코드와 이미지: 곡괭이가 안 고이는 자리

도입: 돌려보면 아는 것에는 통행료를 못 걷지만, 돌려봐도 모르는 것에는 걷는다

2편부터 5편까지, 우리는 검증이 단단한 자리만 골라 답사했습니다. 신약 임상은 7.5년, 소재는 비커에서 산업 반응기로 못 넘어가는 죽음의 계곡, 향료는 1년 넘는 인증, 농업은 들판에서 해를 넘기는 실증. 그 단단한 검증을 남에게 파는 길목을 쥔 자에게 곡괭이가 고였습니다. 그래서 자연스러운 의심이 따라옵니다. 그건 검증이 어려운 산업이라서 그런 것 아닐까요. 검증이 쉬운 곳에서도 같은 일이 벌어질까요.

이 글은 정반대의 끝으로 갑니다. 기능·미적 검증이 사실상 공짜인 두 곳, 코드와 이미지입니다. 단 미리 말해 두면, "검증이 공짜"라는 것은 "돌려보면 통하는가, 보기 좋은가"의 1차 검증에 한정됩니다. "안전한가, 진짜인가, 깨끗한가"라는 2차 검증은 별개이고, 그것은 공짜가 아닙니다.

코드부터 봅니다. AI가 생성한 코드는 즉시 실행해 보면 맞는지 틀린지 알 수 있습니다. 테스트를 돌리면 통과하거나 실패합니다. 틀리면 삭제하고 다시 만들면 되고, 그 비용은 컴퓨팅 비용뿐입니다. 신약처럼 임상 7.5년을 기다릴 필요도, 소재처럼 반응기를 돌려볼 필요도 없습니다. 규제기관의 승인 게이트도 없습니다(의료기기 소프트웨어 같은 일부 규제 영역은 소수 예외이고, 이는 수직 특화 플레이어의 영토입니다). 검증이 초에서 분 단위로 끝납니다.

이미지도 같습니다. AI가 생성한 이미지는 사람 눈으로 즉시 판정합니다. 마음에 들면 쓰고, 안 들면 다시 뽑습니다. 폐기 비용은 API 호출 비용뿐입니다. 향료처럼 관능 패널과 GRAS 인증을 거칠 필요가 없습니다(상업 출판 시 법무 검토가 붙지만, 그것은 구매 결정 단계이지 기술적 검증 게이트가 아닙니다). 검증이 초 단위로 끝납니다.

코드와 이미지. 만드는 일은 전혀 다른데, 만든 것이 통하는지 확인하는 일은 똑같이 거의 공짜입니다. 그렇다면 1편의 질문을 거꾸로 돌려봐야 합니다. 이 1차 검증이 공짜인 곳에서는, 곡괭이가 어디에 고이는가. 그리고 한 걸음 더 물어야 합니다. 통하는지는 즉시 알아도, 이 코드가 안전한지, 이 이미지를 누가 만들었고 법적으로 깨끗한지는 돌려봐도 보이지 않습니다. 그 2차 검증은 누가 파는가.

개미의 언어로 먼저 답을 박아 둡니다. 코드와 이미지는 돌려보면, 또 보면 바로 맞는지 알아서, 그 1차 검증을 파는 곡괭이가 안 생깁니다. 그래서 코딩·이미지 앱은 점유율이 출렁이고, 그 방어선은 검증장벽이 아니라 손에 익은 작업 흐름과 브랜드입니다. 모델을 가진 회사(OpenAI·앤스로픽·구글)도 앱 시장으로 내려옵니다. 단 오해는 둘 다 막아 둡니다. 첫째, "1차 검증을 파는 곡괭이가 없다"가 "여기선 돈을 못 번다"는 아닙니다. 이 두 영역에는 ARR 수십억 달러, 사용자 수억 명짜리 회사가 즐비합니다. 다만 그 돈은 검증을 통과시켜 받는 통행료가 아니라, 브랜드와 유통과 작업 흐름에서 나옵니다. 둘째, "곡괭이가 신기루"라고 전부 덮으면 틀립니다. 생성이 공짜가 될수록 안전·출처·법적이라는 2차 검증의 부담이 커지고, 그것은 남이 반드시 사야 하는 검증입니다. AI 코드를 보안 검증하는 회사, AI 이미지의 진위와 안전을 검증하는 회사가 통행료를 걷습니다. 이 글은 그 두 층을 정직하게 갈라, 어디에 곡괭이가 약하고 어디에 곡괭이가 실재하는지를 발굴합니다.

골드러시에서 진짜 돈은 곡괭이를 판 사람이 벌었다는 이야기, 그 곡괭이의 개념은 이미 정본 글로 정리해 두었습니다(곡괭이를 쥔 자). 여기서 다시 설명하지 않습니다. 이 시리즈의 1편이 박은 닻만 한 줄로 가져옵니다. 곡괭이는 검증을 남이 사야 하는 길목에 박힙니다(1편에서 그 원리를 세웠습니다). 6편은 그 원리를 검증이 공짜로 보이는 끝에서 거꾸로 돌려봅니다.

이 구분을 기억하면, 이 글이 "AI 코딩·이미지 거품론"도 "이들은 무적이다"도 아니라 "기능검증이 공짜라 생성앱의 검증형 곡괭이는 약하되, 2차 검증이 유료라 안전·출처·법적 검증형 곡괭이는 실재한다. 검증은 사라지는 게 아니라 재배치된다"는 정확한 2층 대조 발굴로 읽힙니다. 곡괭이의 존재, 그것이 1차 기능검증인가 2차 안전·출처 검증인가, 생성앱의 도구형 해자인가, 그 해자의 시한은 전부 다른 축입니다.

1장. 코드: 즉시 실행하면 맞는지 안다 (단 안전한지는 모른다)

코드를 짜는 일은 자릿수로 싸졌습니다. 그런데 그 코드가 통하는지 확인하는 일도 똑같이 거의 공짜입니다. 이 1차 검증이 공짜인 곳에서 곡괭이는 어디에 고이는지, 그리고 "돌려보면 안다"가 기능엔 맞아도 보안엔 어떻게 틀리는지를 차례로 봅니다.

1.1 검증: 생성한 코드는 돌려보면 맞는지 즉시 안다 (기능에 한해)

생성된 코드는 즉시 실행하고 테스트를 돌려 맞는지 틀린지를 압니다. 이것이 신약·소재와 결정적으로 다른 점입니다. 버그가 나오면 삭제하고 다시 생성하면 그만이고, 실패의 비용은 컴퓨팅 비용뿐입니다. 신약이 임상 7.5년을, 소재가 산업 반응기를 기다려야 했던 그 물리적 검증 시간이 코드에는 없습니다. 기능이 맞는지를 가리는 규제기관 승인 게이트도 없습니다. 의료기기 소프트웨어(FDA SaMD, 기능 안전 규제가 붙는 의료 소프트웨어)나 항공우주 임베디드 코드처럼 기능 안전 규제가 붙는 영역이 있지만, 이는 코드 시장의 소수 예외이고 수직 특화 플레이어의 영토입니다. 일반 소프트웨어에서 코드의 기능 검증은 초에서 분 단위로 끝납니다.

이 기능 검증이 공짜라는 것은, 1편 닻을 따르면 한 가지를 의미합니다. 그 1차 검증을 남이 반드시 사야 할 일이 없다는 것입니다. 신약에서는 임상을 대신 통과시켜 주는 자산이 곡괭이가 됐지만, "이 코드가 돌아가는가"에는 통과시켜 줄 게이트 자체가 없습니다. 그러니 그 1차 검증을 파는 통행료 길목도 생기지 않습니다.

그러나 여기서 한 가지를 미리 못박아 둡니다. "돌아가는가"와 "안전한가"는 다른 검증입니다. 같은 코드가 테스트는 통과하면서도 보안 취약점·공급망 위험·컴플라이언스 위반을 품을 수 있고, 그것은 돌려봐도 보이지 않습니다. 그 둘째 검증은 공짜가 아니며, 누가 그것을 파는지는 3.3에서 발굴합니다. 1.1부터 1.3까지는 기능 검증이 공짜인 첫째 층, 즉 생성앱의 지형을 먼저 봅니다.

1.2 생성앱 락인이 약하다: 멀티툴이 표준이고, 갈아타는 비용이 낮다

기능 검증이 공짜면, 생성하는 도구를 갈아타는 비용도 낮습니다. 코드에서 그 증거가 멀티툴 병행입니다. 한 개발자 조사(2026년 1분기, 사내 개발팀 기준)에서 동시에 쓰는 AI 코딩 툴의 중앙값은 3.1개였습니다 (exceeds.ai, digitalapplied.com). 가장 흔한 스택은 일상 편집용 Cursor, 복잡한 에이전트 작업용 Claude Code, GitHub 생태계 고객사 요건을 맞추기 위한 Copilot을 함께 쓰는 형태입니다. 한 생성 도구에 묶이는 게 아니라, 작업마다 골라 쓰는 것입니다.

갈아타는 빈도도 높습니다. 같은 조사에서 에이전시 팀의 48%가 최근 12개월 안에 주 AI 코딩 툴을 바꿨습니다(사내팀은 26%). 교체 후 1년 안에 다시 떠난 역이탈률도 GitHub Copilot 14%, Cursor 11%, 가장 낮은 Claude Code도 4%였습니다. 신약에서 임상 데이터를 한번 쥐면 남이 반드시 참조해야 했던 것과 정반대입니다. 코드에서는 어느 한 툴도 남이 반드시 통과해야 하는 길목이 아닙니다. 같은 프롬프트를 다른 툴에 넣으면 비슷한 결과가 나오고, 결과가 맞는지는 그 자리에서 실행해 확인하면 됩니다. 그래서 전환비용이 쌓이지 않습니다.

단 이 약함은 생성앱의 약함이지, 2차 검증을 파는 곡괭이의 약함이 아닙니다. 뒤에서 보겠지만, 보안 검증을 파는 곡괭이는 정반대로 한번 박히면 잘 안 빠집니다.

1.3 모델사가 내려와도, 흔드는 건 모델 공급 종속이지 진입 자체가 아니다

기능 검증이 공짜면 앱을 만드는 진입장벽도 낮습니다. 그래서 모델을 가진 회사들이, 모델만 팔지 않고 앱 레이어로 내려옵니다. OpenAI는 2025년 5월 Codex 클라우드 에이전트를 내놓아 Cursor·Devin과 같은 시장에 직접 진입했고 (OpenAI), 앤스로픽은 개발자용 코딩 에이전트 Claude Code를 직접 출시했습니다. 모델이라는 원료를 쥔 회사가, 그 원료를 사서 앱을 만들던 회사의 자리로 내려온 것입니다.

그런데 여기서 흔한 결론을 미리 깨야 합니다. "그러니 생성앱은 모델사 진입에 흔들려 무너진다"는 과장입니다. 사실은 정반대 증거가 더 큽니다. OpenAI Codex와 Anthropic Claude Code가 같은 시장에 들어온 뒤에, Cursor의 ARR(연간 반복 매출)은 2025년 6월 약 $500M에서 2026년 2월 약 $2B로 6개월 만에 4배가 됐습니다 (SaaStr, Cursor Enterprise). 24개월 미만 $2B 도달은 B2B SaaS 사상 최초이고, Fortune 500의 64%가 쓰며 NVIDIA는 엔지니어 4만 명 전원이 씁니다. 모델사가 직접 내려와도, 워크플로우에 깊이 박힌 생성앱은 오히려 더 빨리 컸습니다. 생성앱을 진짜로 흔드는 변수는 모델사의 앱 진입이 아니라 모델 공급 종속입니다.

그 공급 종속이 비용으로 드러난 것이 Copilot 토큰 쇼크입니다. 마이크로소프트의 GitHub Copilot은 2026년 6월 1일 전면 토큰 기반 과금(사용량만큼 내는 과금)으로 전환했습니다 (TechTimes, GitHub). 정액제에서 토큰 소비량 과금으로 바뀌자, 에이전트를 많이 쓰는 헤비 유저의 청구액이 월 $29에서 약 $750으로, 일부는 $50에서 약 $3,000으로 뛰었습니다. GitHub 공식 FAQ에는 다운보트 904개가 달렸습니다(업보트 22개). 내부 문서 유출에 따르면 Copilot의 주간 운영비가 2026년 1월 이후 거의 두 배로 뛰어, 이 개편이 전략이 아니라 비용 방어였음을 시사합니다. 모델을 빌려 쓰는 앱은, 모델 비용이 오르면 그 부담을 사용자에게 넘기거나 스스로 떠안아야 합니다. 이것이 생성앱의 진짜 약점입니다. 진입이 아니라 공급입니다.

Windsurf 72시간 삼각극은 그 둘을 한 장면에 담습니다 (elephas.app, TechRepublic). OpenAI가 코딩 스타트업 Windsurf를 인수하려 협상하던 중, 2025년 6월 3일 앤스로픽이 Windsurf의 Claude 모델 직접 접근을 끊었습니다(모델 공급을 쥔 쪽의 힘). 앤스로픽 공동창업자는 "OpenAI는 우리의 최대 경쟁자"라고 공개적으로 말했습니다. 결국 OpenAI 딜은 무산됐고, 같은 날 구글이 $2.4B 라이선싱으로 창업자와 핵심 인력 약 40명을 데려갔으며, 잔여 Windsurf는 72시간 안에 Cognition이 약 $250M에 인수했습니다(인수 두 달 뒤 Cognition 밸류 $10.2B). 사흘 만에 운명이 결정된 것은 맞습니다. 그러나 그 결과는 "앱 레이어가 흡수돼 0이 됐다"가 아니라, 합쳐서 약 $2.65B의 가치가 포착됐다는 것입니다. 모델 공급을 쥔 쪽이 협상의 갑인 것은 분명하되, 앱 레이어가 무가치해지는 것은 아닙니다. 가치는 모델·앱·검증 세 층으로 나뉘어 분배됩니다.

사흘 만에 운명이 결정된 것은 맞지만, 그 결과는 0이 아니라 합쳐서 약 $2.65B의 가치 포착이었습니다($2.4B 라이선싱 + $250M 인수). 모델 공급을 쥔 쪽이 협상의 갑이되, 앱 레이어가 무가치해지는 것은 아닙니다. 가치는 모델·앱·검증 세 층으로 분배됩니다. (출처: elephas.app, TechRepublic, Cognition·CNBC)

2장. 이미지: 보면 바로 안다

이미지는 코드와 산업이 전혀 다른데, 만든 것이 통하는지 확인하는 일은 똑같이 거의 공짜입니다. 코드가 밟은 길을 이미지가 그대로 밟습니다. 미적 검증이 즉시 끝나고, 생성 단가가 붕괴하며, 모델이 부품처럼 교체됩니다. 단 "보기 좋은가"와 "진짜인가·깨끗한가"가 다른 검증이라는 점까지 같습니다.

2.1 검증: 생성 이미지는 육안으로 즉시 판정된다 (보기 좋은지에 한해)

생성된 이미지는 사람 눈으로 즉시 보기 좋은지 판정합니다. 마음에 들면 쓰고, 안 들면 다시 뽑습니다. 폐기 비용은 API 호출 비용뿐입니다("마음에 안 들면 다시 생성"의 비용이 사실상 0입니다). 향료가 관능 패널과 GRAS 인증을, 신약이 임상을 거쳐야 했던 검증 게이트가 미적 판정에는 없습니다. 건강·의료 이미지 규제 같은 소수 예외를 빼면, 이미지의 미적 검증은 초 단위에 끝납니다.

단 여기서도 미리 못박아 둡니다. "보기 좋은가"는 즉시 알아도, "이 이미지를 누가 만들었나(AI인가 사람인가), 학습 데이터가 법적으로 깨끗한가, 딥페이크는 아닌가"는 보면 알 수 없습니다. 상업 출판·광고에 법무 검토가 붙는 것도, 2026년부터 규제가 출처 표시를 의무화하는 것도 그래서입니다. 그 둘째 검증은 공짜가 아니며, 누가 파는지는 3.4에서 발굴합니다.

갈아타는 비용도 낮습니다. Midjourney, Adobe Firefly, DALL-E·GPT Image, Stable Diffusion·Flux, 구글 Imagen 등 주요 이미지 생성 툴에 같은 프롬프트를 즉시 재입력할 수 있습니다. 한 툴에서 다른 툴로 옮길 때 "재훈련"이 필요 없고, 프롬프트만 다시 쓰면 됩니다(워크플로우가 내장된 Adobe Firefly는 예외이고, 이는 3장에서 다룹니다).

2.2 생성 단가가 붕괴하고, 모델사가 모델을 갈아치운다

이미지·영상 생성 단가는 자릿수로 무너졌습니다. 구글 베오(Veo)의 1초 단가는 출시 시점 $0.50(Veo 3, 2025년 5월)에서 경량 버전 $0.03(Veo 3.1 Lite, 2026년)으로 94% 빠졌습니다 (veo3ai.io, gstory.ai). 만드는 비용이 거의 사라진 것입니다.

영상 생성 단가는 1초 $0.50에서 $0.03으로 94% 빠졌고, 모델은 부품처럼 교체됩니다. 같은 시기 OpenAI는 DALL-E 2·3 API를 통째로 내리고(2026-05-12, GPT Image로 교체) Sora 독립 앱도 닫았습니다(2026-04, 다운로드 3개월 만에 -67%). 만드는 능력이 공짜에 수렴하고, 모델 자체는 배타적 길목이 아닙니다. (출처: veo3ai.io, gstory.ai, tokenmix.ai, the-decoder)

모델 자체로 돈을 벌기는 어렵습니다. OpenAI는 2025년 9월 띄운 Sora 독립 소비자 앱을 2026년 4월 닫았습니다(다운로드가 3개월 만에 330만에서 110만으로 67% 줄었습니다) (the-decoder). 모델을 가졌다고 소비자 앱이 자동으로 이기는 게 아닙니다. 모델은 부품처럼 교체됩니다. OpenAI는 2026년 5월 12일 DALL-E 2·3을 API에서 통째로 내리고 GPT Image로 갈아치웠습니다 (tokenmix.ai). 기존 DALL-E API 사용자는 강제로 따라가야 했습니다. 플랫폼이 모델을 갈아치워도, 사용자는 그저 새 모델로 옮겨갈 뿐입니다. 모델이 배타적 길목이 아니라는 뜻입니다.

2.3 저작권 소송으로 세운 장벽은 희석되지만, 법적 안전을 파는 통행료는 실재한다

먼저 저작권 소송 자체가 이미지 생성을 막는 대리 장벽이 되는지를 봅니다. 그 시도는 법원에서 희석되고 있습니다. 영국 고등법원은 2025년 11월 4일 Getty Images v. Stability AI에서, "Stable Diffusion 모델 가중치는 저작권 작품의 복제본을 포함·저장하지 않는다"고 판단해 저작권 청구를 대부분 기각했습니다 (Latham & Watkins, Gowling WLG). 상표 침해만 워터마크를 모방한 일부 출력물에서 제한적으로 인정됐습니다. AI 훈련 자체가 저작권 침해가 아닐 수 있다는 판례가 선 것입니다(미국 소송은 별개로 진행 중이며, 팩트 디스커버리가 2026년 9월 예정이라 아직 최종 판단 전입니다). 즉 "남이 AI 이미지를 못 만들게 막는" 저작권 장벽은 단단하지 않습니다.

그러나 여기서 흔히 한 걸음을 잘못 내딛습니다. "저작권 장벽이 약하다"를 "법적 안전을 파는 곡괭이도 없다"로 잇는 것입니다. 사실은 정반대입니다. 판례가 불확실하고 규제가 강화될수록, "이 이미지는 법적으로 깨끗하다"를 보증해 주는 검증이 더 비싸집니다. Adobe가 그 검증을 팝니다. Firefly를 Adobe Stock·오픈 라이선스·퍼블릭 도메인으로만 훈련했다며 "상업적 안전"을 내세우고, 기업 고객에게 제3자 저작권 소송 방어비용·배상금을 대신 부담하는 IP 면책(indemnification, 저작권 소송 시 방어비용·배상금을 대신 부담)을 제공합니다(자산당 최대 $3M 규모. Midjourney는 IP 면책이 없어, 이것이 기업 법무팀에 차별화 포인트입니다). 이것은 "남을 막는 장벽"이 아니라 "법적 안전을 검증해 파는 통행료"입니다. 물론 그 보증의 근거가 완벽한 것은 아닙니다. 2025년 12월 작가들이 Books3 데이터셋의 저작권 서적으로 Firefly를 훈련했다며 집단소송을 제기했고 (webpronews), Adobe Stock의 AI 오염 논란도 있습니다(커뮤니티 주장·Adobe 미인정이라 수치는 신중히 봐야 합니다). 단 핵심은 "저작권으로 남을 막기"는 약하되 "법적 안전을 검증해 팔기"는 실재하는 통행료라는 것이고, 그 통행료 곡괭이는 3.4에서 다룹니다.

2.4 모델사·플랫폼이 직접 내려온다

이미지에서도 가치는 모델·플랫폼을 쥔 쪽으로 흐릅니다. 구글은 Veo로 영상 생성에 직접 내려왔고, OpenAI는 GPT Image로 모델을 직접 공급합니다. 마이크로소프트는 Designer라는 디자인 생성 도구를 M365 유료 좌석 약 4억 석에 별도 구독료 없이 끼워 팝니다. 자본력이 수백 배 큰 회사가, 별도 비용 없이 디자인 생성 시장에 끼워팔기로 진입하는 것입니다.

반대 방향의 수직 통합도 일어납니다. 워크플로우 플랫폼이 모델을 부품으로 사들입니다. FLUX를 만든 Black Forest Labs의 2025년 12월 시리즈 B($300M, 밸류 $2.25B)에는 Canva와 Figma Ventures가 함께 참여했습니다 (SiliconANGLE). 워크플로우 레이어(Canva·Figma)가 모델 레이어(FLUX)를 자기 부품으로 내재화하려는 움직임입니다. 모델은 앱이 사들이는 부품이고, 동시에 모델사는 앱으로 내려옵니다. 어느 쪽이든 "모델 자체"가 배타적 길목이 아니라는 뜻입니다.

경계가 우리 영토로 정해진 Spline(텍스트·UI 프롬프트로 웹·게임용 3D 이미지를 코딩 없이 생성)도 같은 구조에 놓입니다. 검증은 브라우저에서 즉시 육안으로 끝나고, 규제 게이트가 없습니다. 다만 Spline은 매출·MAU(월간 활성 사용자) 같은 정량 지표를 공개하지 않아, 곡괭이 강도를 판정하기에는 데이터가 없습니다(표에서 판정 보류로 둡니다).

3장. 검증은 두 층으로 갈린다: 생성앱의 약한 해자, 그리고 실재하는 검증형 곡괭이

이 장이 이 편의 칼날입니다. 두 가지를 동시에 받습니다. 첫째, 생성앱(Cursor·Figma·Adobe·Canva)은 돈을 벌되 그 출처가 검증이 아니라 브랜드·유통·워크플로우라는 도구형·브랜드형 해자입니다. 둘째, 생성이 공짜가 될수록 안전·출처·법적 2차 검증 부담이 커지고, 그 2차 검증을 파는 검증형 곡괭이가 실재합니다. 이 둘을 갈라 봐야, 검증이 "사라진" 게 아니라 "재배치된" 풍경이 보입니다.

3.1 생성앱의 해자는 검증형 곡괭이가 아니라 워크플로우·브랜드·유통이다

여기서 멈추면 절반만 본 것입니다. "기능검증이 공짜라 생성앱의 검증형 곡괭이가 약하다"를 "여기선 아무도 돈을 못 번다"로 읽으면 틀립니다. 이 두 영역에는 강하게 돈을 버는 회사가 즐비합니다. 다만 그 돈의 출처가 검증이 아닐 뿐입니다.

코드에서 Cursor(개발사 Anysphere, 비상장)는 ARR이 2025년 1월 $100M에서 2026년 2월 약 $2B로 가파르게 올랐고, 엔터프라이즈 팀 약 50,000개를 확보했습니다 (SaaStr). 분명히 큰 돈입니다. 그러나 그 방어선은 "남이 통과해야 하는 검증"이 아니라 엔터프라이즈 워크플로우에 깊이 박힌 임베딩입니다(.cursorrules 팀 누적, 코드베이스 인덱싱이 팀 단위로 공유돼 조직 전체가 함께 옮겨야 갈아탈 수 있습니다). 개발자가 Copilot을 계속 쓰는 이유도 코드 생성 품질이 아니라 "GitHub 생태계 고객사 요건"이라고 같은 조사가 짚습니다. 플랫폼 연동과 조직 워크플로우가 락인이지, 검증장벽이 아닌 것입니다.

그리고 한 가지를 분명히 해 둡니다. 이 워크플로우 락인은 1편 3.3이 말한 "그 도구 없이는 만들 수 없는" 도구형 곡괭이(반도체 EDA)와는 다릅니다. EDA는 대체 불가의 강한 곡괭이지만, 생성앱은 개발자가 동시에 3.1개를 쓰고 1년 안에 갈아타는 약한 락인입니다. 둘 다 "도구"지만 강도가 정반대라, 우리는 생성앱을 "도구형 곡괭이"가 아니라 "생성앱의 워크플로우·브랜드·유통 락인"으로만 부르겠습니다.

이미지에서 Figma(NYSE:FIG, 2025년 7월 IPO)는 FY2025 매출 $1.056B(+41%)에 순매출유지율(NDR, 기존 고객이 1년 뒤 얼마나 더 쓰는가) 136%(2025년 말)에서 139%(2026년 1분기, 2년 최고)를 기록했습니다 (Figma IR). NDR 139%는 기존 고객이 해마다 더 많이 쓴다는 뜻이고, 이는 강한 락인 신호입니다. 단 그 락인은 검증이 아니라 디자인 협업 워크플로우(디자인에서 개발·배포로 이어지는 작업 흐름 점유)에서 나옵니다. Adobe(NASDAQ:ADBE)는 Firefly 유료 MAU 70M+, 누적 생성 240억 건에 PSD·AI·INDD 독점 포맷의 전환비용을 얹어 돈을 벌고 (Futurum), Canva(비상장)는 MAU 265M·유료 27M·ARR $4B+라는 유통 규모로 8년 연속 흑자입니다 (SaaStr). Midjourney는 외부 투자 없이 직원 107명으로 ARR $500M에 흑자입니다 (demandsage). 모두 강한 가치 포착입니다. 그러나 그 출처는 한결같이 브랜드·유통·워크플로우·생태계이지, 1편이 정의한 "남이 사야 하는 검증을 파는 길목"이 아닙니다. 1편의 표현으로, 이것은 검증형 곡괭이가 아니라 도구형·브랜드형 해자입니다.

3.2 생성앱 해자는 모델 소비자앱 진입엔 견디고, 모델 공급 종속엔 노출된다

생성앱의 해자가 검증형 곡괭이보다 약한 것은 맞습니다. 검증형 곡괭이는 남이 물리적으로 통과할 수 없는 게이트에 박혀 있어 흔들기 어렵지만, 브랜드·유통·워크플로우 해자는 더 큰 자본 앞에서 출렁입니다. 그러나 "모델사가 직접 내려오니 곧 무너진다"는 결론은 정밀하지 못합니다. 무엇이 흔들고 무엇이 못 흔드는지를 갈라야 합니다.

먼저, 모델사의 앱 진입 자체는 생성앱을 못 흔듭니다. 앞 장에서 본 진입과 공급의 구분이 그대로 적용됩니다. OpenAI Codex·Anthropic Claude Code가 들어온 뒤에 Cursor ARR은 6개월 만에 $500M에서 $2B로 4배가 됐고, MS Designer가 M365 4억 석에 끼워 팔리는 동안에도 Figma NDR은 136%에서 139%로 올랐습니다. 거꾸로 모델사의 소비자 앱은 실패했습니다. OpenAI는 2025년 9월 띄운 Sora 독립 앱을 2026년 4월 닫았고(다운로드 330만에서 110만으로 3개월 만에 67% 감소), DALL-E API도 폐기했습니다 (the-decoder). 모델을 가졌다고 소비자 앱이 자동으로 이기는 게 아닙니다.

생성앱을 진짜로 흔드는 것은 모델사의 진입이 아니라 모델 공급 종속입니다. 모델을 빌려 쓰는 앱은 모델 단가가 오르면 무방비입니다. 앞서 본 Copilot 토큰 쇼크($29→약 $750)가 그 예이고, 앤스로픽이 Windsurf의 모델 접근을 끊은 사건이 그 극단입니다. 플랫폼이 모델을 부품으로 사들이는 수직 통합(Canva·Figma의 FLUX 투자)도 같은 방어 동기입니다. 모델을 내재화하면 공급 종속을 줄이지만, 동시에 "내 모델이 곧 해자"라는 구도가 성립하지 않음을 자인하는 셈입니다. 정리하면, 모델은 코모디티로 흐르고, 가치는 모델 한 곳이 아니라 모델·앱·검증 세 층으로 분배됩니다. 생성앱은 그중 앱 층을 워크플로우 락인으로 쥐되, 모델 공급 종속이라는 약점을 안고 있습니다.

3.3 코드의 2차 검증형 곡괭이: "돌려보면 안다"가 보안엔 틀린다

여기서 6편의 진짜 반전이 시작됩니다. 1.1에서 "코드는 돌려보면 맞는지 안다"고 했습니다. 그 말은 기능에 한해서만 맞습니다. 같은 코드가 테스트는 통과하면서도 보안 취약점·공급망 위험·컴플라이언스 위반을 품을 수 있고, 그것은 돌려봐도 보이지 않습니다. 그리고 생성이 공짜가 될수록 이 둘째 검증의 부담은 줄기는커녕 늘어납니다.

측정된 증거가 분명합니다. 보안 분석 회사 Apiiro(Fortune 50 고객, 수만 개 저장소 분석)에 따르면, AI 보조 개발자는 비AI 대비 3~4배 많은 커밋을 올리는데, 이때 AI가 단순 버그는 줄입니다(syntax error 76% 감소, logic bug 60% 감소). 즉 "돌려보면/테스트하면 잡히는" 얕은 버그는 AI가 알아서 줄여 줍니다. 문제는 그 대신 돌려봐도 안 보이는 결함이 폭증한다는 것입니다. 아키텍처 설계 결함이 153% 증가, 권한 상승 경로가 322% 늘었으며, AI 유도 보안 결과는 2024년 12월에서 2025년 6월 사이 10배로 뛰어 월 1만 건을 넘었습니다 (Apiiro). "돌려보면 안다"가 기능엔 맞아도 보안엔 정확히 틀리는 것입니다.

녹색은 줄어든 것(AI가 알아서 잡는 얕은 버그), 빨강은 늘어난 것(돌려봐도 안 보이는 깊은 결함)입니다. 여기에 AI 유도 보안 결과 자체가 6개월 만에 10배(월 1만 건+)로 뛰었습니다. "돌려보면 안다"는 기능엔 맞아도 보안엔 틀립니다. (출처: Apiiro)

여기에 AI가 환각으로 만들어낸 가짜 패키지명을 노린 공급망 공격(슬롭스쿼팅)까지 더해집니다. 한 연구(230만 샘플·16개 모델)에서 19.7%의 샘플이 존재하지 않는 패키지명을 최소 하나 포함했고, 환각 패키지 하나가 AI 에이전트를 통해 237개 저장소로 전파된 사례가 보고됐습니다 (CSA).

그래서 "이 AI 코드가 안전한가"를 대신 검증해 주는 통행료 SaaS가 실재합니다. 이것이 1편이 정의한 검증형 곡괭이, 즉 "남이 반드시 사야 하는 검증을 파는 길목"입니다. Snyk의 AI 네이티브 코드 보안 제품(Snyk Code)은 ARR $100M을 넘었고 (Snyk), Checkmarx One은 ARR $150M+ (Checkmarx), AI 코드리뷰를 파는 CodeRabbit은 ARR $40M에 전년 대비 700% 성장하며 GitHub 마켓플레이스 최다 설치 AI 앱이 됐습니다 (Sacra). 이들이 속한 애플리케이션 보안(AppSec, 애플리케이션 보안 검사 시장) 시장은 2025년 $10.65B에서 2033년 $42B로 연 18.8% 성장이 전망됩니다 (GrandView). 생성앱이 멀티툴로 출렁이는 것과 달리, 보안 검증 게이트는 한번 CI/CD 파이프라인(코드를 자동으로 검사·빌드·배포하는 라인)에 박히면 컴플라이언스(SOC2·PCI DSS, 기업 보안·결제 보안 인증 의무) 계약 조건으로 굳어 잘 빠지지 않습니다.

결정적으로 이 레이어는 모델사가 못 먹는 독립 레이어입니다. 앤스로픽(Claude Code Security)과 OpenAI(Codex Security)가 보안에 발을 들였으나, 둘 다 "패턴 매칭이 못 잡던 버그 클래스를 추가한다"는 보완 포지셔닝이지 기존 보안 SaaS의 대체가 아니라고 명시했습니다 (VentureBeat). 모델사가 보안 SaaS를 인수한 사례는 없고, 오히려 OpenAI 자신이 공급망 보안 회사 Endor Labs를 고객으로 씁니다 (Endor). 생성앱은 모델 공급에 종속되지만, 2차 검증 레이어는 모델사로부터 독립해 통행료를 걷습니다.

3.4 이미지의 2차 검증형 곡괭이: "보면 안다"가 진위·법적 안전엔 틀린다

이미지도 같은 두 층입니다. 2.1에서 "이미지는 보면 안다"고 했지만, 그 말은 미적 판정에 한해서만 맞습니다. "이 이미지를 누가 만들었나(AI인가 사람인가), 학습 데이터가 법적으로 깨끗한가, 딥페이크는 아닌가"는 보면 알 수 없고, 생성이 공짜가 되어 합성 콘텐츠가 범람할수록 이 검증의 수요가 폭증합니다.

게다가 이 검증은 규제로 강제됩니다. EU AI Act 50조(유럽연합 AI 규제법의 출처표시·워터마크 의무 조항)는 2026년 8월 2일부터 AI 생성·조작 콘텐츠에 기계 판독 가능한 출처 정보와 비가시 워터마크를 의무화하고, 모델사 자가검증으로는 이 의무가 면제되지 않습니다(독립 탐지·검증 프로토콜이 별도 요건) (artificialintelligenceact.eu). 중국은 이미 2025년 9월 1일 AI 생성물 라벨링을 의무화했고(국가표준 GB 45438-2025), 미국도 46개 주가 합성 미디어 법을 두고 있습니다 (MultiState). "검증 게이트가 없다"던 이미지에, 법이 검증 게이트를 만들고 있는 것입니다.

그래서 진위·안전·법적 안전을 검증해 파는 곡괭이가 실재합니다. 콘텐츠 안전·딥페이크 탐지에서는 Hive AI가 Series D로 밸류 $2B에 도달했고, 고객 명단에 Reddit·Visa와 함께 Midjourney·Runway 같은 생성 모델사 자신이 들어 있습니다(생성한 쪽이 검증을 사러 옵니다). 미 국방부 DIU의 딥페이크 탐지 계약도 따냈습니다 (Hive, MIT Tech Review). 출처 인증 표준 C2PA(콘텐츠 출처를 디지털 서명으로 증명하는 표준)에는 Adobe·구글·마이크로소프트·OpenAI·소니·BBC가 참여하고, 카메라 제조사와 틱톡이 채택했습니다. 법적 안전 쪽에서는 2.3에서 본 Adobe IP 면책(기업 자산당 최대 $3M 배상)이 "법적으로 깨끗함을 검증해 파는" 통행료이고, Bria·Getty의 라이선스드 AI(100% 라이선스 데이터로 훈련해 면책 출력을 보증), Shutterstock의 데이터 라이선싱 매출(2024년 $175.3M, +28%, SEC 8-K)도 같은 통행료 계열입니다.

이 레이어 역시 모델사가 못 먹는 독립 레이어입니다. Hive·Reality Defender·C2PA가 검증하는 대상이 바로 모델사의 출력물이고, EU AI Act는 모델사 자가검증으로 의무를 면제해 주지 않습니다. 생성하는 쪽과 검증하는 쪽이 구조적으로 분리되어, 검증 레이어가 독립 통행료를 걷는 것입니다.

"검증이 공짜라 곡괭이가 증발한다"는 절반만 맞습니다. 1차 검증의 곡괭이는 약하되, 2차 검증의 곡괭이는 새로 섭니다. 6편은 1편 닻을 양 끝에서 완성합니다. 검증이 비쌀수록 곡괭이가 생기고(2~5편), 검증이 공짜로 보일수록 그 아래 2차 검증으로 곡괭이가 재배치됩니다(6편).

4장. 종합: 검증은 사라지지 않고 재배치된다

코드와 이미지, 두 영역은 산업이 전혀 다른데 같은 구조로 모입니다. 이 장에서 그 구조를 한 표로 묶습니다. 이 표가 7편 마스터표의 가장 왼쪽 대조 데이터점이 됩니다.

4.1 두 영역이 같은 재배치 구조로 모인다

먼저 개미의 언어로 박습니다. 코드는 돌려보면, 이미지는 보면 바로 통하는지 압니다. 그래서 그 1차 확인을 팔아서 돈을 받는 곡괭이는 안 생기고, 코딩·이미지 앱은 점유율이 출렁입니다. 단 돈을 못 버는 건 아닙니다. Cursor·피그마·어도비·캔바는 손에 익은 작업 흐름과 브랜드로 큰 돈을 법니다(검증형 곡괭이는 아닙니다). 그런데 여기서 멈추면 절반만 본 것입니다. "이 코드가 안전한가, 이 이미지가 진짜이고 깨끗한가"는 돌려봐도, 봐도 모릅니다. 그 둘째 확인은 공짜가 아니고, 생성이 흔해질수록 더 비싸집니다. 그래서 AI 코드를 보안 검증하는 회사(Snyk·Checkmarx·CodeRabbit), AI 이미지의 진위와 안전을 검증하는 회사(Hive·C2PA·어도비 면책)가 통행료를 걷습니다. 게다가 이 둘째 검증은 모델을 가진 큰 회사도 못 가져갑니다. 이게 검증이 공짜로 보이는 자리의 진짜 지형입니다.

조금 더 구조로 풀면, 두 영역은 같은 두 층을 밟습니다. 첫째 층, 1차(기능·미적) 검증이 공짜라 그 검증을 파는 곡괭이가 없고 생성앱의 방어선은 검증이 아니라 워크플로우·브랜드입니다. 그 생성앱은 모델사 소비자앱 진입엔 견디되 모델 공급 종속엔 노출됩니다. 둘째 층, 생성이 공짜가 될수록 2차(안전·출처·법적) 검증 부담이 커지고, 그것을 파는 검증형 곡괭이가 실재하며 모델사로부터 독립합니다. 2~5편이 "검증이 비싸서 곡괭이가 생긴다"를 거듭 보였다면, 6편은 "검증이 두 층으로 갈리며 1차 곡괭이는 약하고 2차 곡괭이는 새로 선다"를 두 영역에서 보입니다. 검증이 사라진 게 아니라, 곡괭이가 같은 자리에 머물지 않고 한 층 아래로 내려간 것입니다(이것이 "재배치"입니다). 이 대조가 1편 닻을 양 끝에서 완성합니다. 코드·이미지는 spectrum의 가장 왼쪽 끝(검증장벽 최저)이되, 그 "최저"는 1차 기능검증의 최저이고, 그 아래 2차 검증으로 곡괭이가 재배치됩니다.

4.2 곡괭이 표: 검증이 두 층으로 갈리는 자리의 지형

이 표가 이 편의 결론 페이로드입니다. 핵심은 2층 구조입니다. 1차 검증형 곡괭이 행(생성앱)은 약하고, 2차 검증형 곡괭이 행(보안·진위·법적 안전)은 실재합니다(중강~강). 그 사이에 생성앱의 도구형·브랜드형 해자 행을 정직하게 싣되 검증형이 아님을 명시합니다. 1차에 강이 없고 2차에 중강~강이 나오는 2층 패턴이 이 편의 시각 결론입니다.

강도(텍스트 5구간: 최강/강/중강/중/약 + 신기루)는 검증형 곡괭이(남이 반드시 사야 하는 검증을 파는 길목)의 배타성으로만 매깁니다. 1차(기능·미적) 검증형 곡괭이 행이 약한 것은 그 검증이 공짜라 길목 자체가 없기 때문입니다(매출 부진이 아니라 구조). 2차(안전·출처·법적) 검증형 곡괭이 행이 중강~강인 것은 그 검증이 유료이고 규제·컴플라이언스로 굳고 모델사가 못 먹기 때문입니다(근거: Snyk Code $100M·Checkmarx $150M+·CodeRabbit $40M·Hive $2B·EU AI Act 50조·AppSec $42B 시장). 그 사이 생성앱 해자 행의 강도는 그 락인의 강도이지 검증형 곡괭이 강도가 아닙니다(약~중). 강도 셀 짙기와 시한 색이모지는 다른 축입니다(강도 ≠ 시한). 이 표의 핵심은 검증이 두 층으로 갈린다는 것, 1차 곡괭이는 약하되 2차 곡괭이는 실재한다는 것입니다.

각주 a. 코드의 1차(기능) 검증형 곡괭이는 약합니다. 생성 코드는 즉시 실행·테스트로 기능 확인되고 폐기 비용이 컴퓨팅뿐이라, 그 1차 검증을 남이 사야 할 일이 없습니다. SaMD 등 기능 안전 규제 영역은 소수 예외(수직 특화 영토). 각주 b. Cursor(비상장)는 ARR이 2025년 1월 $100M에서 2026년 2월 약 $2B로·엔터프라이즈 50,000팀으로 큰 돈을 법니다. 단 그 방어선은 검증장벽이 아니라 엔터프라이즈 워크플로우 임베딩(검증형 아님·생성앱 해자)입니다. 멀티툴 중앙값 3.1개·에이전시 교체율 48%/년·역이탈 11~14%(Copilot 14%·Cursor 11%·Claude Code 4%). 모델사 코딩 에이전트 진입 후에도 Cursor ARR $500M→$2B(6개월 4배)로 진입 자체엔 견딥니다. 흔들림은 모델 공급 종속에서 옵니다(Copilot 토큰 쇼크 $29→약 $750, 공식 FAQ 다운보트 904 / 앤스로픽의 Windsurf Claude 접근 차단 2025-06-03). Windsurf도 $2.65B 가치 포착($2.4B 라이선싱+$250M 인수). 각주 c. 코드의 2차(안전·공급망) 검증형 곡괭이는 실재합니다. "돌려보면 안다"는 기능엔 맞아도 보안엔 틀립니다(Apiiro 측정: AI 보조 개발자 syntax error −76%·logic bug −60%로 얕은 버그는 줄지만, 아키텍처 설계결함 +153%·권한상승 경로 +322%·AI 유도 보안결과 6개월 10배). 슬롭스쿼팅(AI 환각 패키지) 19.7% 샘플. 그래서 AI 코드 보안검증 통행료 SaaS가 실재: Snyk Code ARR $100M·Checkmarx One ARR $150M+·CodeRabbit ARR $40M(전년비 700%, GitHub 마켓 최다설치 AI앱). AppSec 시장 $10.65B→$42B(CAGR 18.8%). CI/CD에 박히면 SOC2·PCI DSS 컴플라이언스로 굳어 안 빠집니다. 모델사가 못 먹는 독립 레이어: 앤스로픽 Claude Code Security·OpenAI Codex Security 둘 다 "보완" 포지셔닝, 보안 SaaS 인수 0, OpenAI 자신이 Endor Labs 고객. 각주 d. 이미지의 1차(미적) 검증형 곡괭이는 약합니다. 생성 이미지는 육안 즉시 미적 판정됩니다. 생성 단가가 붕괴하고(Veo $0.50→$0.03, 94%↓) 모델이 부품처럼 교체됩니다(DALL-E API 종료 2026-05-12, Sora 독립 앱 종료 2026-04). 저작권 소송으로 대리 장벽을 세우려는 시도도 영국 고등법원에서 기각됐습니다(Getty v Stability 2025-11-04, "모델 가중치 ≠ 저작권 복제본"). 미국 소송은 별개 진행(팩트 디스커버리 2026-09 예정). 각주 e. Adobe(ADBE, Firefly MAU 70M+)·Figma(FIG, NDR 139%·협업 워크플로우 락인)·Canva(비상장, MAU 265M·ARR $4B+)·Midjourney(비상장, 직원 107명 흑자)는 브랜드·유통·워크플로우라는 생성앱 해자로 돈을 법니다(검증형 곡괭이 아님). 모델사 소비자앱 진입엔 견딥니다(MS Designer M365 4억 석 끼워팔기에도 Figma NDR 136%→139%, 거꾸로 Sora·DALL-E 소비자앱은 실패). 모델 공급은 부품화(Canva·Figma의 FLUX 투자)로 대응. Spline(비상장, 텍스트→3D)은 경계가 우리 영토로 정해졌으나 매출·MAU 미공개라 판정 보류(⚪). 각주 f. 이미지의 2차(진위·안전·법적) 검증형 곡괭이는 실재합니다. "보면 안다"는 미적엔 맞아도 진위·법적 안전엔 틀립니다. 규제가 강제: EU AI Act 50조(2026-08-02 출처 표시·워터마크 의무, 모델사 자가검증 면제 안 됨)·중국 GB 45438-2025(2025-09)·미 46개 주. 진위·안전 검증 통행료: Hive AI 밸류 $2B(고객 Midjourney·Runway·Reddit·Visa, 미 국방부 DIU 딥페이크 계약)·C2PA 출처 인증(Adobe·구글·MS·OpenAI·소니·BBC 참여)·Reality Defender(2025 Gartner 딥페이크 Market Leader). 법적 안전 통행료: Adobe IP 면책 자산당 최대 $3M·Bria/Getty 라이선스드 AI·Shutterstock 데이터 라이선싱 $175.3M(2024, SEC). 모델사가 못 먹는 독립 레이어(검증 대상이 모델사 출력물, EU AI Act 자가검증 면제 불가).

코드와 이미지, 두 영역은 전혀 다른데 같은 구조로 모입니다. 생성은 자릿수로 공짜가 되고, 기능·미적 검증도 공짜입니다(실행하면 안다, 보면 안다). 그래서 그 1차 검증을 파는 길목과 생성앱의 검증형 곡괭이는 약합니다. 그러나 검증은 사라지는 게 아니라 재배치됩니다. 생성이 공짜가 될수록 안전·출처·법적 2차 검증 부담이 커지고, 그것을 파는 검증형 곡괭이가 실재합니다. 이 2차 검증 레이어는 모델사가 못 먹는 독립 레이어입니다. 한편 생성앱의 돈벌이도 정직하게 봅니다. Cursor·Figma·Adobe·Canva·Midjourney는 브랜드·유통·워크플로우라는 도구형·브랜드형 해자로 큰 돈을 벌고(검증형 아님), 그 락인은 모델사 소비자앱 진입엔 견디되 모델 공급 종속엔 노출됩니다. 가치는 모델사 한 곳이 아니라 모델(코모디티)·앱(워크플로우 락인)·검증(통행료) 세 층으로 분배됩니다. 그래서 행동은 둘입니다. "AI가 코드·이미지를 만든다"는 뉴스나 "ARR이 크다"는 숫자를 검증형 곡괭이로 착각하지 않는 것, 그리고 "검증이 공짜다"를 기능검증에만 한정하고 그 아래 2차 검증의 통행료를 놓치지 않는 것입니다.

에필로그: spectrum 왼쪽 끝에서 본 것 (검증은 재배치된다)

답사를 마칩니다. 우리는 검증이 단단한 산업들을 지나, 검증이 공짜로 보이는 두 곳으로 왔습니다. 코드와 이미지. 여기서 1편의 원리를 거꾸로 돌렸지만, 한 겹을 더 들여다봤습니다. 생성한 코드는 돌려보면 통하는지 알고, 생성한 이미지는 보면 보기 좋은지 압니다. 그 1차 검증은 초에서 분 단위로 끝납니다. 그래서 그 1차 검증을 파는 통행료 길목은 안 생기고, 코딩·이미지 앱의 방어선은 검증이 아니라 손에 익은 작업 흐름과 브랜드입니다. 모델을 쥔 회사들도 앱 시장으로 내려옵니다. 단 여기서 흔한 결론을 두 번 깨야 했습니다. 첫째, 모델사가 내려와도 앱이 무너지지 않았습니다. OpenAI·앤스로픽이 코딩 에이전트를 직접 내놓은 뒤에 Cursor ARR은 6개월 만에 4배가 됐고, 거꾸로 모델사의 소비자 앱(Sora·DALL-E)이 닫혔습니다. 앱을 흔드는 것은 진입이 아니라 모델 공급 종속(토큰 쇼크)이었습니다. Windsurf조차 사흘 만에 운명이 결정됐지만, 그 결과는 0이 아니라 $2.65B의 가치 포착이었습니다.

둘째이자 더 중요한 깨달음은, "검증이 공짜다"가 기능검증에만 맞았다는 것입니다. "이 코드가 안전한가, 이 이미지가 진짜이고 깨끗한가"는 돌려봐도, 봐도 모릅니다. 그리고 생성이 공짜가 되어 코드와 이미지가 범람할수록, 그 2차 검증의 부담은 줄기는커녕 폭증했습니다. AI 보조 개발자는 단순 버그는 줄였지만 돌려봐도 안 보이는 아키텍처 결함을 153% 더 만들었고, AI 유도 보안 결과는 6개월 만에 10배가 됐습니다. 이미지에서는 EU AI Act 50조가 2026년 8월부터 출처 표시와 워터마크를 법으로 의무화했습니다. 그래서 그 2차 검증을 파는 곡괭이가 실재했습니다. AI 코드를 보안 검증하는 회사(Snyk Code ARR $100M·Checkmarx One $150M+·CodeRabbit $40M에 전년비 700%, AppSec 시장 $42B로), AI 이미지의 진위와 안전을 검증하는 회사(Hive AI 밸류 $2B, 고객에 Midjourney·Runway / C2PA / Adobe IP 면책 자산당 최대 $3M / Shutterstock $175M). 결정적으로 이 둘째 레이어는 모델사가 못 먹었습니다. 앤스로픽·OpenAI가 보안에 발을 들였으나 둘 다 기존 SaaS의 보완이었고, OpenAI 자신이 Endor Labs를 고객으로 씁니다. 생성하는 쪽이 검증을 사러 옵니다.

2편에서 곡괭이는 검증을 판 길목에 박혔고, 3·4·5편에서 그 길목은 비상장으로 숨거나 운영 레이어로 비켜서며 정립됐습니다. 6편에서는 길목이 사라진 게 아니라 옮겨 갔습니다. "돌려보면 아는" 1차 검증에는 통행료를 못 걷지만, "돌려봐도 모르는" 2차 검증에는 걷습니다. 이것이 spectrum 가장 왼쪽 끝의 2층 풍경이고, 6편이 1편 닻을 양 끝에서 완성하는 방식입니다. 검증이 비쌀수록 곡괭이가 생기고(오른쪽 끝, 2~5편), 검증이 공짜로 보일수록 그 아래 2차 검증으로 곡괭이가 재배치됩니다(왼쪽 끝, 6편). 그러니 이 글을 "코드·이미지 AI는 부질없다"로 읽어도, "강한 매출이 있으니 생성앱이 검증형 곡괭이다"로 읽어도, "검증이 공짜라 아무 곡괭이도 없다"로 읽어도, 모두 절반만 읽은 것입니다. 그래서 우리는 종목을 찍지 않고 자를 쥐여 드립니다. "AI가 코드를 짜고 이미지를 그린다"는 뉴스나 "ARR이 크다"는 숫자에 홀리지 말고, 그 돈이 1차 검증을 파는 통행료인지, 생성앱의 워크플로우 락인인지, 아니면 그 코드와 이미지가 안전하고 깨끗한지를 검증해 받는 2차 통행료인지를 함께 물으십시오.