Cursor Composer 2, 중국 모델 기반이어도 쓸 만한 이유

출시 당일 “자체 개발 프론티어 모델”이라 소개됐던 Cursor Composer 2가 사실 중국 Moonshot AI의 Kimi K2.5를 기반으로 만들어진 것으로 확인됐습니다. 공식 인정 이후 트위터 2.6백만 뷰를 기록한 이 논란, 벤치마크 수치와 보안 구조를 공식 문서로 직접 따라가며 따져봤습니다.

논란의 시작 — 개발자 한 명이 5분 만에 밝혀낸 것

2026년 3월 19일, Cursor는 공식 블로그에서 Composer 2를 “프런티어급 코딩 지능”이라고 소개했습니다. 발표문 어디에도 기반 모델에 대한 언급은 없었습니다. 같은 날, Fynn(@fynnso)이라는 개발자가 로컬 디버그 프록시 서버를 설정해 Cursor의 API 트래픽을 가로챘더니, 모델 ID가 그대로 노출됐습니다: accounts/anysphere/models/kimi-k2p5-rl-0317-s515-fast. “그냥 Kimi K2.5에 RL 얹은 것”이라는 그의 게시물은 트위터에서 260만 뷰를 기록했습니다. Cursor 공동창업자 Aman Sanger는 몇 시간 뒤 공식적으로 인정하면서 “처음부터 공개하지 않은 것은 실수”라고 밝혔습니다.
(출처: VentureBeat, 2026.03.24)

흥미로운 건 Composer 1.5는 이런 방식의 요청 가로채기를 차단했는데, Composer 2는 그게 열려 있었다는 사실입니다. Fynn은 이를 “아마도 실수일 것”이라고 봤고, Cursor는 공개 직후 해당 구멍을 빠르게 막았습니다. 실수이든 의도이든, 타이밍은 절묘했습니다.

Kimi K2.5는 중국 스타트업 Moonshot AI가 개발한 오픈소스 모델로, Alibaba·Tencent·HongShan(옛 Sequoia China)이 투자했습니다. 1조 파라미터 MoE 구조에 활성 파라미터 320억 개, 컨텍스트 윈도우 25만 6천 토큰이며 수정 MIT 라이선스 하에 상업적 활용이 가능합니다. 이 라이선스 조건이 이번 논란의 또 다른 핵심입니다.
(출처: VentureBeat, 2026.03.24)

Cursor가 Kimi를 선택할 수밖에 없었던 구조적 이유

Cursor는 그냥 Kimi를 가져다 쓴 게 아닙니다. Cursor VP Lee Robinson이 공식 확인한 바로는, Composer 2 학습에 사용된 전체 연산량의 약 25%만 Kimi K2.5 오픈소스 기반에서 가져왔고, 나머지 75%는 Cursor 자체 지속 사전학습과 강화 학습으로 쌓아 올린 것입니다.
(출처: ZDNet Korea, 2026.03.23) Cursor는 이 과정에서 학습 컴퓨팅을 4배 규모로 확장했다고 밝혔습니다.

왜 Kimi였을까요? 서방 오픈소스 모델 생태계의 빈자리가 직접적인 원인입니다. Meta의 Llama 4 Behemoth(2조 파라미터)는 2026년 3월 현재 여전히 출시 일정을 밝히지 않고 있습니다. OpenAI의 gpt-oss-120b는 MoE 구조에서 토큰당 활성 파라미터가 51억 개에 그칩니다. 반면 Kimi K2.5는 같은 상황에서 320억 개를 유지합니다. 에이전트 코딩에서 복잡한 다단계 작업의 맥락 일관성을 유지하려면 이 차이가 크게 작용합니다.
(출처: VentureBeat, 2026.03.24)

Google Gemma 3는 최대 270억 파라미터로 엣지 배포에는 적합하지만, 프런티어 코딩 에이전트의 기반으로 쓰기엔 규모가 부족하다는 게 Cursor의 판단이었던 것으로 보입니다. Gemma 4는 아직 공개되지 않은 상태입니다. 결국 2026년 3월 기준, 상업적으로 허용된 라이선스에 프런티어 규모를 갖춘 오픈소스 모델 중 Kimi K2.5는 현실적으로 가장 강력한 선택지였습니다.

벤치마크 숫자보다 먼저 봐야 할 것이 있습니다

Cursor 공식 발표에 따르면 Composer 2의 벤치마크 성적은 다음과 같습니다.
(출처: cursor.com/blog/composer-2, 2026.03.19)

Cursor가 공식 발표에서 CursorBench에 대해 직접 밝힌 내용이 있습니다. “공개 벤치마크는 이미 포화 상태라 프런티어 모델 간 차이를 구분해 내지 못한다”는 이유로 자체 벤치마크를 만들었다고 합니다.
(출처: cursor.com/blog/cursorbench, 2026.03.19) 실제 Cursor 개발팀 세션 데이터를 기반으로 구성했다는 점에서 실사용 반영도가 높은 건 맞습니다.

그런데 여기서 한 가지 확인이 필요합니다. Cursor는 공식 문서에서 OpenAI가 SWE-bench Verified 결과 보고를 중단한 이유로 “정답 패치를 기억만으로 재현할 수 있고, 미해결 문제의 약 60%에 결함 있는 테스트가 있다”는 점을 직접 인용했습니다. 외부 공개 벤치마크에 오염 문제가 있다는 점은 사실이지만, CursorBench 역시 제3자 검증은 아닙니다. 수치는 참고 지표로 보는 게 적절합니다.

“중국 인프라 없음” 공식 표기, 실제로 무엇을 보장하는가

Cursor 공식 보안 페이지에는 이렇게 나와 있습니다. “None of our infrastructure is in China. We do not directly use any Chinese company as a subprocessor.”
(출처: cursor.com/security) 이 문장은 서버가 중국에 없다는 뜻입니다. 모델의 출처와는 별개입니다.

Composer 2의 Kimi K2.5 기반 모델은 실제로 Fireworks AI라는 미국 모델 호스팅사를 통해 제공됩니다. 공식 보안 문서에도 Fireworks는 “코드 데이터를 볼 수 있는 서브프로세서”로 명시돼 있으며, 서버는 미국·유럽·일본에 위치합니다. Privacy Mode를 활성화한 사용자에 대해서는 Fireworks와 제로 데이터 보존 계약을 체결했다고 밝히고 있습니다.
(출처: cursor.com/security)

정리하면 “중국 서버 없음”은 맞습니다. 그러나 모델 개발사가 중국 기업이라는 사실, 그 오픈소스 기반에서 25%의 연산이 출발했다는 사실은 다른 이야기입니다. 기업 보안팀이 모델 출처를 공급망 리스크 기준으로 평가할 경우, 이 두 가지 기준은 분리해서 따져봐야 합니다. Cursor 자신도 보안 페이지 상단에 “민감한 환경에서는 신중하게 사용하라”는 문구를 달아놓았습니다.
(출처: cursor.com/security)

Privacy Mode가 켜진 상태에서는 코드 데이터가 서버에 저장되지 않습니다. Team·Enterprise 요금제는 기본적으로 Privacy Mode가 강제 적용됩니다. 개인 Pro 사용자는 설정에서 직접 확인해야 합니다.

Self-Summarization 기술이 실제로 바꾸는 것

Cursor가 Composer 2에서 가장 공들인 기술은 Self-Summarization입니다. 에이전트가 복잡한 멀티스텝 작업을 수행할 때, 처리 맥락이 컨텍스트 창을 넘어서면 대부분의 AI 도구는 오래된 맥락을 잘라내거나 별도 모델로 요약합니다. 잘라낼 때 핵심 정보가 사라지고, 이후 단계에서 엉뚱한 판단이 연달아 이어지는 게 흔한 패턴입니다.

Composer 2는 다르게 접근했습니다. 모델 자체가 컨텍스트 한도에 도달하면 스스로 작업 중간에 멈추고, 현재까지의 내용을 약 1,000토큰 분량으로 압축한 뒤 계속 진행합니다. 이 압축·요약 과정이 강화 학습 보상 체계에 연결되어 있어서, 모델은 수천 번의 반복을 통해 “무엇을 남기고 무엇을 버릴지”를 학습합니다.
(출처: cursor.com/blog/composer-2, 2026.03.19)

수치로 확인하면 이렇습니다. Cursor 공식 발표에 따르면, Self-Summarization을 적용했을 때 맥락 압축 오류가 기존 프롬프트 기반 방식 대비 50% 감소하고, 사용 토큰 수는 5분의 1로 줄었습니다. 테스트 사례로는 터미널에서 MIPS 아키텍처용 오리지널 둠(Doom) 컴파일을 170번의 동작을 거쳐 완료했으며, 이 과정에서 10만 토큰 이상을 반복적으로 자기 요약했습니다.
(출처: VentureBeat, 2026.03.24) 같은 작업을 완료하지 못한 프런티어 모델이 여럿이라는 점에서, 이 수치는 단순한 성능 지표 이상의 맥락을 갖습니다. 긴 작업일수록 비용 효율이 올라가는 구조입니다.

지금 쓸 수 있는 사람과 조심해야 할 사람

✅ Composer 2를 적극 활용할 수 있는 경우

• 개인 프리랜서·사이드 프로젝트: Privacy Mode 켜고 코드 생산성 올리는 용도로는 현재 가장 비용 효율이 좋은 선택지 중 하나입니다. Standard 기준 입력 1M 토큰당 $0.50은 Claude Opus 4.6 대비 크게 저렴합니다.
• 다단계 에이전트 작업: 여러 파일에 걸쳐 리팩토링, 마이그레이션 같은 긴 작업에서 Self-Summarization 효과가 두드러집니다.
• 스타트업 팀: Team 요금제는 Privacy Mode가 기본 강제 적용되므로, 코드 데이터 저장에 대한 우려 없이 사용할 수 있습니다.

⚠️ 추가 검토가 필요한 경우

• 공공기관·금융·의료 IT: 모델 공급망 출처를 규정상 명시해야 하는 경우라면, 기반 모델이 중국 오픈소스라는 사실이 컴플라이언스 이슈가 될 수 있습니다. Cursor 공식 보안 페이지가 이 점을 명확히 커버하지는 않습니다.
• 미국 연방정부 계약 개발사: AI 공급망 출처 투명성을 요구하는 규정이 강화되는 추세입니다. 2026년 3월 기준으로 Cursor가 Kimi K2.5 기반임을 사후 인정했다는 이력 자체가 내부 감사 대상이 될 수 있습니다.
• Share Data 모드 사용자: Privacy Mode가 꺼진 상태에서는 Fireworks AI가 모델 추론 성능 개선 목적으로 입출력 데이터를 일시 저장할 수 있습니다. 비즈니스 로직이 담긴 코드라면 Privacy Mode를 켜는 게 맞습니다.

Q&A 5가지

마치며 — 총평

솔직히 말하면, Cursor가 기반 모델을 처음부터 밝히지 않은 건 아쉽습니다. 2조 9300억 달러 기업가치를 내세우면서 “우리는 AI 연구소”라는 포지셔닝을 했는데, 핵심 모델의 4분의 1이 오픈소스 기반이라는 사실이 뒤늦게 드러난 것은 신뢰 문제가 맞습니다.

그런데 동시에 이 논란은 서방 AI 생태계 전체의 구조적 문제도 드러냈습니다. 상업적으로 허용된 오픈소스 모델 중 프런티어 규모를 갖춘 게 없다는 현실이 Cursor의 선택을 만들었습니다. Cursor만의 문제가 아니라, 코딩 에이전트를 만드는 대부분의 기업이 같은 계산을 하고 있는 상황입니다.

개인 사용자 입장에서 Composer 2는 여전히 쓸 만합니다. Privacy Mode만 확인하면 코드 저장 문제는 공식적으로 해결된 구조입니다. Self-Summarization 기술이 적용된 장기 에이전트 작업 성능은 실제로 이전 버전과 체감 차이가 나는 영역입니다. 기업 보안팀이라면 모델 출처 기준으로 별도 판단이 필요하지만, 개인 개발자·스타트업 팀이라면 지금 쓰지 않을 이유는 없습니다.

본 포스팅 참고 자료

1. Cursor 공식 블로그 — Composer 2 발표 (2026.03.19)
   https://cursor.com/ko/blog/composer-2
2. Cursor 공식 보안 페이지
   https://cursor.com/security
3. Cursor CursorBench 평가 방법론 공식 블로그
   https://cursor.com/ko/blog/cursorbench
4. ZDNet Korea — 커서, 中 모델로 코딩 AI 개발 인정…여파는? (2026.03.23)
   https://zdnet.co.kr/view/?no=20260323083010
5. VentureBeat — Cursor’s Composer 2 was secretly built on a Chinese AI model (2026.03.24)
   venturebeat.com