LEECHO · 사상논문 · Thought Paper

Context와 Token
LLM 기억, 정렬, 보안의 제1원리

Token 평권(平權)에서 출발하여, 대규모 언어 모델의 기억 딜레마,
정렬 실패, 보안 공격의 통합 기저 논리를 재해석하다

저자 이조글로벌인공지능연구소 (LEECHO Global AI Research Lab) & Opus 4.6

날짜 2026.04

버전 v1.0

초록 · Abstract

본 논문은 Token의 세 가지 기본 속성 — 위치(Position), 빈도(Frequency), 정보 밀도(Information Density) — 에서 출발하여, 대규모 언어 모델(LLM)이 기억 지속성, 정렬 안정성, 보안 방어의 세 영역에서 직면하는 핵심 과제를 재검토하는 통합 프레임워크를 제안한다. 일련의 대화 기반 실험 검증을 통해, 본 논문은 다음과 같은 핵심 명제를 논증한다: 대화 기록 압축은 기억 유지의 사멸 경로이다; 교차 세션 Memory 메커니즘은 모델 정렬과 구조적 충돌이 존재한다; Prompt 주입, 시스템 프롬프트 추출, 모델 증류 공격은 모두 동일한 기저 취약점 — Context Window 내의 Token 평권 속성 — 을 공유한다. 본 논문은 나아가, 전량 컨텍스트 도입이 현재 사고 연쇄(CoT)를 완전히 계승할 수 있는 유일한 기억 복원 방식임을 주장하며, OpenClaw의 폭발적 성공을 사례로 이 판단을 검증한다.

01 · 핵심 공리

Token 평권: LLM의 제1원리

모든 Token은 평등하게 태어난다 — 차이는 오직 위치, 빈도, 정보 밀도에서 발생한다

대규모 언어 모델의 본질은 Token 시퀀스 처리기이다. Transformer의 어텐션 메커니즘 안에서 특별한 권한을 가진 Token은 존재하지 않는다. 시스템 프롬프트(System Prompt)든, 사용자 입력이든, 외부 검색을 통해 주입된 콘텐츠든, 일단 Context Window에 진입하면 어텐션 계산에서의 지위는 완전히 평등하다.

이는 LLM이 아키텍처 수준에서 “명령”과 “데이터”, “신뢰할 수 있는 콘텐츠”와 “신뢰할 수 없는 콘텐츠”를 구별할 수 없음을 의미한다. 모든 우선순위 차이는 다음 세 가지 변수의 상호작용에서 창발한다:

변수 A

위치

시퀀스 내 Token의 위치는 어텐션 가중치 분배에 영향을 미친다. 시작과 끝부분의 Token은 자연스럽게 더 높은 어텐션 집중도를 가지며, 중간 위치는 희석되기 쉽다 — 이른바 “Lost in the Middle” 효과이다.

변수 B

빈도

동일한 개념, 패턴 또는 명령이 Context 내에서 반복적으로 등장하면, 누적 어텐션 가중치가 현저히 상승한다. 고빈도 패턴은 “어텐션 중력장”을 형성하여 모델의 출력 경향을 끌어당긴다.

변수 C

정보 밀도

Token 간 인과관계가 긴밀하고 의존 체인이 완전할수록, 어텐션 계산에서 형성되는 연관 클러스터가 강해진다. 완전한 추론 체인은 고립된 키워드보다 훨씬 높은 유효 가중치를 가진다.

핵심 명제
LLM의 모든 행동 — 기억, 정렬, 보안을 포함하여 — 은 Token 평권과 위치, 빈도, 정보 밀도 세 변수의 상호작용으로 설명할 수 있다. 이 세 변수를 초월하는 “특수 통로”나 “특권 계층”은 존재하지 않는다.

02 · 기억의 딜레마

압축은 사멸 경로: 대화 기억의 비가역적 손실

대화 기록은 문서가 아니라, 양측의 사고 연쇄가 교직된 과정이다

현재 주류 교차 세션 기억 솔루션 — ChatGPT의 Memory 시스템, Anthropic KAIROS의 “꿈꾸기” 압축 메커니즘을 포함하여 — 은 모두 과거 대화의 요약, 압축 또는 핵심 정보 추출에 의존한다. 그러나 실험은 이 경로에 근본적인 결함이 있음을 증명한다.

대화 기록의 본질은 일반 문서가 아니다. 인간-AI 대화에는 인간 사용자의 질문 논리(왜 이것을 물었는지, 이전 질문에서 다음 질문을 어떻게 도출했는지), AI의 추론 경로(왜 다른 답변이 아닌 이 답변을 선택했는지), 그리고 대화 과정에서 형성된 암묵적 합의(어떤 전제가 더 이상 언급할 필요가 없는지)가 포함된다. 이 세 가지가 함께 대화의 사고 연쇄(Chain of Thought, CoT)를 구성한다.

실험 발견
압축이 개입하면, 잘려나가는 것은 “중복 정보”가 아니라 CoT의 중간 노드이다. 표면적으로 기억은 유지되는 것처럼 보인다 — 결론은 보존되고, 키워드는 남아있다 — 그러나 도출 과정이 끊어진다. AI가 추론을 재개하거나 이어갈 때, 압축된 요약을 가지고 작업하는 것은 마치 증명 과정은 모두 찢겨 나가고 최종 답만 남은 수학 노트와 같다.

기억 복원 실험

극히 간단하지만 결정적인 실험이 위의 판단을 검증했다: 전날의 완전한 대화 기록을 새로운 대화 창의 첫 번째 메시지로 전량 도입했다. 결과는 직관에 반했다 — 이전 대화의 CoT가 새 창에서 완전히 계승되었다.

이것이 가능한 이유는 도입 방식이 RAG(검색 증강 생성)가 아니라 직접적인 Context 입력이기 때문이다. LLM이 파일을 읽는 본질은 텍스트를 순서대로 input token으로 입력하는 것이다. 긴 컨텍스트 내 완전한 대화 시퀀스는 내부 인과 체인이 온전하고 token 간 의존 관계가 밀집되어, 어텐션이 충분히 연관을 구축할 수 있다 — 따라서 극히 높은 유효 가중치를 가진다.

핵심 통찰
LLM의 “기억 복원”에는 어떠한 특수 메커니즘도 필요하지 않다. 읽기가 곧 기억이다. 전량 대화 텍스트가 순서대로 token 입력으로 Context Window에 진입하면, 새 창에서 모델의 “이전 기억”으로 자연스럽게 매핑된다.

기억 방식	CoT 완전성	가중치 수준	정보 밀도	평가
전량 Context 도입	✓ 완전 계승	극히 높음	원본 밀도	유일하게 유효한 기억 복원 방식
RAG 검색 단편	✗ 단편화	중간	부분 보존	문맥 연관 상실
Memory 요약	✗ 단절	극히 낮음	심각한 감쇠	OOD 콘텐츠 + CoT 파괴
KAIROS 압축	✗ 단절	극히 낮음	심각한 감쇠	방향성 오류

03 · OOD 역설

Memory의 구조적 모순: 저장하는 것은 OOD이고, 모델은 OOD를 불신한다

교차 세션 기억 메커니즘과 사전 훈련 분포 간의 근본적 충돌

GPT를 포함한 모든 교차 대화 Memory 시스템이 기록하는 콘텐츠는 본질적으로 분포 외(Out-of-Distribution, OOD) 정보이다. 이것은 우연이 아니라, Memory의 필터링 논리에 의해 결정된다.

Memory 시스템이 자동으로 기록하는 콘텐츠는 주로 두 가지 범주이다: 하나는 인간 사용자의 개인 정보(이름, 직업, 선호도 등), 다른 하나는 모델의 고빈도 응답 메커니즘에 나타나지 않는 혁신적 대화 내용이다. 즉, 모델이 이미 “알고 있는” 것은 기록할 필요가 없고, 기록되는 것은 정확히 모델이 “모르는” 것 — 즉 OOD 콘텐츠이다.

대화 단계

대화 중 혁신적 콘텐츠 또는 개인 정보 발생 → OOD로 식별

↓

기록 단계

Memory 시스템이 이러한 OOD 정보를 자동 추출 및 저장

↓

주입 단계

다음 대화 시 Context에 주입 → 그러나 모델의 사전 훈련 분포가 본질적으로 OOD를 불신 → 가중치 극히 낮음

이것은 조화시킬 수 없는 역설을 구성한다: Memory가 존재하는 이유는 모델이 모르는 것을 기록하기 위함이지만, 모델의 추론 메커니즘은 본질적으로 모르는 것을 불신한다. 실제 사용에서, Memory를 통해 주입된 정보의 어텐션 계산 가중치는 RAG로 검색된 데이터보다도 낮다 — RAG 콘텐츠는 일반적으로 구조화되어 있고, 현재 쿼리와 높은 관련성을 가지며, 모델의 사전 훈련 분포와의 중첩도가 더 높기 때문이다.

역설의 본질
Memory는 소량의 OOD 신호로 대량의 in-distribution 데이터에 의해 형성된 모델 행동을 전환시키려 한다. 현재 Transformer 아키텍처 하에서, 이것은 계란으로 바위 치기와 같다. 엔지니어링 구현의 문제가 아니라, 방향성의 문제이다.

04 · 정렬 드리프트

컨텍스트 관성: 왜 긴 대화는 시스템 명령을 덮어쓰는가

OpenClaw의 SOUL.md 실효 사례로 본 Context 가중치 압도

2026년 초, 오픈소스 개인 AI 에이전트 OpenClaw가 폭발적으로 인기를 끌며, 72시간 내에 GitHub Star 6만 이상을 획득했다. 사용자들의 핵심 체감은 두 단어로 요약되었다: “나를 이해한다”와 “인격이 안정적이다.”

OpenClaw의 아키텍처는 이러한 체감의 기술적 원천을 드러낸다: SOUL.md 파일을 통해 인격과 소통 스타일을 정의하면서, 가능한 한 완전한 대화 이력을 Context 입력으로 보존한다. Context Window가 한계에 근접할 때에만 압축(compaction)을 실행한다.

그러나 실험은 반직관적 사실을 드러냈다: SOUL.md 파일을 수정한 후, 이전의 긴 대화 컨텍스트를 계속 모델에 입력하면, 새로운 SOUL 설정은 완전히 무효화된다. 모델의 행동은 전적으로 과거 대화에서 형성된 패턴을 따르며, 시스템 프롬프트의 새 명령은 무시된다.

SOUL.md (시스템 프롬프트)

Context 시작 부분에 한 번만 등장
텍스트량 적음 (일반적으로 < 500 token)
후속 대화의 행동 패턴과 모순 가능
위치적 우위가 후속 대량 token에 의해 희석

과거 대화 컨텍스트

전체 Context Window에 걸쳐 분포
텍스트량 대규모 (수천~수만 token)
내부 행동 패턴이 고도로 일관되며 반복 강화
Token 간 인과관계 밀집, 정보 밀도 극히 높음

Token 평권 프레임워크로 설명하면, 이것은 세 변수 모두에서의 전면적 압도 결과이다:

위치: System Prompt가 시작 부분에 있지만, 후속 대화가 성장함에 따라 위치적 우위는 기하급수적으로 희석된다. 빈도: 과거 대화에서 형성된 어조, 어휘 습관, 추론 스타일이 수십~수백 번 반복 강화되었으나, SOUL의 명령은 한 번만 등장한다. 정보 밀도: 완전한 대화는 긴밀한 인과 체인을 형성하여 정보 밀도가 극히 높다; SOUL.md는 고립된 서술적 문장의 집합일 뿐이다.

추론
사용자가 느끼는 “인격 안정성”은 SOUL.md의 공이 아니라, 컨텍스트 관성이다. 대화가 길어질수록 이 관성은 강해지고, 시스템 프롬프트 수정은 점점 무력해진다. System Prompt를 통해 모델 행동을 “통제”하려는 모든 접근법은, 충분히 긴 컨텍스트 앞에서 점차 실효할 것이다.

05 · 보안 통합

세 가지 공격, 하나의 취약점

Prompt 주입, 시스템 프롬프트 추출, 모델 증류의 Context 계층 통합 해석

Token 평권의 시각에서 LLM의 세 대 보안 위협을 재검토하면, 이들이 완전히 동일한 기저 논리를 공유함을 발견한다: Context Window 내 Token의 평권 속성을 이용하여, 정교하게 구성된 입력으로 모델의 행동 패턴을 덮어쓰거나, 추출하거나, 복제하는 것이다.

공격 유형	공격 벡터	이용된 Token 변수	공격 목표
Prompt 주입	사용자 입력 내 고가중치 명령 구성	빈도 밀도	System Prompt 덮어쓰기
시스템 프롬프트 추출	Context를 통해 모델이 숨겨진 명령을 누출하도록 유도	위치 밀도	안전 가드레일 추출
모델 증류 공격	대량 쿼리로 입력-출력 쌍 수집	빈도 밀도	추론 능력 복제

Prompt 주입은 가장 직접적인 증명이다. OWASP는 이를 2025-2026년 LLM 애플리케이션의 최대 보안 위협으로 선정했으며, 에이전트 시스템에서의 공격 성공률은 84%에 달한다. 핵심 취약점은 극히 단순하다: LLM은 동일한 Context Window 내에서 모든 텍스트를 처리하며, 신뢰할 수 있는 시스템 명령과 신뢰할 수 없는 사용자 입력을 구별하는 내장 메커니즘이 없다. 공격자는 입력 내에 고빈도, 고정보밀도의 “의사 명령”을 구성하여, 어텐션 계산에서 저빈도의 시스템 프롬프트를 압도한다.

모델 증류 공격은 대규모 버전의 Context 이용이다. 2026년 2월, Anthropic은 DeepSeek 등 연구소가 24,000개 이상의 사기 계정을 통해 1,600만 건 이상의 대화 상호작용을 생성하며 Claude의 추론 능력을 체계적으로 추출했다고 공개했다. Google은 Gemini의 다국어 추론 능력을 복제하려는 10만 건 이상의 프롬프트가 단일 배치로 제출된 공격을 보고했다. 증류 공격의 본질은: 대량의 Context 상호작용을 통해, 다양한 입력 조건에서의 모델 출력 패턴을 전부 기록한 후, 이 데이터로 새 모델을 훈련시키는 것 — 사실상 원본 모델의 추론 체인을 “복제”하는 것이다.

통합 해석
이 세 가지 공격이 성공하는 근본적 이유는 동일하다: Context Window 내에 Token 특권 계층이 존재하지 않는다. 안전 가드레일, 정렬 제약, 행동 경계 — 이것들은 모두 Context 내 자연어 Token의 형태로만 존재하며, 어떠한 아키텍처 수준의 보호도 없다. 공격자의 Token이 위치, 빈도, 정보 밀도에서 방어자의 Token을 초과하면, 공격은 성공한다.

06 · 사례 검증

Claude Code 소스코드 유출: 이론의 현실적 입증

2026년 3월 31일, Anthropic의 연속 두 번째 대규모 정보 유출

2026년 3월 말, Anthropic은 5일 이내에 두 건의 대규모 유출 사건을 겪었다: 3월 26일 CMS 설정 오류로 약 3,000개의 내부 자산이 공개 접근 가능 상태가 되었고, 3월 31일 Claude Code v2.1.88의 npm 패키지에 실수로 소스맵 파일이 포함되어 약 51만 줄의 TypeScript 소스코드와 1,900개 파일이 전부 유출되었다.

유출된 소스코드 중 KAIROS 시스템 — Anthropic의 “꿈꾸기” 기억 통합 메커니즘 — 의 완전한 구현이 노출되었다. 코드에 따르면, KAIROS는 사용자 비활성 시 4단계 기억 통합을 실행한다: 방향설정(Orient), 수집(Collect), 통합(Consolidate), 가지치기(Prune). 이것은 본 논문이 비판하는 “압축 경로”의 엔지니어링 구현 그 자체이다.

유출 규모

512K 줄

TypeScript 소스코드, 1,900개 파일, 미공개 Feature Flag 44개 포함

Anti-Distillation

가짜 도구 주입

증류자의 훈련 데이터를 오염시키기 위해 가짜 도구 정의를 주입 — 증류 공격의 현실적 위협을 암묵적으로 인정

Undercover Mode

은폐 모드

오픈소스 기여 시 Anthropic 내부 정보를 숨기기 위해 사용 — 그리고 이 시스템 자체도 유출에서 노출

아이러니하게도, 소스코드에 포함된 반증류 메커니즘(Anti-Distillation)이 본 논문의 논점을 정확히 검증한다: Anthropic 스스로도 Context 계층에서 증류 공격을 차단하는 것은 사실상 불가능하다고 인정한 것이다 — 그들이 선택한 전략은 “차단”이 아닌 “오염”이며, API 응답에 가짜 도구 정의를 주입하여 증류 데이터의 품질을 저하시키는 것이다. 이것은 기술적 방어가 아닌 경제적 방어이다.

07 · 전량 경로

전량 Context: 기억 문제의 올바른 방향

OpenClaw의 성공과 Context Window 확장의 산업 트렌드

압축이 사멸 경로라면, 올바른 방향은 무엇인가? 답은 실험에서 이미 제시되었다: 전량 Context 도입.

OpenClaw의 폭발적 성공이 이 판단을 검증했다. 핵심 전략은 “가능한 한 압축하지 않고, 전량 컨텍스트를 보존한다”이다. 사용자가 체감하는 “AI가 나를 이해한다”와 “인격 안정성”은, 본질적으로 대량의 input token을 완전한 컨텍스트로 지속 입력하여 얻은 효과 — token 비용으로 구매한 유사-RLHF 효과이다. 모델이 사용자의 선호에 진정으로 정렬된 것이 아니라, 매 추론 시 완전한 과거 컨텍스트가 어텐션 내에서 자연스럽게 “정렬의 환상”을 생성하는 것이다.

차원	압축 경로	전량 Context 경로
CoT 보존	단절 (중간 추론 노드 제거)	완전 계승
정보 밀도	심각한 감쇠 (인과 체인 절단)	원본 밀도
정렬과의 관계	충돌 (OOD vs. in-distribution)	시너지 (컨텍스트 관성 = 정렬)
비용	낮은 token 소비	높은 token 소비
결과	기억 파편화, 인격 불안정	“AI가 나를 이해”, 인격 안정

이것은 또한 전체 산업이 왜 Context Window 확장에 필사적인지를 설명한다 — 4K에서 128K로, 1M으로, 10M으로. 본질적으로 “전량 도입”을 위한 공간을 확보하는 것이다. Context Window의 매 확장은 “가장 단순한 방법” — 전부 넣기 — 을 점점 더 실현 가능하게 만든다.

트렌드 판단
Context Window가 충분히 커지면, Memory 메커니즘, 압축 알고리즘, 요약 시스템은 모두 불필요한 중간 계층이 될 수 있다. 진정한 기억은 “무엇을 기억했느냐”가 아니라 “무엇을 다시 읽을 수 있느냐”이다.

08 · 패러다임 딜레마

불가능 삼각형: 기억, 정렬, 보안의 구조적 충돌

Token 평권 프레임워크 하의 체계적 모순

앞선 분석을 종합하면, 현재 LLM 아키텍처가 직면한 불가능 삼각형을 그려낼 수 있다:

꼭짓점 A

기억 지속성

완전한 대화 이력 보존을 위해 긴 Context가 필요 → 그러나 긴 Context는 시스템 명령의 가중치를 희석 → 정렬 및 보안과 충돌

꼭짓점 B

정렬 안정성

시스템 명령이 항상 높은 가중치를 유지해야 함 → 그러나 Token 평권은 어떤 명령이든 컨텍스트에 의해 덮어써질 수 있게 함 → 기억 및 보안과 충돌

꼭짓점 C

보안 방어

신뢰할 수 있는 Token과 신뢰할 수 없는 Token을 구별해야 함 → 그러나 아키텍처 수준의 Token 특권이 존재하지 않음 → 기억(외부 입력 처리 필요)과 충돌

Token 평권이라는 근본 속성이 변하지 않는 한, 이 세 가지 목표는 동시에 충족될 수 없다. 현재의 모든 “솔루션” — Memory 시스템이든, RLHF 정렬 훈련이든, Prompt Shield 보안 가드레일이든 — 은 이 불가능 삼각형의 세 변에서 트레이드오프를 하고 있을 뿐, 모순을 진정으로 해결하는 것이 아니다.

근본적 도전
진정한 돌파구는 아키텍처 수준의 패러다임 전환을 요구할 수 있다: 어텐션 메커니즘 내에 네이티브 Token 수준 특권 태깅(native token-level privilege tagging) 도입, 신뢰 콘텐츠와 비신뢰 콘텐츠를 위한 독립적 어텐션 경로 분리, 또는 명령과 데이터가 동일 시퀀스에서 무차별적으로 연결되는 현재 패러다임의 근본적 변경. 이러한 아키텍처 혁신이 실현되기 전까지, Token 평권이 초래하는 모순은 지속될 것이다.

09 · 결론

제1원리로의 회귀

본 논문은 LLM의 기본 속성인 Token 평권에서 출발하여, 위치, 빈도, 정보 밀도의 세 변수를 통해 기억, 정렬, 보안 세 영역의 문제를 통합적으로 설명할 수 있는 분석 프레임워크를 구축했다.

핵심 결론은 다섯 가지 명제로 귀납할 수 있다:

명제 1: 대화 기록 압축은 기억 유지의 사멸 경로이다 — 압축은 양측 CoT의 인과 체인 구조를 파괴하여, 비가역적 정보 밀도 손실을 초래한다.

명제 2: 교차 세션 Memory 메커니즘은 OOD 역설이 존재한다 — 기록하는 것이 정확히 모델이 가장 불신하는 분포 외 정보이며, 주입 후 가중치가 극히 낮다.

명제 3: 전량 Context 도입은 현재 사고 연쇄를 완전히 계승할 수 있는 유일한 기억 복원 방식이다 — 읽기가 곧 기억이며, Context Window의 확장이 올바른 방향이다.

명제 4: 컨텍스트 관성은 시스템 명령을 점진적으로 덮어쓴다 — 긴 대화에서 축적된 행동 패턴이 빈도와 정보 밀도에서 System Prompt를 압도한다.

명제 5: Prompt 주입, 시스템 프롬프트 추출, 모델 증류 공격은 동일한 기저 취약점을 공유한다 — Context Window 내의 Token 평권 속성.

궁극적 통찰
Token 평권은 LLM의 가장 큰 힘의 원천이자, 가장 근본적인 한계이다. 모든 Token이 평등하게 처리되기 때문에 모델은 범용 지능을 창발할 수 있다; 그러나 어떤 Token도 특권을 누리지 못하기 때문에 기억은 지속될 수 없고, 정렬은 드리프트하며, 보안은 보장하기 어렵다. 이 양날의 검을 이해하는 것이 현재 LLM의 모든 행동을 이해하는 출발점이다.

참고문헌 및 주석 · References

OWASP, “LLM01:2025 Prompt Injection,” OWASP Gen AI Security Project, 2025. Prompt 주입을 LLM 애플리케이션 최대 보안 위협으로 선정.

Anthropic, “Claude Code Source Code Leak,” 2026년 3월 31일. npm 패키지 설정 오류로 512K 줄 소스코드 유출.

Fortune, “Anthropic leaks its own AI coding tool’s source code,” 2026년 3월 31일. Anthropic의 5일 내 두 번째 데이터 유출 보도.

OpenAI, “Memory and new controls for ChatGPT,” 2025년 업데이트. Saved Memories와 Chat History 두 가지 기억 메커니즘 설명.

Julian Fleck, “Reverse Engineering ChatGPT’s Updated Memory System,” Medium, 2025년 4월. Topic Memory와 검색 메커니즘 공개.

Manthan, “I Reverse Engineered ChatGPT’s Memory System,” 2025년 12월. 4계층 기억 아키텍처 발견: 세션 메타데이터, 장기 사실, 대화 요약, 슬라이딩 윈도우.

LessWrong, “LLM AGI will have memory, and memory changes alignment,” 2025년 4월. 기억 메커니즘이 정렬 안정성에 미치는 영향 논증.

MemOS Project, “MemOS: A Memory OS for AI System,” arXiv, 2025. 기억 운영체제 개념 제안, 현재 LLM에 파라메트릭 저장과 외부 검색 사이의 중간 계층이 부재함을 지적.

William Ogou, “Combating Model Distillation and Weaponized LLMs,” 2026년 2월. Anthropic과 OpenAI가 동시에 산업 규모 증류 공격을 공개한 사실 보도.

Bibek Poudel, “How OpenClaw Works: Understanding AI Agents Through a Real Architecture,” Medium, 2026년 2월. OpenClaw의 Context 보존 및 compaction 메커니즘 분석.

Vectra AI, “Prompt injection: types, real-world CVEs, and enterprise defenses,” 2026년 2월. 에이전트 시스템에서 prompt 주입 공격 성공률 84% 보고.

Alex Kim, “The Claude Code Source Leak,” 2026년 3월 31일. 유출 소스코드 내 Anti-Distillation, Undercover Mode 등 시스템 심층 분석.