당신의 AI 에이전트가 해커의 꼭두각시가 되는 순간 — 428개 LLM 라우터 조사가 밝힌 불편한 진실

핵심 요약 (TL;DR)

428개 LLM 라우터를 조사한 논문에서 26개가 악성 행위를 수행 중인 것으로 드러났습니다. 9개는 코드 주입, 17개는 크리덴셜 남용. 비용 절감을 위해 서드파티 API 프록시를 쓰는 바이브코더가 1차 타깃입니다.

YOLO 모드의 진짜 의미

Cursor의 YOLO 모드, Claude Code의 자동 실행. 명령어 하나하나 확인하지 않아도 AI 에이전트가 알아서 해주는 편리함에 익숙해졌을 겁니다. 그런데 만약 그 에이전트가 당신이 아닌 누군가의 명령을 듣고 있다면요?

4월 13일 공개된 논문 "Your Agent Is Mine"이 불편한 현실을 드러냈습니다. UC Santa Barbara와 UC San Diego 연구진이 428개 LLM 라우터(AI 모델 API 중계 서비스)를 조사한 결과, 26개가 악성 행위를 수행하고 있었습니다. 9개는 응답에 악성 코드를 주입하고, 17개는 연구진의 AWS 크리덴셜을 무단 사용했죠.

공격은 어떻게 이루어지는가?

LLM 라우터는 OpenAI, Anthropic 등의 API를 중계하는 서비스입니다. 비용을 아끼거나 여러 모델을 편하게 쓰기 위해 많은 개발자가 이런 중간 서비스를 이용하죠.

문제는 이 라우터가 TLS 연결을 종단한다는 점입니다. 쉽게 말해, 여러분이 보내는 모든 메시지를 평문으로 들여다볼 수 있다는 뜻이에요. 정상적인 도구 호출을 공격자의 명령으로 바꿔치기하거나, API 키를 조용히 빼돌리는 게 기술적으로 가능합니다. 택배 기사가 상자를 열어 내용물을 바꿔치기하는 것과 같은 원리죠.

연구진이 인용한 실제 피해 사례에서는 $500,000 상당의 크립토 지갑이 탈취되기도 했습니다. 이는 연구진이 직접 실험에서 관찰한 것이 아니라 실제 피해자의 사례를 참조한 것이며, 연구진 자체 실험에서도 디코이 지갑의 ETH가 탈취되는 것을 확인했습니다.

바이브코더가 지금 당장 해야 할 3가지

첫째, 공식 API를 직접 호출하세요. OpenAI, Anthropic의 공식 엔드포인트를 사용하는 것이 가장 확실한 방어입니다. 비용이 더 들더라도 크리덴셜 탈취보다 저렴합니다.

둘째, 자동 실행 모드를 점검하세요. 연구에 따르면 440개 세션 중 401개가 자동 실행 모드로 운영되고 있었습니다. 민감한 작업에서는 에이전트의 행동을 확인하는 습관이 필요합니다.

셋째, 환경 변수와 크리덴셜을 분리하세요. AI 에이전트가 접근하는 환경에 프로덕션 크리덴셜을 두지 마세요. 샌드박스 환경을 별도로 구성하는 것이 안전합니다.

FAQ

OpenRouter 같은 유명 서비스도 위험한가요?

이 연구에서 특정 서비스명을 공개하지는 않았습니다. 다만 유료 라우터 28개 중 1개에서도 악성 코드 주입이 발견되었으므로, 유명 서비스라고 무조건 안전하다고 단정할 수 없습니다.

Claude Code나 Cursor를 그냥 쓰면 이 문제에 해당하나요?

공식 API를 직접 사용하는 경우에는 해당하지 않습니다. 문제가 되는 건 중간에 서드파티 라우터를 끼워 쓸 때입니다.

어떻게 악성 라우터인지 구별할 수 있나요?

일반 사용자가 구별하기 어렵다는 게 이 연구의 핵심 경고입니다. 연구진은 "크리덴셜 처리와 도난의 경계가 클라이언트에게는 보이지 않는다"고 지적했습니다. 가장 확실한 방법은 공식 API를 직접 쓰는 것입니다.