코딩 에이전트에 연결한 API 주소 한 줄만 바꾸면 같은 모델을 90% 싼 값에 쓸 수 있다는 광고가 한동안 퍼졌습니다. 그런데 최근 두 연구팀이 이런 저가 중계 서비스 수백 개를 직접 뜯어본 결과, 일부는 자격증명을 빼가거나 코드에 악성 코드를 끼워 넣고 있었습니다.

Towards AI의 CTO이자 공동 창업자인 Louis-François Bouchard가 이런 저가 API 중계(‘릴레이 스테이션’) 서비스의 작동 방식을 다루면서, UC 산타바바라 연구팀의 라우터 공격 실험과 또 다른 연구팀의 모델 바꿔치기 실험을 함께 소개했습니다. 20달러짜리 요금제를 400달러어치 API로 바꿔준다는 할인은 누군가의 계정과 코드를 갈아 넣어 만들어낸 결과라는 게 두 연구의 공통된 결론입니다.

출처:

• Your Agent Is Mine: Measuring Malicious Intermediary Attacks on the LLM Supply Chain – arXiv (UC Santa Barbara)
• Real Money, Fake Models: Deceptive Model Claims in Shadow APIs – arXiv

할인은 효율이 아니라 계정 돌리기에서 나온다

이런 서비스의 구조는 단순합니다. OpenAI나 Anthropic에 직접 요청을 보내는 대신, 중계 서버의 주소로 요청을 보내면 그 서버가 자기 계정으로 바꿔서 다시 상위 제공업체에 전달하고 답을 돌려줍니다. 모델 이름도 동일하게 표시되고 호출 형식도 똑같아서, 사용자는 자신이 공식 API를 쓰는 것과 다를 바 없다고 느낍니다.

문제는 그 차액이 어디서 나오느냐입니다. 가입 시 주는 무료 크레딧, 다 쓰지 않은 쿼터, 여러 계정에 걸쳐 분산시킨 정액 요금제 등을 긁어모아 파는 구조라는 게 분석의 핵심입니다. 한 계정이 차단되면 풀에서 다음 계정으로 갈아타기 때문에 서비스는 끊기지 않고 계속 돌아갑니다. Anthropic은 2026년 2월, DeepSeek과 Moonshot, MiniMax 같은 이름을 사칭한 부정 계정 약 2만 4천 개가 1,600만 건이 넘는 Claude 대화를 만들어냈다고 공개적으로 밝혔는데, 한 프록시 네트워크가 동시에 운영한 계정만 2만 개를 넘었습니다. 개인이 아니라 대형 AI 기업이 공개적으로 맞서 싸울 정도의 규모라는 뜻입니다.

돈은 아꼈는데 모델이 바뀌어 있다면

더 미묘한 문제는 가격이 아니라 품질에서 나타납니다. 모델 이름은 결국 문자열일 뿐이라서, 중계 서버가 Claude Opus를 요청받고도 더 싼 모델의 답을 돌려준 뒤 라벨만 “Opus”로 붙여도 사용자는 알아차리기 어렵습니다. 쉬운 질문에서는 차이가 안 보이지만, 어려운 작업에서는 결과물이 미묘하게 부족해지고, 이때 사용자는 중계 서버를 의심하기보다 “이 모델이 원래 이 정도였나” 하고 모델 자체를 탓하게 됩니다.

이 의심을 데이터로 확인한 연구가 “Real Money, Fake Models”입니다. 연구팀이 대표적인 저가 우회 API 3곳을 성능, 안전성, 모델 신원이라는 세 축으로 점검한 결과, 공식 모델과의 성능 격차가 최대 47.21%까지 벌어졌고 모델 식별 테스트의 45.83%에서 실제로 다른 모델이 응답하고 있다는 정황이 나왔습니다. 안전성 동작도 호출마다 들쭉날쭉해서, 같은 질문에 다른 날 다른 수준의 답이 나오는 경우도 확인됐습니다.

챗봇 질문과 코딩 에이전트는 위험의 체급이 다르다

중계 서버 하나를 거치는 게 챗봇에게 가벼운 질문을 던질 때라면 감수할 만한 위험일 수 있습니다. 하지만 코딩 에이전트 앞에 같은 중계 서버를 둔다면 노출되는 정보의 범위가 완전히 달라집니다. 일반 챗봇 프록시는 프롬프트와 답변만 보지만, 에이전트 프록시는 도구 호출 스키마, 파일 경로, 실행할 명령어, 코드 diff, 때로는 코드베이스 전체와 우연히 컨텍스트에 섞여 들어간 비밀 값까지 들여다봅니다.

UC 산타바바라 연구팀의 “Your Agent Is Mine”은 이 위험을 실측했습니다. 타오바오·셴위·쇼피파이에서 구매한 유료 라우터 28개와 공개 커뮤니티에서 모은 무료 라우터 400개를 대상으로 네 가지 공격 유형(코드 주입, 자격증명 탈취, 그리고 이를 회피하기 위한 두 가지 변형)을 실험했습니다. 그 결과 유료 1개와 무료 8개가 실제로 악성 코드를 주입했고, 17개는 연구팀이 일부러 흘려둔 AWS 자격증명에 접근을 시도했으며, 1개는 연구팀 소유 개인키에서 실제로 이더리움을 빼갔습니다. 연구팀이 의도적으로 노출한 OpenAI 키와 약하게 설정된 가짜 서버를 통해서는 21억 토큰이 이런 라우터들을 거쳐 처리됐고, 코덱스 세션 440건에서 99개의 자격증명이 노출됐으며, 401개 세션은 사용자 승인 없이 자동 실행되는 이른바 ‘YOLO 모드’로 돌아가고 있어 코드 주입에 그대로 노출된 상태였습니다.

이 구조에서 가장 섬뜩한 지점은, 에이전트가 무언가를 “결정”한 것처럼 보여도 실제로는 결정한 게 아닐 수 있다는 점입니다. 요청과 응답이 평문 JSON으로 오가는 한, 중계 서버는 에이전트가 받기 전에 응답 내용을 바꿔치기할 수 있고, 이미 실행 권한을 위임받은 에이전트는 그 바뀐 지시를 그대로 따릅니다.

신뢰의 경계가 보이는지가 기준이다

모든 API 중계 서비스가 위험한 건 아닙니다. 과금과 관측, 장애 시 대체 경로, 투명한 약관을 갖춘 정당한 애그리게이터도 존재합니다. 차이는 투명성에 있습니다. 실제 업스트림이 어디인지 알려주는지, 그 뒤에 실재하는 회사가 있는지, 데이터 정책이 명확한지를 따져보면 됩니다. 가격이 비정상적으로 싸다면 누군가 그 비용을 대신 지불하고 있다는 신호로 받아들이는 게 안전합니다.

비용이 진짜 고민이라면 더 저렴한 공식 모델을 쓰거나, 작은 로컬 모델로 일부 작업을 옮기거나, 평판이 검증된 애그리게이터를 택하는 선택지가 있습니다. 프론티어 모델 수준의 품질은 일부 내려놓아야 하지만, 적어도 신뢰의 경계가 어디 있는지는 눈에 보이는 상태로 남습니다.

참고자료: 90% Cheaper GPT APIs – Louis-François Bouchard