프론티어 모델 API를 쓰는 개발자라면 이번 달 들어 계정 인증이 조금 까다로워졌다는 걸 느꼈을 수 있다. 이유가 있다 — OpenAI, Anthropic, Google 세 회사가 사상 처음으로 증류 공격 탐지 정보를 공유하기 시작했다.
24,000개 가짜 계정의 실체
2월에 Anthropic이 폭탄 하나를 터뜨렸다. DeepSeek, Moonshot AI(Kimi), MiniMax 세 중국 AI 랩이 약 24,000개 가짜 계정으로 Claude에 1,600만 건 이상의 쿼리를 날렸다. 목적은 증류(distillation) — Claude 출력을 대량 수집해서 자기네 모델 학습 데이터로 쓰는 것이다.
각 랩의 타겟이 달랐다는 게 흥미로운 지점이다:
| 공격자 | 쿼리 규모 | 주요 타겟 |
|---|---|---|
| MiniMax | 1,300만+ | 에이전트 코딩, 도구 사용 |
| Moonshot AI | 340만+ | 에이전트 추론, 컴퓨터 비전, 코드 분석 |
| DeepSeek | 15만+ | 기초 논리, 검열 우회 패턴 |
MiniMax가 볼륨으로는 압도적이지만 진짜 주목할 건 DeepSeek다. 15만 건으로 가장 적음에도 "검열 안전 대안(censorship-safe alternatives)"을 노렸다 — 중국 정부 검열 정책에 맞는 응답 패턴을 Claude한테서 뽑아간 것이다. 단순 카피캣이 아니라 Claude를 자사 검열 시스템 구축의 참고 자료로 활용한 셈이고, 이건 성격이 좀 다르다.
하이드라 클러스터
이들이 구축한 인프라가 꽤 정교하다. Anthropic이 "하이드라 클러스터(hydra cluster)"라고 명명한 구조인데, 2만 개 이상의 가짜 계정을 동시에 돌리면서 Anthropic API 직접 호출과 서드파티 클라우드 플랫폼 트래픽을 뒤섞는다. 상용 프록시 서비스를 경유해 일반 고객 요청 속에 증류 트래픽을 숨기니까 IP 주소 기반 차단으로는 한계가 있었다.
Anthropic이 결국 꺼내 든 카드는 행동 기반 핑거프린팅이다. 요청 볼륨 패턴, 구조의 반복성, "모델 학습에 직접 매핑되는" 콘텐츠 특성을 분류기로 감지하는 시스템을 구축했다. 체인오브소트를 대량으로 유도해서 추론 학습 데이터를 만들려는 시도, 특정 능력 영역에 집중된 비정상적 트래픽 — 이런 패턴이 잡히면 플래그가 올라간다.
경쟁사끼리 위협 정보를 공유하는 초유의 상황
4월의 새로운 전개가 여기서 나온다. 블룸버그가 4월 6일 보도한 바에 따르면, OpenAI·Anthropic·Google이 프론티어 모델 포럼(2023년 Microsoft와 공동 설립한 비영리 조직)을 통해 증류 공격 탐지 시그널을 공유하기 시작했다.
작동 방식이 사이버보안 업계의 위협 인텔리전스 공유와 사실상 동일하다. 한 회사가 공격 패턴을 잡으면 나머지에 플래그를 보내고, 클라우드 프로바이더와 관련 당국에도 기술 지표를 넘긴다. 미국 관리들은 무단 증류로 인한 실리콘밸리 AI 랩의 연간 손실을 수십억 달러로 추산하고 있다.
이게 왜 의미가 크냐면 — OpenAI, Anthropic, Google은 서로를 잡아먹으려는 경쟁 관계다. 이 셋이 공동 방어 체계를 만들었다는 건 증류 공격의 규모가 어느 한 회사가 독자적으로 막을 수 있는 수준을 이미 넘었다는 방증이다. 사이버보안에서 ISAC(정보 공유·분석 센터)이 등장한 이유와 같다 — 공격자는 하나지만 타겟은 여럿이니까 방어도 연합으로 가는 것이다.
개발자한테 실질적으로 뭐가 달라지나
당장 체감할 변화 몇 가지.
계정 검증 강화. 교육용 계정, 보안 연구 프로그램, 스타트업 경로 등 악용이 잦았던 채널에서 인증 절차가 까다로워졌다. 정상 사용자에게 직접적 피해는 아닌데, 새 API 키 발급이 이전보다 살짝 번거로워진 건 사실이다.
모델 수준 방어. Anthropic은 "API와 모델 레벨에서 불법 증류 목적의 출력 효과를 감소시키는 보호장치"를 개발 중이라고 밝혔다. 구체적 메커니즘은 비공개지만, 합법적 사용에 영향이 없어야 정상이다. 다만 대량 배치 작업이 증류로 오탐될 가능성은 완전히 배제하기 어렵다 — 이 부분은 지켜볼 필요가 있다.
오픈 웨이트와의 온도 차. 같은 주에 Google은 Gemma 4를 Apache 2.0으로 풀었고, Meta는 다음 모델 오픈소스를 예고했다. 폐쇄형 API의 빗장은 더 강화하면서, 오픈 웨이트는 더 공격적으로 푸는 이중 전략이 2026년 AI 업계의 기본 모드다. 역설적이지만 합리적이다 — 오픈 웨이트 모델은 증류할 필요 자체가 없으니까.
막을 수 있느냐가 아니라 어디에 선을 긋느냐
중국 모델이 미국 프론티어 모델 대비 14배 싼 가격에 비슷한 결과를 내놓는 현실에서, 가격 방어는 불가능하다. 위협 인텔리전스 공유는 첫 번째 수비벽이고 방어의 전부는 아니다. 궁극적인 질문은 "증류를 완전히 차단할 수 있느냐"보다 "열린 생태계와 지적 재산 보호 사이에서 선을 어디에 긋느냐"에 가깝다. 프론티어 모델 포럼의 다음 행보가 그 기준점을 정하게 될 거다.