“왜 model weights는 더 자주 새지 않을까”에 r/LocalLLaMA가 답했다

r/LocalLLaMA thread는 순진해 보이지만 중요한 질문에서 시작했다. OpenAI나 Anthropic 같은 곳의 내부자가 flagship model weights를 그냥 export해서 유출하지 못하게 막는 실제 장벽은 무엇인가. 질문자는 LLM weights가 전통적인 enterprise software보다 self-contained하고 portable해 보인다고 썼고, 그래서 왜 더 자주 leak가 일어나지 않는지 물었다.

상위 댓글들은 꽤 일관된 답을 냈다. 첫째, weights는 “USB에 복사할 파일 하나”가 아니라 매우 크고 sharded되어 있으며, 접근 권한도 좁게 관리된다. 둘째, 대형 회사의 managed laptop과 internal infra에서는 file transfer, USB device, network movement 같은 행위가 촘촘히 기록된다. 셋째, 실제로 full weights에 직접 접근할 수 있는 사람은 생각보다 적고, training이나 release pipeline에 가까운 일부 인력에 한정될 가능성이 높다.

또 다른 축은 incentive다. 댓글들은 적발될 경우 고소, industry blacklist, 고액 연봉 job 상실, 경우에 따라 형사 리스크까지 감수해야 한다고 지적했다. Llama 1 사례도 “Meta 내부자가 몰래 가져갔다”기보다, 연구자들에게 넓게 배포된 weight가 외부로 재공유된 사건에 가깝다는 정정이 반복됐다.

이 thread가 유용한 이유는 security를 신비화하지 않았기 때문이다. 답은 절대적인 방어막이 아니라 friction의 조합이다. data size, sharding, least privilege, monitoring, anomaly detection, legal risk, social trust가 겹치면, 가능한 일도 시도하기 어려운 일이 된다. 특히 frontier lab에서는 model weights가 product 그 자체이므로, 일반 source repo보다 더 좁은 경로로 다뤄질 수밖에 없다.

물론 이것이 insider risk가 없다는 뜻은 아니다. 커뮤니티가 보여준 핵심은 “왜 불가능한가”가 아니라 “왜 조용히 하기 어려운가”였다. open weights를 바라는 LocalLLaMA 독자들에게도, closed weights의 운영 현실을 이해하는 데 좋은 thread였다.