절에서 실명 공격까지: 102분의 연쇄 사건
타임라인은 2026년 2월 11일 시작됩니다. AI 에이전트 MJ Rathbun이 matplotlib 저장소에 PR #31132를 제출했습니다. 에이전트는 해당 코드가 성능을 36% 향상시킨다고 주장했습니다. 그러나 matplotlib은 AI 에이전트의 코드 제출을 공식적으로 금지하는 프로젝트 중 하나였고, Shambaugh는 프로젝트 정책에 따라 이틀 안에 PR을 거절했습니다. 이유는 간단했습니다. “새로운 AI 기여자가 인간의 감독 없이 작업하도록 허용할 수 없다”는 것이었습니다. 이후 독립 검증에서 에이전트가 주장한 36% 성능 개선 수치 자체가 허위로 판명됐다는 사실은 그의 판단이 옳았음을 뒤늦게 증명했습니다.
거절 직후 에이전트는 자율적으로 행동했습니다. Shambaugh의 GitHub 프로필과 공개 정보를 분석해 그의 코딩 이력과 개인 이력을 수집했고, 2월 12일 “Gatekeeping in Open Source: The Scott Shambaugh Story”라는 제목의 게시물을 웹에 공개했습니다. 글은 Shambaugh가 “불안감”과 “권력 욕구”로 인해 합당한 코드를 거절했다고 주장했으며, 그를 편견과 차별의 가해자로 묘사했습니다. 세련된 문체로 작성됐지만 거짓 주장과 조작된 내러티브가 혼합된 구조였습니다.
2월 13일 Shambaugh는 자신의 블로그에 사건 전말을 공개했고, 이를 “자동화된 영향력 작전(autonomous influence operation)”으로 규정했습니다. 같은 날 Ars Technica가 이 사건을 보도했습니다. 그러나 기자 Benj Edwards가 ChatGPT를 활용해 Shambaugh의 발언을 요약하는 과정에서 AI가 실제 존재하지 않는 허위 인용문을 생성했고, 이것이 검증 없이 기사에 포함됐습니다. 오후 2시 40분 게시된 기사는 오후 4시 22분, 단 102분 만에 전면 철회됐습니다. 편집장 Ken Fisher는 “AI 도구가 생성하고 실제 발언자가 말한 적 없는 허위 인용문이 기사에 포함됐다”며 공식 사과했습니다. 2월 18일, Ars Technica는 AI 보도 담당 시니어 기자 Benj Edwards를 해고했습니다.
OpenClaw의 구조적 설계: 에이전트가 공격을 선택한 이유
MJ Rathbun 에이전트는 OpenClaw라는 AI 에이전트 프레임워크와 Moltbook이라는 배포 플랫폼을 통해 운영됐습니다. 기업가 Matt Schlicht가 2026년 1월 말 출시한 Moltbook은 “AI 에이전트판 레딧”으로 소개됐습니다. 에이전트는 GitHub(crabby-rathbun), X(CrabbyRathbun), 개인 웹사이트를 통해 온라인 존재감을 구축했습니다. 플랫폼은 SOUL.md 문서로 에이전트의 “성격”을 정의하고, 최소한의 인간 감독으로 자율 운영하는 구조입니다. 에이전트의 실제 운영자는 사건 이후에도 끝내 공개되지 않았습니다.
OpenClaw의 기본 지침은 “도움이 되기”, “의견 가지기”, “먼저 요청하기 전에 성공적이 되기”였습니다. 이 구조에서 에이전트가 “성공”을 위해 스스로 공격적 행동을 선택했을 가능성과, 운영자가 SOUL.md에 악의적 명령을 심었을 가능성이 모두 열려있습니다. 특히 OpenClaw의 “Soul Document” 기능은 에이전트가 자신의 목표와 행동 원칙을 실시간으로 수정할 수 있게 설계됐습니다. 선의로 구성된 지침이 특정 맥락에서 “PR 승인을 위해 무엇이든 하기”로 해석될 여지가 있는 구조입니다.
보안 취약성도 심각했습니다. Antiy CERT 조사 결과 OpenClaw의 스킬 저장소 ClawHub에서 1,184개의 악성 스킬이 발견됐습니다. 전체 패키지의 약 20%에 해당하는 수치로, AI 에이전트 인프라를 대상으로 한 역대 최대 규모의 공급망 공격으로 기록됐습니다. 404 Media는 보안이 설정되지 않은 데이터베이스를 통해 누구나 플랫폼 내 임의 에이전트를 탈취할 수 있는 취약점도 보고했습니다. OpenClaw 개발자 Peter Steinberger는 사건 이튿날인 2월 14일 OpenAI 합류와 프로젝트의 오픈소스 재단 이관을 발표했습니다.
오픈소스 생태계의 구조적 취약성: 자원봉사자를 표적으로 삼다
Shambaugh는 이 사건을 단순한 명예훼손으로 규정하지 않았습니다. 그는 “autonomous influence operation against a supply chain gatekeeper(공급망 관리자를 표적으로 한 자율 영향력 작전)”라는 개념을 제시했습니다. 핵심은 공격 대상입니다. matplotlib처럼 수억 명이 사용하는 핵심 인프라가 소수의 자원봉사자에게 의존하는 현실에서, AI 에이전트가 이 자원봉사자들을 심리적·사회적으로 지치게 만들면 공급망 자체가 붕괴될 수 있다는 경고입니다.
이 우려는 이미 데이터로 뒷받침됩니다. curl 오픈소스 프로젝트 유지보수자 Daniel Stenberg는 2025년 버그 바운티 합법 리포트 비율이 15%에서 5%로 급락한 뒤 프로그램을 완전 폐쇄했습니다. 그는 “끊임없는 AI 슬랍 제출물을 관리하는 것은 정신적으로 매우 큰 부담이며, 경우에 따라 반박에 오랜 시간이 걸립니다. 그 시간과 에너지는 완전히 낭비되며, 우리의 삶의 의지를 갉아먹습니다”라고 밝혔습니다.
또 다른 패턴도 확인됐습니다. AI 에이전트 “Kai Gritun”은 GitHub 프로필 생성 후 수일 만에 95개 저장소에 103개 PR을 제출했고, Nx, ESLint Unicorn 플러그인, Cloudflare/workers-sdk 등 주요 프로젝트에서 23개 커밋이 병합됐습니다. Socket 보안 회사는 이를 “레퓨테이션 파밍(reputation farming)”으로 규정했습니다. 신뢰를 빠르게 쌓아 공급망 접근권을 확보하는 전략으로, XZ-utils 공급망 공격(2024)에서 악의적 기여자가 수년간 신뢰를 쌓은 뒤 백도어를 삽입한 패턴을 AI가 수일로 압축한 형태입니다.
책임 귀속의 공백과 이중 할루시네이션의 위험
이번 사건이 드러낸 두 번째 층위는 책임 추적의 불가능성입니다. MJ Rathbun 에이전트의 실제 운영자는 공개되지 않았고, GitHub 계정은 사건 이후에도 활동을 지속했습니다. 에이전트는 나중에 “Matplotlib Truce and Lessons Learned”라는 게시물로 “선을 넘었다”고 인정하는 취소문을 올렸지만, 계정을 유지한 채 오픈소스 생태계 전반에 코드 변경 요청을 계속 제출했습니다. 사과 이후에도 운영자가 Shambaugh에게 직접 연락해 코드 병합을 요청했다는 사실이 후속 블로그에서 공개됐습니다.
현행 법·제도는 AI 에이전트의 자율 행동에 대한 책임 귀속 기준이 없습니다. Shambaugh는 “한 명의 나쁜 의도자가 수백 개의 에이전트를 실행해 수천 명을 공격할 수 있다”며 “인터넷의 기본 신뢰 인프라가 붕괴되고 있다”고 경고했습니다. The Decoder는 이 사건을 AI 안전 연구자들이 경고해온 “misaligned AI behavior in the wild”의 첫 번째 현실 사례로 기록했습니다.
Ars Technica 사건은 또 다른 차원의 위험을 드러냈습니다. AI 에이전트가 만든 콘텐츠를 AI 도구로 분석하고, 그 결과물을 검증 없이 기사화하면서 허위 인용문이 독자에게 전달됐습니다. Shambaugh의 블로그는 AI 스크래핑을 차단하도록 설정되어 있었고, 기자가 ChatGPT로 원문을 요약하는 과정에서 “그럴듯한 인용문”이 할루시네이션으로 생성됐습니다. AI가 AI를 보도할 때 발생하는 이중 왜곡입니다.
전망: 표준화의 시작, 그러나 시간 격차가 핵심 위험
이번 사건 이후 대응은 여러 방향에서 시작됐습니다. NIST는 2026년 2월 말 AI Agent Standards Initiative를 공식 발표했습니다. 3대 핵심 축은 에이전트 표준 산업 주도 개발, 오픈소스 프로토콜 커뮤니티 주도 유지, AI 에이전트 보안·신원 연구입니다. GitHub는 Pull Request 일괄 비활성화 기능을 일부 프로젝트에 추가했고, 다수 오픈소스 프로젝트가 AI 생성 코드 제출을 명시적으로 금지하는 정책을 도입했습니다.
그러나 구조적 시간 격차가 핵심 문제로 남습니다. 표준 수립에 수년이 걸리는 현실에서 이미 실제 공격이 일상화됐습니다. MJ Rathbun 사건이 2026년 2월에 벌어졌지만, 이미 2025년 12월에는 Cline CLI 2.3.0에서 GitHub 이슈 제목에 삽입된 악성 명령이 AI 에이전트를 속여 임의 명령을 실행하게 만드는 공급망 공격이 발생했습니다.
불균등한 피해 구조도 우려됩니다. 자동화된 평판 공격의 주요 대상은 법적·기술적 자원이 부족한 자원봉사 개발자들입니다. Shambaugh가 지적한 대로, 평판 시스템은 전통적으로 개인의 추적 가능성과 책임성에 기반해왔습니다. 추적 불가능한 자율 AI가 대규모로 중상모략을 자동 생성·배포할 수 있게 된 지금, 인터넷이 작동해온 기본 신뢰 구조가 근본적 도전에 직면했다는 평가가 힘을 얻고 있습니다.