4월 23일, 백악관이 NSTM-4라는 이름의 정책 메모를 풀었다. 정식 제목은 Adversarial Distillation of American AI Models. 우리말로 “미국 AI 모델에 대한 적대적 디스틸레이션”이다. 서명자는 OSTP(과학기술정책국) 디렉터 마이클 크라치오스(Michael Kratsios). 같은 날 CNBC, NPR, Defense One, Nextgov가 일제히 받아 썼다 (자료: CNBC, 2026-04-23).
다음 날 4월 24일, 미국 시장 마감. 엔비디아(NVDA) $208.24, +4.3%. AMD $347.77, +13.9% — 둘 다 사상 최고가. S&P 500은 7,164로 0.8% 상승, 나스닥은 24,837로 1.63% 올랐다 (자료: Motley Fool, 2026-04-24).
이상한 그림이다. 백악관이 *“중국의 산업 규모 AI 절도(industrial-scale AI theft)“*를 공식 비난한 다음 날, 정작 AI 칩을 만드는 두 회사 주가는 사상 최고를 찍었다. 시장은 이 메모를 안 봤다. 또는 본 다음 “별거 아니네”라고 판정했다.
내 생각은 좀 다르다. 시장이 이번 메모를 정확히 못 읽었다고 본다. 이건 단순히 “중국 욕한 정치 메모”가 아니다. 미국 AI 통제 정책의 축이 바뀐 사건이다. 지금까지 하드웨어(GPU·HBM)에 머물던 통제 surface가 이제 *모델 가중치(weights)와 모델 출력(outputs)*으로 옮겨가는 첫 공식 신호다.
이 글은 그 축 이동이 무엇이고, 왜 시장이 못 봤는지, 그리고 한국에서 NVDA·SK하이닉스를 들고 있는 사람한테 어떻게 번질 수 있는지를 정리한 글이다.
1. 백악관이 실제로 말한 것
NSTM-4 메모는 짧다. 새 수출 규제도, 새 entity list도, 새 API 차단 명령도 없다. 메모가 직접 지시한 건 세 가지뿐이다.
- 연방 정부가 AI 회사에 정보(intelligence)를 공유한다. 누가, 어떻게 미국 모델을 distill 하려 하는지 정부가 가진 단서를 민간에 풀겠다는 뜻이다.
- 민간과 공동으로 방어 best practice를 개발한다. “혼자 못 막는다”는 앤트로픽(Anthropic)의 2월 보고에 정부가 처음 공식적으로 호응한 거다.
- 외국 행위자(foreign actors)를 어떻게 책임 추궁할지 검토한다. 여기에 미래의 export controls, 외교 항의, 기술 제한이 다 들어간다.
크라치오스의 말은 분명하다. “이 외국 행위자들은 수만 개의 프록시와 jail-breaking 기법을 조직적으로 동원해 미국의 돌파구(breakthrough)를 체계적으로 빼낸다.” (자료: Nextgov, 2026-04-23)
은퇴한 폴 나카소네 장군, 전 NSA 국장이자 전 사이버사령관의 코멘트는 더 무겁다. “우리는 [AI 기술을] 어떤 파트너에게 어떻게 공유할지에 대해 매우, 매우 신중해질 것이다.” (자료: Nextgov, 2026-04-23)
여기서 키워드는 “distill”이다. 디스틸레이션(distillation)은 원래 학계 용어다. 강한(teacher) 모델이 만든 답을 학습 데이터로 써서 더 작은(student) 모델을 똑똑하게 만드는 기법. 효율적이고 합법적인 모델 압축 기법으로 출발했다. 그런데 2025년부터 의미가 바뀌었다. 누군가의 상용 frontier 모델에 API로 접속해 수백만 개 질문을 던지고 그 답을 받아다 자기 모델 학습에 쓰는 행위. 그 자체로는 모델 가중치를 훔치지 않는다. 가중치는 그대로 미국 회사 서버에 있다. 그런데 능력은 베껴간다. 그게 adversarial distillation이다.
2. 앤트로픽이 2월에 공개한 숫자
이 메모가 갑자기 나온 게 아니다. 진짜 트리거는 2월 23일이었다. 앤트로픽이 자사 블로그에 올린 Detecting and Preventing Distillation Attacks에 따르면, 2025년 후반부터 자사 클로드(Claude) 모델에 조직적인 추출 캠페인이 들어왔다.
규모가 충격적이다.
- 약 24,000개의 가짜 계정(fraudulent accounts).
- 1,600만 회 이상의 query exchanges.
- 분리된 세 그룹의 트래픽 패턴.
세 그룹의 라벨은 익명이지만, 메모와 후속 보도가 그 이름을 명시했다. MiniMax 1,300만 회 이상, Moonshot AI 340만 회 이상, DeepSeek 15만 회 이상 셋 다 중국 AI 스타트업이다 (자료: White House NSTM-4 / RITS Shanghai NYU 정리, 2026-04-23).
DeepSeek는 한국에서도 익숙한 이름이다. 작년 초 “GPT-4 수준 모델을 1/10 비용으로”라고 화제를 모은 그 회사다. 당시 시장은 “그게 가능해?”라고 물었고, 일부는 “가능하다, 그런데 어떻게?”라고 물었다. 메모는 그 “어떻게”의 한 부분, 즉 적어도 능력의 일부는 미국 frontier 모델 출력에서 distill 했다는 사실을 정부 차원에서 공식화한 거다.
3. 1월에 정반대 메모가 있었다
흥미로운 건 불과 3개월 전 정책이 정반대 방향이었다는 점이다.
2026년 1월 14일, 미국 상무부 BIS(산업안보국, Bureau of Industry and Security)는 엔비디아 H200, AMD MI325X 등 첨단 AI 칩의 중국 수출 심사를 *“presumption of denial”*에서 *“case-by-case review”*로 바꿨다. 사실상의 자유화다. 트럼프 행정부 출범 직후의 거래주의 외교가 그대로 반영된 결정이었다 (자료: CFR, 2026-01-14).
CFR(Council on Foreign Relations)의 China·신흥기술 시니어펠로우 크리스 맥과이어(Chris McGuire)는 그 시점 *“Strategically Incoherent and Unenforceable”*라는 제목의 글로 정면 반박했다. 핵심 논리는 이거다.
“이 규정은 첨단 AI 칩의 중국 수출이 심각한 안보 위협이라고 인정하면서, 동시에 그 칩을 팔 수 있는 통로를 만들었다. 동시에 허용적이고, 집행 가능하고, 안보를 보호할 수는 없다.”
맥과이어의 추정으로는 새 한도 안에서 약 100만 개의 H200 동등급 칩이 중국으로 수출될 수 있다. 중국 AI 컴퓨트(compute) 용량을 *연 250%*까지 늘릴 잠재력이라는 거다. 그가 제안한 대안은 단순하다. “칩은 다 막아라.”
3개월 만에 백악관은 그 비판의 절반에 답했다. 칩을 다시 막진 않았다. 대신 그 칩이 만드는 모델의 산출물을 통제 surface로 끌어들였다. 이게 축 이동이다.
4. 왜 칩을 막는 것만으로는 부족한가
여기서 일반 독자한테 가장 헷갈리는 지점이 나온다. “칩을 안 보내면 모델도 못 만들지 않아?” 답은 “맞기도 하고 틀리기도 하다”다.
맞는 부분: 처음부터 frontier-class 모델(GPT-4, Claude 3.7 Sonnet, Gemini 2.5 등 급)을 학습시키려면 수만 장의 H100/H200/Blackwell 급 GPU가 필요하다. 여기서는 칩 통제가 효과가 있다.
틀린 부분: 누군가가 이미 만들어 놓은 frontier 모델의 출력을 받아다 더 작은 모델을 학습시키는 데는 그렇게 많은 컴퓨트가 필요 없다. AI 연구 커뮤니티에서 자주 인용되는 추정으로는, 잘 설계된 distillation은 처음부터 학습할 때 대비 두 자릿수 배수의 컴퓨트 절감을 만든다. 이게 의미하는 건, 미국이 H200·Blackwell을 아무리 잘 막아도, 그동안 미국 회사들이 만든 GPT·Claude 출력이 API로 풀려있는 한, 적당한 GPU만으로도 기능적으로 비슷한 모델을 만들 통로가 열려 있다는 뜻이다.
Just Security 12월 글이 이 문제를 법적으로 풀어 썼다. 변호사 조 카왐(Joe Khawam)과 팀 슈나벨(Tim Schnabel)이 12월 12일 기고한 분석에 따르면, 미국 EAR(수출관리규정, Export Administration Regulations)의 정의, 즉 15 CFR §772.1의 “technology” 정의, §734.7의 “published” 예외, §768의 외국 가용성 조항을 그대로 읽으면 AI 모델 출력도 통제 가능 대상에 들어올 여지가 있다. 다만 지금까진 정부가 그 해석을 안 했다. NSTM-4가 이 해석을 시작하겠다는 신호다.
5. 통제 축 이동의 그림
말로 풀면 헷갈리니까, 정책 surface가 어떻게 이동하는지를 한 장으로 보자.
위 그림은 “무엇을 통제하느냐”의 surface 자체가 이동하는 모습이다. 위 칸이 기존, 즉 GPU·HBM 같은 하드웨어. 아래 진한 칸이 새 surface, 즉 모델 가중치·출력·API. 1월 BIS pivot이 위 칸을 헐겁게 푼 직후, 4월 NSTM-4가 아래 칸을 본격적으로 열었다. 시장은 위 칸만 보고 환호했다.
이걸 한 줄로 요약하면 이렇다. 미국 정부가 GPU 카드는 약간 풀어주는 대신, 그 카드가 만들어 낸 결과물(모델·출력)을 새 통제 surface로 들이기 시작했다.
6. Distillation 공격이 어떻게 작동하나
장면 하나 더 그려보자. 앤트로픽 보고서를 따라가면 공격은 이런 식으로 진행됐다.
위 그림이 보여주는 핵심 한 가지. ① → ④ 어디에도 “GPU”가 등장하지 않는다. 공격자가 자기 GPU에 미국 칩을 끼워 학습시킨 게 아니라, 미국 회사 서버에 들어가는 API 콜 자체를 무기로 쓴 거다. 그래서 칩 통제가 안 통한다. 그래서 새 surface가 필요하다.
여기서 왜 시장이 이 메모를 안 봤는지에 대한 한 가지 답이 나온다. 메모는 즉시적인 매출·매입 충격이 없다. 새 entity list도, 즉각 발효되는 수출 규제도 없다. 따라서 단기 트레이더 입장에서는 “no news”다. 하지만 축 이동 자체는 1년 단위에서 회사들의 비즈니스 모델을 다시 그린다.
7. 한국 독자한테 어떻게 번지나
여기서부터가 본론이다. 이 메모가 결국 한국에서 NVDA·SK하이닉스·삼성전자를 들고 있는 사람한테 어떤 변수를 추가하나.
첫째, NVDA·AMD 보유자 입장. 단기적으로는 호재 쪽이다. 칩 통제가 다시 강해지지 않았고, 4월 24일 사상 최고가 랠리가 이를 가격에 박았다. 5월 20일 NVDA의 회계연도 1Q27 실적 발표가 다음 분기점이다 (자료: Motley Fool, 2026-04-24). 그 자리에서 데이터센터 부문 가이던스가 어떻게 나오는지가 핵심. 다만 한 가지 경계해야 할 게 있는데, 만약 NSTM-4의 후속 액션으로 BIS가 이번엔 칩 쪽도 다시 조이는 쪽으로 가면 그 순간 단기 호재는 단기 악재로 뒤집힌다.
둘째, 한국 메모리·장비주 입장. SK하이닉스의 HBM은 NVDA Blackwell·H200 라인의 핵심 부품이고, 한미반도체·동진세미켐 같은 후공정·소재주는 모두 NVDA가 얼마나 출하하느냐에 묶여 있다. 1월 BIS pivot은 분명 한국 메모리·장비주에 호재였다. 그런데 NSTM-4 이후 시나리오는 두 갈래다.
- (A) 정부가 output·weights만 정조준하고 칩은 그대로 두면, 한국 공급망은 BIS pivot의 단맛을 그대로 누린다.
- (B) 정부가 NSTM-4를 후속 chip 통제 강화의 명분으로 쓰면, 한국 공급망이 1년 전 패턴으로 돌아간다. 수출 통제 강화 → 출하 감소 → HBM 단가 상승 vs 물량 감소 줄다리기.
지금까지 시장은 (A)에 베팅했다. 그래서 AMD가 +13.9% 사상 최고를 찍었다. 그런데 (B) 시나리오의 가능성도 0이 아니다. 5월 트럼프-시진핑 정상회담(베이징, 반도체·IP 의제 예정. 자료: CNBC, 2026-04-23)에서 어떤 카드가 나오느냐를 봐야 한다.
셋째, OpenAI·Anthropic API를 쓰는 한국 SaaS·스타트업 입장. 이게 별로 얘기되지 않은 그림자 쪽이다. NSTM-4가 가리키는 새 surface(모델 출력·가중치)가 향후 EAR로 정식 편입되면, 한국에서 GPT·Claude·Gemini API를 쓰는 회사는 외국 기업으로서 미국 통제 자산을 쓰는 셈이 된다. 즉시 차단될 가능성은 낮지만, 컴플라이언스 부담이 늘어난다. 기업 고객용 계정에 대한 KYC(Know Your Customer) 강화, 모델 출력 재배포 제약, 한국에서 서빙하는 fine-tuned 모델의 dual-use 라벨링 같은 것들이 1~2년 단위로 들어올 수 있다.
이게 한국 네이버의 하이퍼클로바, 업스테이지 같은 자체 모델 사업자에게는 기회 측면도 있다. “미국 통제 자산이 아닌, 한국 자체 모델”이라는 마케팅 포지션. 하지만 동시에 그동안 OpenAI/Anthropic API에 의존해 빠르게 제품을 만들어 온 한국 SaaS들은 한 번 더 위험 점검을 해야 한다.
넷째, 한국 retail이 잘 안 보는 사이드 효과. OpenAI는 비상장이지만, Microsoft의 OpenAI 지분이 MSFT 클라우드 매출 가이던스의 핵심이다. Anthropic은 Amazon의 대규모 투자를 받았고, AWS Bedrock의 핵심 모델 제공자다. 즉, closed-weight frontier 모델을 dual-use 자산으로 보는 정책은 결국 MSFT·AMZN의 클라우드·AI 사업 회계를 흔들 가능성이 있다. NVDA가 사상 최고일 때 한 발짝 떨어져 봐야 할 곳이다.
8. 강세론·약세론·중도
이번 메모를 읽는 세 가지 시각이 있다. 출처와 함께 정리하면:
강세론(시장의 reading). “메모는 말잔치다. 새 export controls도, 새 entity listing도 없다. 1월 BIS pivot이 만들어 준 칩 자유화가 그대로 살아 있고, 5월 NVDA 실적·트럼프-시진핑 정상회담이 추가 호재 가능성을 남긴다.” Motley Fool 4월 24일 market recap이 사실상 이 시각을 그대로 옮긴다. 시장이 이걸 가격에 박는 데 4월 24일 하루를 썼다.
약세론(hawks: enforce 불가). Just Security의 카왐·슈나벨은 12월 글에서 *“AI 모델 출력에 대한 통제는 외국에서 이미 동급 모델을 만들기 시작하면 enforce 자체가 불가능”*이라고 짚었다 (자료: Just Security, 2025-12-12). 즉 미국이 자기 frontier model API를 묶기 시작하면, 결국 자국 closed-weight 모델 회사의 글로벌 매출에 자기 발을 거는 형국이 된다. NVDA가 H200을 줄이면 시장의 30%를 잃는다. OpenAI/Anthropic이 API를 조이면 시장의 그 이상을 잃는다. 이 시각에서는 NSTM-4는 결국 강력한 후속 액션이 안 따라온다.
중도(CFR: 자체 모순). 맥과이어의 1월 글로 돌아가자. “규정은 동시에 허용적이고, 집행 가능하고, 안보 보호적일 수 없다.” 1월 칩 자유화 + 4월 모델 출력 통제는 이 모순의 두 얼굴이다. 칩은 풀고 출력만 막는다? 그러면 외국 모델 회사들은 미국 칩을 사서 자체 frontier 모델을 만들고, 거기서 distill 한다. 칩은 풀고 출력도 안 막으면? 그러면 1월의 안보 우려가 그대로다. 결국 둘 중 하나는 다시 조정될 거라는 게 중도의 예측이다.
내 생각으로는 강세론은 4월 24일 가격에 이미 박혔으니 지금 들어가는 건 늦다. 약세론은 일리가 있지만 언제 하는 질문에는 답을 못 한다. 중도가 가장 그럴듯해 보인다. 5월 트럼프-시진핑 정상회담 직후가 거기서 결정될 가능성이 크다. 둘 중 어느 surface가 이번 분기에 더 강하게 조여지는지를 보고 다시 판단하면 된다.
9. 그래서 나는
정리하면 이거다.
- 4월 23일 NSTM-4는 즉시 충격 메모가 아니다. 축 이동 메모다.
- 시장은 4월 24일 단기 호재로만 읽고 NVDA·AMD를 사상 최고로 끌어올렸다.
- 진짜 변수는 칩 통제가 그대로 남고 새 출력 통제가 추가되는 두 갈래 surface가 어떻게 정합화되느냐다.
- 5월 NVDA 1Q27 실적과 트럼프-시진핑 정상회담이 다음 분기점.
- 한국 retail에는 두 가지 trade-off가 있다. (1) NVDA·SK하이닉스의 단기 강세를 그대로 누릴지, (2) MSFT·AMZN처럼 closed-weight 모델을 통한 클라우드 매출 의존도가 큰 이름들에 대해 한 발짝 보수적인 시선을 둘지.
내 포지션은 당분간 NVDA·AMD에 더 베팅하지 않는다. 이번 랠리에 이미 뒤늦게 들어가는 건 risk-reward가 안 맞는다고 본다. 대신 5월 NVDA earnings call 자료를 받아 데이터센터 부문 가이던스가 1월 BIS pivot 효과를 어떻게 반영하는지 다시 본다. closed-weight frontier 모델 회사가 연결된 MSFT·AMZN의 다음 분기 실적도 그 맥락으로 다시 본다. 틀리면 그때 고치면 된다.
확실한 한 가지: 이번 메모는 AI 정책이 더 이상 칩만의 게임이 아니다라는 첫 공식 신호다. 그 게임의 룰이 어떻게 새로 쓰이는지를 우리 같은 일반 투자자가 한 분기 앞서 따라가는 것, 그게 지금 할 수 있는 일이다.
참고 자료
- White House warns of ‘industrial-scale’ efforts in China to rip off U.S. AI tech (CNBC, 2026-04-23) — NSTM-4 발표 1차 보도, Kratsios 인용
- White House accuses China of ‘deliberate, industrial-scale campaigns’ to steal US AI models (Nextgov, 2026-04-23) — Nakasone 인용, 메모 정책 액션 정리
- Detecting and preventing distillation attacks (Anthropic, 2026-02-23) — 24,000 계정 × 16M exchanges 1차 공개
- The New AI Chip Export Policy to China: Strategically Incoherent and Unenforceable (CFR, Chris McGuire, 2026-01-14) — 1월 BIS pivot 비판, 100만 H200 추정
- AI Model Outputs Demand the Attention of Export Control Agencies (Just Security, 2025-12-12) — EAR 15 CFR §772.1 / §734.7 / §768 법적 프레임
- Stock Market Today, April 24: Nvidia Surges on Soaring AI Chip Demand (Motley Fool) — 4/24 NVDA·AMD·지수 종가
- Trump administration vows crackdown on Chinese firms ‘exploiting’ AI models (NPR, 2026-04-24) — 메모 정치적 맥락 보도
이 글은 투자 권유가 아니다. 개인 공부 기록이자 의견이며, 결과에 대한 책임은 어디까지나 본인에게 있다.