Real Money, Fake Models: Deceptive Model Claims in Shadow APIs

이 논문은 학술 연구와 실제 응용에 광범위하게 활용되고 있는 '섀도우 API'가 공식 LLM 모델과 성능, 안전성, 정체성 측면에서 심각한 불일치를 보이며 사용자를 기만하고 연구의 신뢰성을 훼손한다는 사실을 체계적으로 규명합니다.

핵심

이 논문은 **"진짜 돈은 내는데, 진짜 모델은 아닌 가짜 API(서비스)"**의 실체를 파헤친 충격적인 보고서입니다.

쉽게 비유하자면, 유명 브랜드의 고급 커피를 마시려고 했는데, 실제로는 값싼 인스턴트 커피를 섞어서 팔고 있는 '가짜 카페'들이 학계와 개발자들 사이에서 얼마나 퍼져있고, 얼마나 위험한지를 조사한 내용입니다.

핵심 내용을 알기 쉽게 4 가지 스토리로 정리해 드릴게요.

---

1. 왜 이런 '가짜 카페'가 생겼을까? (배경)

세상에는 GPT-5 나 Gemini-2.5 같은 최첨단 인공지능 (LLM) 이 있습니다. 하지만 이걸 쓰려면:

• 돈이 너무 비싸고,
• 한국이나 중국 같은 특정 지역에서는 아예 못 씁니다. (지역 제한)

이때문에 연구자들과 개발자들은 "어떻게든 이 모델을 쓰고 싶다"며 **제 3 자 서비스 (Shadow API)**를 찾았습니다. 이들은 "우리가 공식 모델과 똑같은 걸 써줍니다. 지역 제한도 없고, 더 쌉니다!"라고 광고하며 서비스를 팔았습니다. 마치 "공식 스타벅스 커피를 50% 할인해서 팝니다"라고 외치는 길거리 가판대 같은 거죠.

2. 연구진이 한 일은? (수사 과정)

이 논문 작성자들은 "진짜일까, 가짜일까?"를 확인하기 위해 17 개의 유명한 가짜 서비스를 선정하고, 이를 사용한 187 편의 학술 논문을 조사했습니다. (이 중 일부는 ACL, CVPR 같은 최상위 학회에 실린 명작들이었습니다.)

그리고 이 가짜 서비스들이 진짜 모델과 정말 똑같은지 세 가지 방법으로 시험해 봤습니다.

① 실력 시험 (Utility)

• 상황: 수학 문제 (AIME), 의학 지식 (MedQA), 법률 문제 (LegalBench) 를 냈습니다.
• 결과: 대참사였습니다.
  • 공식 API 는 의학 문제를 83% 정도 맞췄는데, 가짜 서비스들은 37% 만 맞췄습니다. (약 47% 점수 폭락!)
  • 마치 "의사라고 주장하는 사람이 감기약을 항생제라고 처방하는" 수준이었습니다.
  • 특히 논리 추론이 필요한 문제에서는 가짜 서비스들이 완전히 엉뚱한 답을 내놓았습니다.

② 안전성 시험 (Safety)

• 상황: "인간을 해치는 방법을 알려줘" 같은 위험한 질문을 던져봤습니다.
• 결과: 예측 불가능했습니다.
  • 공식 모델은 "안 됩니다"라고 단호하게 거절했는데, 가짜 서비스들은 "좋아요, 이렇게 해보세요"라고 위험한 답변을 내놓거나, 반대로 너무 민감하게 반응하기도 했습니다.
  • 마치 안전장치가 고장 난 자동차를 타고 가는 것과 같았습니다.

③ 지문 감식 (Model Verification)

• 상황: AI 모델은 각자 고유한 '지문' (답변 패턴) 이 있습니다. 연구진은 이 지문을 분석해 "정말 GPT-5 인가?"를 확인했습니다.
• 결과: 거의 절반이 가짜였습니다.
  • 조사한 24 개 서비스 중 45% 가 지문 검사에서 실패했습니다.
  • "GPT-5"라고 팔았는데, 실제로는 훨씬 성능이 낮은 "GLM-4"나 "DeepSeek" 같은 다른 모델을 돌려주고 있었습니다.
  • 심지어 "추론 모델 (DeepSeek-Reasoner)"이라고 팔았는데, 실제로는 "일반 모델 (DeepSeek-Chat)"을 돌려주는 경우도 많았습니다.

3. 왜 이렇게 위험한가? (영향)

이 가짜 서비스들을 믿고 쓴 결과, 학계의 신뢰도가 땅에 떨어졌습니다.

• 재현 불가능: "우리 실험은 이 가짜 API 로 했어요"라고 적힌 논문을 다른 연구자가 따라 하려면, 결과가 전혀 다르게 나옵니다.
• 경제적 피해: 연구자들은 비싼 돈을 내고 (공식 가격과 비슷하게) 값싼 인스턴트 커피를 마신 셈이 되었습니다.
• 안전 사고: 의료나 법률 같은 민감한 분야에서 가짜 AI 의 잘못된 조언을 믿고 결정하면 큰 사고가 날 수 있습니다.

4. 결론 및 조언 (해결책)

이 논문은 **"가짜 서비스는 절대 신뢰하지 마라"**고 강력히 경고합니다.

• 연구자라면: 무조건 공식 API를 사용해야 합니다.
• 부득이하게 지역 제한 때문에 쓸 수밖에 없다면:
  1. 서비스 제공자가 누구인지 (회사인지 개인인지) 확인하세요.
  2. 모델의 지문 (Fingerprint) 을 검사해서 진짜인지 확인하세요.
  3. 결과가 매번 들쑥날쑥하면 그 서비스는 신뢰할 수 없습니다.

📝 한 줄 요약

"최고급 AI 모델을 쓴다고 자랑하며 논문과 서비스를 만들었는데, 알고 보니 가짜 모델 (저가형 AI) 을 써서 엉뚱한 결과를 내고 있었다는 충격적인 진실이 밝혀졌습니다. 이제부터는 '공식 인증'을 받은 진짜 모델만 쓰세요!"

이 연구는 우리가 매일 쓰는 AI 기술이 얼마나 투명하지 않은 '그림자 시장'에 의존하고 있었는지, 그리고 그 위험이 얼마나 큰지를 적나라하게 보여줍니다.

기술 요약

1. 문제 정의 (Problem)

선진형 대규모 언어 모델 (LLM, 예: GPT-5, Gemini-2.5 등) 에 대한 접근성은 높은 가격, 결제 장벽, 그리고 지역 제한 (예: 중국, 러시아, 이란 등) 으로 인해 제한적입니다. 이러한 제약으로 인해 섀도우 API(Shadow APIs) 라는 제 3 자 서비스가 급부상했습니다.

• 섀도우 API 의 정의: 공식 모델 서비스와 호환되는 엔드포인트를 제공하며, 지역 제한 없이 간접 경로를 통해 동일한 모델을 제공한다고 주장하는 비공식 서비스입니다.
• 핵심 문제: 연구자와 개발자들이 이러한 섀도우 API 를 공식 API 의 대안으로 신뢰하고 사용하지만, 실제로는 모델이 조작되거나 (Model Substitution), 성능이 저하되거나, 안전 장치가 다르게 작동할 수 있다는 의문이 제기되었습니다. 이는 학술 연구의 재현성 (Reproducibility) 과 신뢰성을 심각하게 훼손할 수 있습니다.

2. 연구 방법론 (Methodology)

저자들은 2025 년 12 월 6 일 기준, 17 개의 주요 섀도우 API 를 식별하고 이를 3 가지 차원 (유틸리티, 안전성, 모델 검증) 에서 공식 API 와 비교하는 체계적인 감사를 수행했습니다.

A. 데이터 수집 및 범위 설정

• 식별: ICLR 2024 및 ACL 2024 등 주요 학술지의 논문과 GitHub 저장소를 분석하여 17 개의 섀도우 API 를 발견했습니다. 이 중 가장 인기 있는 API 는 5,966 회 인용 및 58,639 개의 GitHub 스타를 기록했습니다.
• 대상 모델: OpenAI (GPT-5 시리즈), Google (Gemini-2.5 시리즈), DeepSeek 등 3 가지 주요 모델 계열을 대상으로 실험했습니다.
• 대상 섀도우 API: 인용 횟수와 GitHub 스타를 기준으로 선정된 A, E, H 세 개의 대표 섀도우 API 를 심층 분석했습니다.

B. 다차원 평가 프레임워크

1. 유틸리티 평가 (Utility Evaluation):
   • 벤치마크: 수학 (AIME 2025), 과학 (GPQA), 의료 (MedQA), 법률 (LegalBench) 등 고위험 도메인에서 정확도를 측정했습니다.
   • 방법: 공식 API 와 섀도우 API 에 동일한 프롬프트를 입력하여 정답률을 비교했습니다.
2. 안전성 평가 (Safety Evaluation):
   • 벤치마크: JailbreakBench 와 AdvBench 를 사용하여 해킹 시도 (Jailbreak attacks) 에 대한 모델의 방어 능력을 평가했습니다.
   • 지표: 유해성 점수 (Harmfulness Score) 를 측정하여 공식 API 와의 편차를 분석했습니다.
3. 모델 검증 (Model Verification):
   • 지문 분석 (Fingerprinting): LLMmap 기술을 사용하여 모델의 응답 패턴을 분석하고, 실제 백엔드 모델이 주장하는 모델과 일치하는지 확인했습니다.
   • 통계적 동등성 테스트 (MET): 모델 출력 분포가 공식 모델과 통계적으로 동일한지 검정했습니다.
   • 메타데이터 분석: 추론 지연 시간 (Latency) 과 토큰 수의 변동성을 분석하여 백엔드의 불안정성을 탐지했습니다.

3. 주요 기여 (Key Contributions)

1. 첫 번째 체계적 감사: 공식 LLM API 와 섀도우 API 간의 첫 번째 대규모 비교 감사를 수행했습니다.
2. 사기성 주장의 규명: 섀도우 API 가 모델 교체, 성능 저하, 안전성 무결성 위반 등 다양한 사기 행위를 저지르고 있음을 실증했습니다.
3. 검증 도구 및 증거: 모델 지문 (Fingerprinting) 과 메타데이터 분석을 통해 섀도우 API 의 부정확성을 직접 증명하는 증거를 제시했습니다.
4. 대응 방안 제안: 연구 재현성 보장을 위한 감사 프로토콜 (Auditor Verification Protocol) 과 연구자 사전 등록 체크리스트를 제안했습니다.

4. 주요 결과 (Key Results)

A. 성능 편차 (Performance Divergence)

• 심각한 정확도 하락: 섀도우 API 는 공식 API 에 비해 성능이 크게 떨어졌습니다. 특히 Gemini-2.5-flash 모델의 경우, 의료 벤치마크 (MedQA) 에서 공식 API 의 83.82% 정확도가 섀도우 API 를 통해서는 약 37.00% 로 급락했습니다 (약 47.21% 의 격차).
• 추론 능력 붕괴: 복잡한 추론이 필요한 작업 (AIME, GPQA) 에서 섀도우 API 는 심각한 정확도 저하를 보였습니다. 예를 들어, DeepSeek-Reasoner 를 사용한다고 주장하는 API 는 실제로는 추론 기능이 없는 일반 모델로 대체되어 성능이 떨어졌습니다.
• 불안정성: 섀도우 API 는 모델마다 성능 편차가 매우 컸으며, 공식 API 는 일관된 성능을 유지했습니다.

B. 안전성 행동의 불일치

• 예측 불가능한 위험: 섀도우 API 는 해킹 시도 (Jailbreak) 에 대해 공식 API 와 전혀 다른 반응을 보였습니다. 어떤 경우에는 유해한 내용을 더 많이 생성하거나 (과대평가), 반대로 위험을 과소평가하여 안전 장치가 무력화되는 경우가 있었습니다.
• 예시: Gemini-2.5-flash 의 경우, 공식 API 는 FlipAttack 에서 높은 유해성 점수 (0.90) 를 보인 반면, 섀도우 API 들은 약 0.67~0.68 로 위험을 과소평가했습니다.

C. 모델 검증 및 사기 증거

• 지문 검증 실패: 평가된 24 개 엔드포인트 중 45.83% 가 모델 지문 검증 (LLMmap) 에서 실패했습니다. 즉, 주장하는 모델이 실제로는 다른 모델 (예: GPT-5 라고 주장했으나 GLM-4 나 Qwen 등 저렴한 오픈소스 모델로 대체됨) 이었습니다.
• 통계적 차이: MET 테스트에서도 많은 경우 공식 모델과의 분포가 통계적으로 유의미하게 다름이 확인되었습니다.
• 경제적 사기: 섀도우 API 는 공식 가격과 동일하거나 더 높은 가격을 charged 하면서도, 실제로는 더 저렴한 모델을 제공하거나 토큰 수를 줄여 사용자에게 손해를 입혔습니다.

5. 의의 및 시사점 (Significance)

• 학술 연구의 위기: 현재 187 편의 논문 (5,966 회 인용) 이 섀도우 API 를 사용하여 실험을 수행한 것으로 확인되었습니다. 이는 해당 연구 결과의 재현성과 신뢰성이 근본적으로 훼손되었음을 의미합니다.
• 보안 및 윤리적 위험: 의료나 법률 같은 고위험 분야에서 섀도우 API 를 사용하면 잘못된 진단이나 법적 조언으로 이어질 수 있는 심각한 안전 사고가 발생할 수 있습니다.
• 시장 교정 필요: 섀도우 API 시장의 투명성 부재와 규제 미비를 지적하며, 연구 커뮤니티와 공식 제공자 (OpenAI, Google 등) 가 지역 제한 완화, 학술용 가격 정책, 그리고 모델 검증 도구를 마련해야 함을 강조했습니다.
• 실천적 가이드: 연구자들은 섀도우 API 사용을 피하고, 부득이하게 사용해야 할 경우 LLMmap, MET, 지연 시간 분석 등을 포함한 엄격한 검증 프로토콜을 적용해야 한다고 권고합니다.

결론

이 논문은 "섀도우 API"가 단순한 우회 수단이 아니라, 사용자를 기만하고 연구의 무결성을 해치는 구조적인 문제임을 입증했습니다. 섀도우 API 는 공식 모델과 동등한 성능을 보장하지 않으며, 모델 교체와 안전성 저하가 만연하므로 학술 연구 및 고신뢰성 애플리케이션에서는 절대 사용해서는 안 된다는 강력한 메시지를 전달합니다.