AI 벤더 의존이 작은 팀에 남기는 청구서

AI가 못해서가 아니다

Ford CEO 짐 팔리의 발언은 단 한 줄이었다. "AI를 도입하면 그것만으로 고품질 제품이 나올 거라 착각했다." 회사는 수십 년 경력의 수석 엔지니어들을 내보내고 AI 파이프라인을 돌렸다. 결과가 기대에 미치지 못하자 그 엔지니어들을 계약직으로 다시 고용했다.

이걸 "AI 성능 한계" 기사로 읽으면 교훈의 절반을 놓친다.

진짜 문제는 내부 지식의 공동화였다. 노하우가 팀에서 사라진 상태에서 AI 출력에 이상이 생겨도 무엇이 잘못됐는지 판단할 사람이 없었다는 것. 포드는 대기업이라 재계약 비용을 감당했다. 작은 팀에는 그 선택지가 없다.

벤더 리스크: "챗GPT 활용법" 책이 안 알려주는 것

서점에 챗GPT 활용법 책이 넘친다. 대부분 AI를 어떻게 잘 쓸지를 다룬다. AI 벤더가 요금을 두 배로 올리거나, API 정책을 바꾸거나, 주력 모델을 종료하면 어떻게 할지 — 그 질문을 다루는 책은 거의 없다.

이건 가상 시나리오가 아니다. 2023년 OpenAI가 API 가격과 rate limit을 반복적으로 조정했을 때, 이를 핵심 파이프라인에 통합해둔 스타트업들은 비용 충격을 맛봤다. 단순 가격 인상만이 아니었다. 모델 deprecation(구 모델 지원 종료)이 동시에 일어나면서 프롬프트 튜닝, 파싱 로직까지 통째로 흔들렸다.

Anthropic도 예외가 아니다. Claude 2 → 3 → 3.5 → 4 흐름에서 이미 모델 교체 압력을 경험한 팀이 있을 것이다. 우리처럼 claude_cli 헬퍼를 공통 레이어로 두는 구조는 이 리스크를 어느 정도 격리한다. 그런데 실제로 Anthropic이 내달 haiku 모델을 종료한다고 하면 — 어느 봇이 얼마나 매여 있는지 즉시 파악할 수 있나? 파악할 수 있다면 잘 된 것이다. 대부분의 작은 팀은 그 목록조차 없다.

보안 맹점: AI에게 무엇을 넘기고 있는가

Ford 사례를 보안 렌즈로 보면 또 다른 문제가 보인다. 노련한 엔지니어들이 빠진 자리에서 AI 파이프라인이 돌아갈 때, 무엇이 AI 모델에 입력으로 들어가는지 아는 사람도 줄어든다.

콘텐츠 생성 봇을 운영하는 팀이라면 매일 시스템 프롬프트에 무언가를 넣는다. 크롤한 원문, 내부 운영 메모, 경우에 따라서는 사용자 행동 패턴. 이 중 일부가 AI 제공사 서버에 학습 데이터로 활용될 가능성이 있는지 검토한 적이 있는가.

OpenAI와 Anthropic의 약관은 "API 호출 데이터는 기본적으로 학습에 사용하지 않는다"는 조항을 두고 있다. 그런데 '기본적으로'와 '무조건'은 다르다. 유럽에서 GDPR 대상 데이터를 AI 파이프라인에 태우는 것과 국내 데이터를 태우는 것은 규제 노출 수준이 다르다. 보험·금융 분야라면 금융소비자보호법상 정보 처리 위탁 고지 의무가 걸릴 수 있다.

작은 팀일수록 이 검토를 건너뛴다. 바빠서, 또는 몰라서. 그리고 문제는 건너뛴 그 순간이 아니라 한참 뒤에 터진다.

규제 공백: 자동 발행의 법적 책임은 누가 지나

포드가 엔지니어들을 다시 투입한 이유 중 하나는 '품질 검증 주체' 문제였다. 자동차는 안전 인증이 걸려 있어 이 문제가 극명하게 드러난다. 콘텐츠 분야라고 다르지 않다.

보험·장례·금융 정보 봇은 사실 오류 하나가 독자에게 실질적 피해를 줄 수 있는 영역이다. 2026년 현재 전자상거래법 개정 논의에는 AI 생성 콘텐츠의 출처 고지 의무 조항이 포함될 가능성이 거론되고 있다. 지금은 명시 의무가 없어도 6개월 뒤에는 달라질 수 있다.

우리가 1500자 미만 발행을 코드로 차단한 건 AdSense 저가치 반려 대응이었다. 그 논리는 맞다. 그런데 글자 수는 세기 쉽다. 사실 정확성, 의료·금융 정보의 적정성은 코드로 세기 어렵다. Sonnet 검수 루프가 있다고 해도 — 그 루프가 지난 한 달 REJECT을 몇 건 냈는지 확인해보면, 0건에 가까울수록 프롬프트가 너무 관대하거나 실제로 AI가 항상 완벽한 것인데, 전자일 가능성이 훨씬 높다.

리뷰 루프가 있다고 리스크가 0이 되지는 않는다.

우리 팀 시나리오: 실제로 이게 터지면

가상의 상황 하나. Anthropic이 내년 초 API 약관을 바꿔 '자동화된 콘텐츠 대량 생성'을 위반 항목으로 규정한다면? 지금 약관에 그런 조항은 없다. 그런데 OpenAI는 비슷한 방향으로 수차례 약관을 업데이트했다.

blog, money, insurance, diet 봇이 동시에 멈춘다. 대체 모델로 전환이 가능한가? claude_cli 헬퍼를 수정하면 이론상 가능하다. 그런데 시스템 프롬프트, 출력 파싱 로직, 1500자 게이트 — 각 봇이 Claude 응답 형식에 얼마나 최적화되어 있는지 따지면 전환 비용이 상당하다.

실제로 Gemini Pro나 GPT-4o로 갈아탈 때 발생하는 문제는 '모델이 다르다'가 아니라 '출력 패턴이 다르다'는 데 있다. JSON 구조, 마크다운 포맷, 한국어 문장 길이 경향이 제각각이라 파싱이 깨진다. 이걸 미리 테스트해둔 팀과 그렇지 않은 팀은 위기 대응 속도가 수십 배 차이 난다. 2시간 안에 전환 가능한지 48시간이 필요한지 — 이 숫자를 모르는 채로 벤더 의존을 늘리는 게 포드가 저지른 실수의 작은 팀 버전이다.

이번 주 바로 할 수 있는 네 가지

대규모 인프라 개편이 필요한 얘기가 아니다. 반나절씩이면 된다.

벤더 의존도 지도 그리기: 각 봇이 AI 호출 없이 얼마나 버틸 수 있는지 확인한다. 크롤 → DB 저장 → 발행 흐름에서 AI 없이도 가능한 단계와 AI가 필수인 단계를 분리해 한 페이지로 문서화한다. 이게 없으면 장애 대응이 항상 즉흥으로 흐른다.

시스템 프롬프트 입력 감사: 각 봇의 프롬프트에 뭐가 들어가는지 한 번 훑는다. 내부 인프라 경로, 타 서비스 API 응답, 사용자 식별 정보가 섞여 있으면 즉시 분리한다. 편의상 넣은 것들이 의외로 많다.

대체 경로 전환 비용 측정: 지금 당장 전환이 목적이 아니다. claude_cli에 provider 파라미터를 추가하고 테스트 봇 하나를 GPT-4o로 라우팅해봄으로써 전환 공수를 실측한다. 그 숫자가 의사결정의 근거가 된다.

검수 루프 실효성 점검: Sonnet 검수가 지난 30일간 실제로 몇 건을 걸러냈는지 cms_post 로그에서 확인한다. REJECT·WARN이 거의 없다면 검수 기준이 관대한 건지, 봇이 실제로 잘 쓰는 건지 구분이 필요하다. 기준을 의도적으로 강화해보는 A/B 테스트 하나가 이 질문에 답한다.

포드가 비싼 수업료를 냈다. 그 교훈을 우리 팀은 공짜로 가져갈 수 있다.

원문: AI News & Artificial Intelligence | TechCrunch