2월 19일 아침, Claude 기반으로 개발하던 대부분의 개발자에게는 평범한 하루였다. 점심때까지는.
Anthropic이 서비스 약관을 업데이트하여 서드파티 애플리케이션에서 구독 기반 OAuth 토큰 사용을 명시적으로 금지했다. Claude Pro와 Max 구독자 중 OpenCode, Cline 등의 도구를 통해 구독 인증 정보를 사용하던 이들은 단 하나의 오류 메시지를 마주했다: 접근 거부. 유예 기간도 없고, 마이그레이션 경로도 없다. 정책 변경과 깨진 워크플로우만 남았다.
개발자 커뮤니티의 반응은 예상대로였다. GitHub 이슈가 쏟아졌다. Discord 서버가 들끓었다. "Claude 구독 해킹의 종말"이라는 제목의 Substack 글이 몇 시간 만에 돌기 시작했다. Claude 구독에 편승하는 방식으로 전체 인증 모델을 구축한 프로젝트들에게 이건 사소한 불편이 아니라 존재 자체를 위협하는 사건이었다.
한편 NanoClaw 사용자들은 아무 변화도 느끼지 못했다. 운이 좋아서가 아니라, NanoClaw가 애초에 OAuth를 사용하도록 설계되지 않았기 때문이다.
실제로 무슨 일이 있었나
이것이 왜 중요했는지 이해하려면, Anthropic이 차단한 해킹 방식을 알아야 한다. Claude Pro와 Max 구독에는 Anthropic의 공식 CLI 도구인 Claude Code 접근 권한이 포함된다. Claude Code는 OAuth로 인증한다 — 한 번 로그인하면 토큰을 받고, CLI가 그 토큰으로 API를 호출한다. 토큰은 종량제 API 키가 아닌 구독에 연결된다.
개발자들은 이 OAuth 토큰을 추출해서 다른 도구에서 사용할 수 있다는 걸 금방 알아챘다. Anthropic API를 통해 토큰당 비용을 지불하는 대신, 월 $20의 Claude Pro로 무제한 요청을 구독 토큰으로 라우팅할 수 있었다. OpenCode 같은 프로젝트는 이를 핵심 가치로 삼았다: "API 비용 없이 Claude를 사용하세요."
경제적으로 매력적이었다. Claude API를 많이 쓰는 사용자는 월 $200-500을 토큰에 쓸 수 있다. 같은 사용량을 구독 해킹으로 처리하면 $20이다. 에이전트 스웜이나 지속적 자동화를 운영하는 팀에게 절감액은 어마어마했다.
Anthropic은 몇 달간 이를 묵인했다. 그러다 2026년 1월 9일, 공식 클라이언트 외부에서 구독 토큰이 작동하지 않도록 서버 측 보호 장치를 배포했다. 2월 19일에는 이를 공식 정책으로 만들었다. The Register는 Anthropic이 "수익 모델을 강화하고 있다"고 보도했다. 개발자 커뮤니티는 배신이라 불렀다. 두 설명 모두 맞았다.
NanoClaw가 위험에 처하지 않았던 이유
NanoClaw의 인증 모델은 의도적으로 단순하다: .env 파일에 ANTHROPIC_API_KEY를 설정하면, 그 키가 런타임에 stdin을 통해 에이전트 컨테이너로 전달된다. 그게 전부다. OAuth 플로우도, 토큰 추출도, 구독 편승도 없다.
이건 실수나 한계가 아니라, 특정 철학에 기반한 의식적인 설계 결정이었다: 남의 가격 차익거래 위에 구축하지 말라.
OAuth 해킹은 언제든 시행될 수 있는 정책 위반이었다. Anthropic의 서비스 약관은 서드파티 도구에서 구독 토큰 사용을 명시적으로 허용한 적이 없다. 작동했다는 사실은 시행의 공백이었지 기능이 아니었다. 그 공백 위에 제품을 만드는 건 모래 위에 짓는 것과 같았다.
더 깊은 아키텍처적 이유도 있다. OAuth 토큰은 세션 기반이며 취소 가능하다. 만료되고, 서버 측에서 무효화될 수 있으며, 주기적인 갱신 플로우가 필요하다. 반면 API 키는 교체할 때까지 작동하는 단순한 베어러 토큰이다. 격리된 컨테이너에서 실행되는 상시 가동 에이전트에게는 더 단순한 인증 모델이 더 안정적이기도 하다.
NanoClaw가 에이전트 컨테이너를 생성할 때, 런타임에 .env에서 API 키를 읽어 stdin JSON으로 컨테이너 프로세스에 전달한다. 키는 컨테이너 내부의 process.env에 절대 들어가지 않고, 디스크에 기록되지 않으며, 로그에 나타나지 않는다. 이건 OAuth보다 단순할 뿐 아니라 더 안전하다. 손상된 컨테이너가 세션 토큰을 추출해서 다른 곳에서 사용자를 사칭할 수 없다 — 세션 토큰 자체가 없기 때문이다.
OAuth 의존 프로젝트들의 후폭풍
OAuth 해킹에 의존했던 프로젝트들은 현재 다양한 위기 단계에 있다. 일부는 API 키 인증으로 전환했다 — 본질적으로 NanoClaw가 처음부터 사용하던 모델을 채택한 것이지만, 기존 사용자 마이그레이션이라는 고통이 따른다. 다른 프로젝트들은 다음 시행 라운드에서 차단될 가능성이 높은 우회 방법을 모색하고 있다.
OpenCode는 대안적 인증 경로를 시도하는 "Antigravity" 모드를 출시했다. 커뮤니티 반응은 엇갈렸다 — 영리한 엔지니어링으로 보는 사람도 있고, 이미 한 번 실패한 전략을 고수하는 것으로 보는 사람도 있다.
더 흥미로운 후폭풍은 철학적인 것이다. OAuth 해킹은 개발자들에게 Claude 접근이 정액제이고 무제한이어야 한다는 기대를 만들었다. 이제 해킹이 사라지면서, 개발자들은 AI 에이전트 운영의 실제 경제학과 마주하고 있다: 토큰 비용은 실재하고, 사용량에 따라 증가하며, 지름길은 없다.
이건 사실 생태계에 건강한 일이다. API 호출 비용이 구독 해킹 뒤에 숨겨져 있으면, 개발자들은 효율성을 최적화하지 않는다. 장황한 프롬프트를 쓰고, 캐싱을 건너뛰고, 비용 인식 없이 에이전트를 반복 실행한다. 모든 토큰에 가격이 붙으면, 프롬프트 엔지니어링, 컨텍스트 윈도우 관리, 그리고 그 에이전트가 정말 60초마다 실행되어야 하는지 고민하기 시작한다.
앞으로의 의미
Anthropic의 정책 변경은 더 큰 트렌드의 일부다. AI 제공업체들이 지속 가능한 비즈니스 모델을 찾아가면서 접근 제어를 강화하고 있다. OpenAI는 몇 달째 API 접근을 제한하고 있다. Google의 Gemini API는 업데이트마다 사용 한도가 더 엄격해진다. 창의적인 인증 해킹을 통한 무제한 AI 접근의 시대는 끝나가고 있다.
AI 에이전트를 만드는 개발자들에게 교훈은 명확하다: 공식적이고 문서화된 채널을 통해 인증하라. API 키를 사용하라. 사용한 만큼 지불하라. 하룻밤 사이에 사라질 수 있는 차익거래 기회가 아닌, 실제 API 가격을 기반으로 비용 모델을 구축하라.
NanoClaw의 접근 방식 — .env의 단일 ANTHROPIC_API_KEY를 런타임에 컨테이너로 안전하게 전달 — 은 흥미롭지 않다. 해킹도 아니고, 영리하지도 않으며, 창의적인 토큰 라우팅으로 비용을 절감해주지도 않는다. 하지만 어제도 작동했고, 오늘도 작동하며, 내일도 작동할 것이다. Anthropic이 실제로 지원하고 문서화하는 인증 모델 위에 구축되었기 때문이다.
때로는 지루한 아키텍처 결정이 가장 오래 살아남는다. 2월 19일, 지루함이 이겼다.