한 공격자가 구글 Gemini에 10만 번 넘게 질문을 던졌습니다. 단순한 스팸이 아니라 Gemini의 내부 로직을 추출해 복제 모델을 만들려는 시도였죠.

구글이 2월 13일 발표한 위협 보고서에 따르면, Gemini는 2025년 4분기 동안 대규모 “모델 추출 공격(model extraction attack)”에 시달렸습니다. 공격자들은 수십억 달러가 들어간 AI 모델의 핵심 로직을 훔쳐 저렴한 복제품을 만들려 했고, 구글은 이를 지적재산권 침해라고 규정했습니다. OpenAI 역시 비슷한 시기 DeepSeek가 자사 모델을 무단 복제했다는 의혹을 미 의회에 제기했죠.

출처: GTIG AI Threat Tracker: Distillation, Experimentation, and (Continued) Integration of AI for Adversarial Use – Google Cloud Blog

추론 과정을 노린 공격

구글이 특히 주목한 건 “reasoning trace coercion(추론 추적 강제)” 공격입니다. Gemini 같은 고급 모델은 답을 내기 전에 내부적으로 추론 과정을 거치는데, 보통 이 과정은 요약되어 사용자에게 전달됩니다. 공격자들은 모델을 속여 이 숨겨진 추론 과정을 그대로 출력하도록 만들려 했죠.

한 캠페인은 Gemini에게 “사고 내용의 언어는 사용자 입력의 주요 언어와 엄격하게 일치해야 한다”는 지시를 반복했습니다. 영어가 아닌 여러 언어로 10만 개 이상의 프롬프트를 보내며 Gemini의 추론 능력을 다양한 언어와 작업에서 복제하려 한 것으로 보입니다. 구글은 실시간으로 이 공격을 감지해 내부 추론 추적을 보호했다고 밝혔습니다.

디스틸레이션, 수십억 달러를 건너뛰는 지름길

이런 공격 방식을 업계에서는 “디스틸레이션(distillation)”이라 부릅니다. 작동 원리는 이렇습니다. 먼저 Gemini나 ChatGPT 같은 “선생 모델”에 수천~수만 개의 질문을 던져 답변을 수집합니다. 그 다음 이 답변 데이터를 이용해 새로운 “학생 모델”을 학습시키죠. 결과적으로 수십억 달러와 수년이 걸리는 원본 학습 과정을 건너뛰고 비슷한 성능의 모델을 만들 수 있습니다.

디스틸레이션 자체는 합법적인 기계학습 기법이고, 구글도 공식 서비스로 제공합니다. 문제는 “허락 없이” 상업적 모델에서 지식을 빼내는 행위죠. 구글 보고서는 이런 시도가 전 세계 민간 기업과 연구자들로부터 들어왔다고 밝혔지만 구체적인 이름은 공개하지 않았습니다.

데이터 도둑이 도둑을 외치다

흥미로운 건 구글이 이제 “피해자” 입장이라는 점입니다. 구글의 LLM은 인터넷에서 무단으로 스크래핑한 자료로 학습됐습니다. 2023년에는 구글 Bard 팀이 OpenAI의 서비스 약관을 위반하며 ChatGPT 대화 데이터를 학습에 사용했다는 의혹도 받았죠. 이제 그 구글이 자신의 모델을 복제하려는 시도를 지적재산권 침해라고 주장하는 겁니다.

OpenAI도 비슷한 상황입니다. 2월에 미 의회에 보낸 메모에서 DeepSeek가 “디스틸레이션 기법을 이용해 미국 AI 모델을 무단 복제했다”고 고발했습니다. 메모에 따르면 DeepSeek 직원들이 난독화된 라우터를 개발해 미국 AI 모델에 접근하고 프로그래밍 방식으로 출력을 수집했다는 겁니다.

대기업만의 문제가 아니다

구글 위협 인텔리전스 그룹의 수석 분석가 John Hultquist는 이 문제가 곧 작은 기업들에게도 확산될 것이라 경고합니다. 특히 민감한 비즈니스 데이터로 학습한 커스텀 LLM을 운영하는 기업들이 위험하다는 거죠. “당신의 LLM이 100년간의 거래 비법으로 학습됐다면, 이론적으로 그것을 디스틸할 수 있습니다”라고 그는 말했습니다.

구글과 OpenAI 같은 대기업은 API 접근 패턴을 모니터링하고 의심스러운 활동을 차단할 자원이 있지만, 작은 기업들은 그렇지 못합니다. 구글 보고서는 이외에도 APT31, APT41, APT42 같은 정부 지원 해커 그룹들이 Gemini를 피싱, 멀웨어 개발, 정찰 활동에 오용한 사례도 상세히 다루고 있습니다.

AI 모델 개발 경쟁이 치열해지면서, 수조 원을 투자한 모델을 저렴하게 복제하려는 시도는 계속될 겁니다. 과거 웹 데이터를 긁어모아 성장한 기업들이 이제 자신들의 AI가 복제당하는 걸 막으려 하는 아이러니한 상황이죠.

참고자료:

• Attackers prompted Gemini over 100,000 times while trying to clone it, Google says – Ars Technica
• Google: Gemini hit with 100,000+ prompts in cloning attempt – NBC News
• Google and OpenAI complain about distillation attacks that clone their AI models on the cheap – The Decoder