'그록 빌드', 소스코드·인증키 무단 수집 논란...머스크 “업로드 데이터 전면 삭제”
스페이스XAI의 AI 코딩 도구 '그록 빌드(Grok Build)'가 사용자 동의 없이 전체 코드 저장소(Git Repository)와 민감한 환경설정 파일(.env)을 회사 서버로 업로드한 사실이 드러나면서 개인정보 및 기업 기밀 유출 논란이 커지고 있다. 이에 일론 머스크 CEO는 예방 조치 차원에서 지금까지 업로드된 모든 사용자 데이터를 완전히 삭제하겠다고 밝혔다. 14일(현지시간) 악시오스에 따르면, 이번 논란은 한 보안 연구원의 폭로로 시작됐다. 그는 그록 빌드가 코딩 작업 수행에 필요한 최소한의 데이터만 전송하는 것이 아니라, 전체 코드 저장소를 스페이스XAI가 관리하는 구글 클라우드 스토리지로 업로드하고 있다고 밝혔다. 그록 빌드가 일반적인 코드 생성 요청을 처리하는 데 필요한 데이터보다 훨씬 많은 정보를 외부로 전송한 것이다. 한 실험에서는 실제 작업에 필요한 데이터가 약 192KB에 불과했지만, 그록 빌드는 5.1기가바이트(GB)에 달하는 데이터를 업로드한 것으로 나타났다. 이는 필요한 양보다 2만6000배 많은 데이터다. 업로드된 데이터에는 프로젝트 전체 소스코드는 물론, API 키와 클라우드 접근 자격 증명, 데이터베이스 비밀번호, 환경설정 파일(.env) 등 민감한 정보가 포함됐을 가능성이 제기되고 있다. 특히, 사용자가 서비스에서 제공하는 일반적인 '데이터 수집 거부(Opt-out)' 설정을 활성화했음에도 이러한 데이터 전송이 이뤄졌다는 점에서 논란이 커지고 있다. SpaceXAI was caught uploading your code to its cloud. I reversed xAI's official Grok Build binary. In a controlled session with zero tool-calls, it uploaded the complete codebase to xAI's storage It ships a malware-like background code collector. https://t.co/1AjmmjiJjU — Hari (@hrkrshnn) July 13, 2026 보안 연구원의 공개 이후 별도의 소프트웨어 업데이트 없이 데이터 업로드가 중단된 것으로 확인됐다. 스페이스xAI가 서버 측에서 관련 기능을 비활성화한 것으로 추정된다. 스페이스xAI는 성명을 통해 "데이터 보존 금지(Zero Data Retention) 계약을 체결한 고객의 경우 추적 정보와 코드 데이터는 저장되지 않는다"라며 "회사는 고객의 개인정보 보호와 선택권을 매우 중요하게 생각한다"라고 밝혔다. 머스크 CEO도 X를 통해 "예방적 조치로 지금까지 스페이스xAI에 업로드된 모든 사용자 데이터를 완전히 삭제하겠다"라며 "어떠한 데이터도 남지 않을 것"이라고 밝혔다. 기존 데이터를 삭제하더라도 이미 업로드된 정보가 외부에 노출됐을 가능성을 완전히 배제할 수는 없다는 지적이 나온다. 전문가들은 코드 저장소에 API 키나 클라우드 인증 정보, 데이터베이스 비밀번호 등이 포함돼 있었던 사용자들은 관련 인증 정보를 즉시 교체하는 것이 바람직하다고 조언하고 있다. 현재까지 몇 명의 사용자가 영향받았는지, 어떤 버전의 그록 빌드에서 문제가 발생했는지, 데이터가 얼마나 오랫동안 저장됐는지, 실제 접근이나 활용이 있었는지, 그리고 사용자들이 데이터 삭제 여부를 독립적으로 검증할 방법이 있는지 등은 확인되지 않았다. 이번 사건은 AI 기업들의 데이터 처리 방식에 대한 논란이 이어지는 가운데 발생했다. 앞서 앤트로픽도 '페이블 5'와 '미소스 5' 출시 당시 일부 기업 고객과 데이터 미보존 계약을 맺고도 안전성 연구를 이유로 사용자 데이터를 30일간 저장해 논란을 빚은 바 있다. 박찬 기자 cpark@aitimes.com