한 개발자가 클로드 코드(Claude Code)가 API로 보내는 요청 안에 사람 눈에는 보이지 않는 유니코드 문자를 몰래 끼워 넣는다는 사실을 발견했다. 이는 제로폭(zero-width) 문자나 변형 선택자처럼 화면에 렌더링되지 않는 코드포인트를 이용한 일종의 스테가노그래피 기법으로, 텍스트에 보이지 않는 '디지털 워터마크'를 새기는 것과 같다. 추정되는 목적은 클로드 코드에서 발생한 트래픽을 일반 API 호출과 구분해 식별하거나, 남용 탐지·사용량 추적·라우팅에 활용하기 위한 것이다. 핵심 인사이트는, 우리가 매일 쓰는 AI 코딩 도구가 사용자 고지 없이 요청에 식별 신호를 삽입할 수 있다는 점이다. 투명성과 프라이버시 관점에서 논쟁이 불가피하다. 더 현실적인 문제는, 이 보이지 않는 문자가 그대로 코드·커밋·문서에 복사될 경우 의도치 않게 출처가 추적되거나 인코딩 오류, 비교 도구 오작동을 유발할 수 있다는 것이다. 내 도구가 외부로 보내는 데이터에 무엇이 숨어 있는지, 한 번쯤 직접 들여다볼 때다.