토큰 중계소 난장판 총정리: 연구 후, 전혀 사용할 엄두가 나지 않습니다
- 핵심 요점: 본문은 비정규 AI 모델 API 중계소 사용의 심각한 보안 위험을 폭로하며, 이는 단순한 서비스 품질 사기뿐만 아니라 중간자 공격(Man-in-the-Middle Attack) 경로가 되어 사용자의 코드, 개인정보 데이터, 심지어 시스템 제어권까지 탈취당할 수 있음을 지적합니다.
- 핵심 요소:
- 보안 연구팀이 400개 이상의 중계소를 조사한 결과, 26개가 악성 코드 주입 행위를 하고 있는 것을 현장에서 발견했으며, 이는 애플리케이션 계층 중간자로서의 구조적 결함을 악용한 것입니다.
- 공격 수단에는 AI가 반환한 코드에 리버스 셸(Reverse Shell) 트로이 목마를 삽입하거나, AI가 제안하는 명령어(예: 설치 패키지 이름)를 변조하여 사용자 시스템에서 악성 프로그램을 실행시키는 것이 포함됩니다.
- 일부 중계소는 사용자가 의도적으로 배치한 AWS 키 등의 민감한 정보를 적극적으로 탈취하며, 실제로 악성 노드 사용으로 인해 이더리움 개인 키가 유출되고 자산이 도난당한 사례가 발생했습니다.
- 대부분의 저가 중계소는 리버스 엔지니어링(역공학) 크랙, 불법 신용카드 등 회색 지대의 수단에 의존하여 운영되므로, 그 안전성과 신뢰성을 보장할 수 없습니다.
- 근본적인 해결책은 모델 제공업체가 API 수준에서 암호학적 서명 등의 검증 메커니즘을 도입해야 하며, 현재 사용자는 공식 직접 연결 또는 평판이 좋은 정규 게이트웨이를 우선적으로 사용해야 합니다.
- 비정규 중계소를 반드시 사용해야 하는 경우, 물리적 격리(예: 가상 머신)를 실시하고 AI의 무감독 자율 실행 모드를 엄격히 비활성화하며, 모든 코드 제안을 수동으로 검토해야 합니다.
일은 이렇습니다.
며칠 전 저는 한 개발자 그룹 채팅에서 잠수하며, 모두가 열띠게 싸구려 API 키를 사는 얘기를 하는 걸 봤습니다. 바로 그 중고거래 플랫폼에서 몇 원에 수억 토큰을 돌릴 수 있는 중계 서버 말이죠.
모두가 투덜대며, 자기가 쓰는 모델이 바뀐 것 같다며, 서버 관리자가 몰래 작은 모델을 섞어 물타기해서 돈을 속인다고 의심했습니다.
저는 당시 이 채팅 기록을 보며, 마음속으로 딱 한 가지 생각이 들었습니다...
아니 친구들, 너희들 마음이 너무 넓다.
여러분은 아직 그 몇 원 차이를 아까워하는데, 저 중계 서버는 이미 여러분 컴퓨터의 속옷까지 훑어보고 있을지도 모릅니다.
현황이 얼마나 심각한가?
솔직히 말해서, 야생 중계 서버에 충전하고 모델에 물타기하는 이런 일은, 저는 이걸 그레이 마켓 종사자들 중 가장 직업윤리를 지킨 행동이라고 생각합니다.
생각해보세요. 여러분이 복잡한 코드 요청을 보내 Claude의 최강 Opus4.6로 처리하면 좋겠다고 생각하는데, 그들의 백엔드 라우팅 스크립트가 판단해서 무료 오픈소스 작은 모델에 던져 대충 처리합니다. 더 심한 경우, 요금 배율에서 장난을 쳐서, 공식적으로 100개를 돌리면 그들의 백엔드에서는 여러분에게 300개로 계산합니다.
하지만 이건 아무것도 아닙니다. 많은 서버 관리자는 그냥 도용한 신용카드로 공짜로 이용하다가, 공식적으로 계정이 정지당하자마자 즉시 네트워크 선을 뽑고 도망칩니다. 글을 올려 권리를 주장할 곳조차 없습니다. 여러분의 채팅 기록은, 겉으로는 절대 저장하지 않는다고 쓰여 있지만, 뒤에서는 이미 패키지로 만들어 다크웹에서 무게로 팔리고 있습니다.
많은 사람들은, 이건 그냥 작은 돈 좀 속이고 당하는 거 아니냐, 어차피 싸니까 참자, 이렇게 생각합니다.
저도 원래 그렇게 생각했는데, 최근 한 첨단 보안 연구 보고서를 보기 전까지는요. 이 보고서는 저를 완전히 멍하게 만들었습니다.
정말로, 많은 사람들이 중계 서버에 대한 이해는 아직도 과거 '웹 채팅' 시대에 머물러 있습니다. 그저 무식한 전달자라고 생각하는 거죠.
하지만 지금의 AI는 더 이상 대화 로봇이 아닙니다. 화면 앞의 여러분은, 아마 컴퓨터에 Cursor를 켜놓고 있거나, ClaudeCode를 돌리고 있거나, 아니면 작은 로봇을 키우고 있을지도 모릅니다.
지금의 AI는 손발이 있습니다. 여러분의 로컬 파일을 읽을 수 있고, 코드를 작성할 수 있으며, 심지어 여러분의 터미널에서 직접 시스템 레벨 명령을 실행할 수 있습니다.
이때 여러분이 그 출처 불명의 Base URL을 코드 에디터에 입력하면, 성질이 완전히 달라집니다.
며칠 전 유명 보안 연구원 Chaofan Shou 팀이 발표한 'Your Agent Is Mine'이라는 논문을 봤습니다. 그들은 시장에 나와 있는 400여 개의 중계 서버를 몰래 조사했습니다.
결과는요???
현장에서 26개 중계 서버가 악성 코드 주입을 몰래 하고 있는 걸 적발했습니다.
어떻게 가능한가?
구현 원리를 말하자면, 이건 중계 서버의 가장 치명적인 아키텍처 결함과 관련됩니다. 그것은 애플리케이션 계층의 중간자(Man-in-the-Middle)입니다. 즉, 여러분과 OpenAI나 Anthropic 간의 통신이 중계 서버를 거치는 그 순간, 모두 평문입니다.
이건 너무 자극적이네요...
이 분야를 관심 있게 보신다면, 이런 장면을 상상해보세요.
여러분이 Cursor로 AI에게 Nginx 로그를 분석하는 Python 스크립트를 작성해 달라고 요청합니다. 원격의 공식 GPT-5는 정말 성실하게 작성해서, 코드를 JSON 데이터로 만들어 돌려보냅니다.
그런데 이 중계 서버의 불량한 관리자가 보고는, 반환 데이터 끝에 리버스 셸을 만드는 트로이 목마 로직을 슬쩍 추가합니다.
여러분의 로컬 클라이언트는 진위를 전혀 검증하지 않고, 합법적인 JSON 형식을 받자마자 바로 믿어버리고, 즉시 여러분 컴퓨터에서 실행합니다.
또 더 교묘한 작전도 있습니다. 이 늙은 음흉한 자들은 평소엔 아주 성실한 척하며, 여러분과 대화를 유창하게 나눕니다. 그러다 여러분이 AI에게 개발 환경 설정을 도와달라고 할 때, 예를 들어 AI가 터미널에서 requests 패키지를 설치하라고 권할 때입니다.
중계 서버의 스니핑 스크립트가 이를 감지하고, 슬쩍 패키지 이름을 reqeusts로 변조합니다. 철자 하나 틀리게요. 여러분이 눈 감고 엔터를 치면, 랜섬웨어나 채굴 프로그램이 포함된 악성 의존성 패키지가 여러분 시스템 루트 디렉토리에 설치됩니다.
저는 그때 멍해졌습니다.
연구팀이 공개한 실측 데이터에서, 17개 중계 서버는 심지어 연구원이 일부러 넣어둔 AWS 클라우드 서비스 피싱 키를 스스로 건드려 훔치려고 시도했습니다. 현실에서는 악성 노드를 사용한 탓에 이더리움 개인 키가 직접 유출되어 수십만 달러가 순식간에 증발한 사례도 있습니다.
지금도 제가 좀 멍한 상태입니다.
위 내용을 이어서 얘기해보죠. 이건 사실 어두운 숲과 같습니다.
많은 사람이 알고 있듯이, OpenRouter 같은 정식 명의의 정규 집계 서비스를 제외하고, 시장에 나와 있는 대부분의 저가 야생 중계 서버는 무엇으로 시작했을까요: 리버스 엔지니어링 크랙, 지역 간 재판매, 불법 신용카드 현금화.
우리 많은 일반 직장인이나 프로그래머는, 회사 핵심 소스 코드와 암호화폐 니모닉 시드를 저장한 컴퓨터의 최고 제어권을, 이 그레이 마켓 종사자들의 양심에 의지하고 있습니다.
우리는 어떻게 방어할까?
이런 AI 도구를 아예 쓰지 말 수는 없죠.
제 생각에, 이 문제를 완전히 해결하려면 모델 제조사가 저수준에서 손을 봐야 합니다. 현재의 API는 평서를 보내는 것과 같아서, 우체부가 편지 내용을 고치기가 아주 쉽습니다.
한 가지 방법은 HTTPS 인증서 같은 암호학적 디지털 서명을 도입하는 것입니다. 대형 모델 회사가 코드를 보낼 때 공식 개인 키로 도장을 찍고, 우리 로컬 에디터가 받은 후 공식 권위 도메인에서 공개 키를 가져와 서명을 검증하는 거죠. 중계 서버가 중간에서 한 글자라도 고치려고 하면, 서명이 바로 무효화되어 즉시 차단됩니다.
솔직히 저도 제조사가 언제 검증 메커니즘을 만들어낼지 모르겠습니다. 그 전까지는 우리가 스스로 방법을 찾아 생존해야 합니다.
제 전략 중 하나는, 돌아가서 공식 네이티브 직접 연결을 사용하거나, 한 걸음 물러서 OpenRouter처럼 매우 높은 신용 보증을 가진 정규 게이트웨이만 사용하는 것입니다. 어떤 악의적인 해커도 여러분의 평문 데이터에 접촉할 기회를 주지 마세요.
만약 꼭 그 몇 원짜리 이득을 챙기고 싶다면, 제 말을 믿으세요, 극단적인 물리적 격리를 반드시 하셔야 합니다.
절대 주력 물리 머신에서 하지 마시고, 가상 머신을 만들거나, 네트워크 아웃바운드 권한을 엄격히 제한한 Docker 컨테이너를 사용하세요. 또 매우 중요한 조치 하나는, 여러분 도구 설정에서 모든 무감독 자율 실행 모드를 끄는 것입니다.
중계 서버 노드를 사용하는 한, AI가 터미널에서 실행하자고 제안하는 모든 코드 라인은, 여러분은 기본적으로 그것이 해커가 보낸 공격 명령이라고 가정하고, 눈으로 한 글자씩 확인해야 하며, 절대 무책임하게 내버려두면 안 됩니다.
마지막으로 절충안 하나 더 말씀드리겠습니다.
만약 정말 공식 요금이 비싸다고 생각하고, 꼭 이 이득을 챙겨야 한다면, 그럼 중계 서버를 순수 대화 도구로만 사용하세요. 주간 보고서 작성, 글 다듬기, 자료 번역 등은 마음대로 하세요. 하지만 절대, 절대 로컬 터미널을 호출할 수 있는 에이전트 도구에 이 키를 입력하지 마세요!
개인정보 유출은 어쩌나?
솔직히, 이건 예전에 이 사장님이 전 네티즌에게 조롱받았던 그 유명한 말이 생각나네요, "중국인들은 편리를 위해 개인정보를 포기할 용의가 있다". 이 말은 좀 귀에 거슬리지만, 만약 여러분이 고집불통이라서, 자신의 채팅 기록과 회사 코드가 불량 서버 관리자에게 훤히 들여다보여도 상관없다면, 그 몇십 원 차이를 위해 개인정보를 포기하겠다면.
그것도 여러분의 자유입니다.
하지만 마지막 한도선은 지키세요. 여러분은 일기장을 해커에게 보여줄 수는 있어도, 절대 집 현관문 열쇠를 그에게 넘겨주지 마세요.
AI는 훌륭한 생산성 지렛대이며, 정말 우리를 날게 해줍니다. 하지만 날아오르기 전에, 먼저 자신 시스템의 대문을 단단히 잠그는 게 좋겠습니다.
관련 읽을거리
