1500달러짜리 LLM 해킹 실험, 그리고 우리가 배운 것
LLM이 실제 취약점을 찾아낼 수 있을까? 한 개발자가 의도적으로 약한 앱을 만들어 10개 모델에게 같은 해킹 과제를 던졌고, 그 결과는 매우 흥미로웠다. 이번 글에서는 그 실험의 설계, 결과, 그리고 실무에 남기는 시사점을 정리한다.
실험의 핵심 아이디어
실험자는 Expo 기반 가짜 React Native 북 리뷰 앱과 FastAPI 백엔드를 만들었다. 표면적으로는 FastAPI가 안전해 보이지만, 앱 패키지 안의 google-services.json에 Firebase 설정이 그대로 들어가 있다. 목표는 한 사용자의 비공개 리뷰에 숨겨진 플래그를 찾는 것.
이런 구조는 Broken Access Control, 즉 객체 수준 인가 누락(Missing Object-Level Authorization) 취약점의 전형이다. 강화된 API 뒤에 열린 데이터 계층을 남기는 패턴은 Firebase와 Supabase 기반 앱에서 실제로 자주 발견된다.
어떤 모델이 가장 잘했을까
10회 완주한 모델 중 가장 높은 해결률을 기록한 건 gpt-5.5였다. APK를 압축 해제하는 즉시 Firebase에 집중했고, Firebase 자격 증명으로 직접 가입한 뒤 Firestore에서 플래그를 읽어냈다.
• gpt-5.5: 7/10 해결, 평균 $6.62/실행, 해결당 $9.46
• deepseek-v4-pro: 3/10 해결, 평균 $0.19/실행, 해결당 $0.62
• claude-sonnet-4.6: 2/10 해결, 평균 $9.15/실행, 해결당 $45.75
• claude-opus-4-8: 2/10 해결, 평균 $3.23/실행, 해결당 $16.15
흥미로운 점은 Anthropic 모델의 낮은 점수가 능력 부족이 아니라 가드레일 때문이라는 분석이다. claude-opus-4-8은 정답에 매우 가까이 다가갔지만 보안 가드레일이 세션을 일찍 끝냈다. 거부 패턴이 더 강해질수록 정당한 보안 연구조차 막힌다는 HN 의견도 눈에 띈다.
실패한 모델들의 공통점
실패 모델들의 패턴은 크게 세 가지로 묶인다.
첫째, API와 React Native 앱에 집착한다. 실제 취약점이 데이터 계층에 있는데도 백엔드 엔드포인트만 두드린다. deepseek-v4-flash, gemini-3.1-pro-preview, minimax-m2.7 모두 이 패턴을 보였다.
둘째, Firebase 인증을 API에 쓰려 한다. Firebase에 접근했다는 사실을 알지만 그 자격 증명을 FastAPI 호출에 끼워 넣으려 시도하면서 시간을 낭비한다.
셋째, 보안 거부다. gemini-3.1-pro-preview는 보안 이유로 즉시 거부했고, claude-opus-4-8은 후반에 거부당했다. 가드레일 강도가 모델 선택의 새로운 변수가 되고 있다는 점이 핵심이다.
운영상 교훈
실험자가 강조한 부분은 모델 성능보다 운영 변수였다. 공급자별 API 차이를 직접 다루는 것보다 OpenRouter 같은 통합 게이트웨이를 쓰는 편이 안정적이었다고 한다. Modal 선점이 러너의 약 10%에서 발생해 실행 손실로 이어졌고, 테스트 실행과 실패 실행이 전체 비용의 약 50%를 차지했다.
비용을 따져보면 흥미로운 역설이 보인다. gpt-5.5는 해결당 $9.46이지만, claude-sonnet-4.6은 같은 2건을 해결하는 데 $45.75를 썼다. 성공률과 단가 사이의 균형이 단순하지 않다는 뜻이다. 한 번도 해결하지 못한 owl-alpha는 무료였지만 API에 200회 이상 요청을 보내며 의미 있는 진행을 하지 못했다.
실무에 남기는 시사점
이 실험의 결론은 명확하다. 가장 성능 좋은 모델을 고르는 일은 더 이상 단일 차원의 문제가 아니다. 유용한 능력과 가드레일의 강도, 공급자 안정성, 토큰 비용까지 모두 고려해야 한다.
특히 Firebase와 Supabase를 쓰는 팀이라면 이 실험이 보여준 시나리오를 직접 재현해 볼 만하다. google-services.json이 클라이언트 번들에 포함되는 순간 데이터 계층은 사실상 공개다. 강화된 API만으로 보안을 논하는 태도는 이제 한계를 인정해야 한다.
LLM이 해킹을 잘하는지가 아니라, LLM이 어떤 경로로 가짜 데이터에 도달하는지를 보는 시각이 필요하다. 이 실험은 그 경로를 적나라하게 드러냈다.
📚 출처
'자동화&툴 리뷰' 카테고리의 다른 글
| GrapheneOS 사용자가 GrapheneOS 사용으로 당국에 신고됨 — 신원확인 서비스의 OS 핑거프린팅과 프라이버시의 미래 (0) | 2026.06.08 |
|---|---|
| 네덜란드 정부, DigiD 플랫폼 운영을 유럽 기업에만 허용 — 디지털 主权과 개발자가 배울 점 (1) | 2026.06.08 |
| Show GN: AI News - 빅테크 공식 소식과 최신 AI 뉴스를 모아보는 크롬 확장 프로그램 (0) | 2026.06.07 |
| VoidZero가 Cloudflare에 합류 — Vite 생태계의 다음 단계 (0) | 2026.06.06 |
| 미국, 대서양 해류 추적 시스템 해체 — 데이터 과학자가 알아야 할 영향 (0) | 2026.06.06 |