Articleopenai.com·2025년 10월 28일·0

Doppel’s AI defense system stops attacks before they spread

Quick Summary

Doppel은 GPT 5와 강화 미세조정을 결합한 자동 방어 체계로 피싱·사칭 위협의 탐지부터 차단까지 걸리는 시간을 수 시간에서 수 분으로 줄이고 분석가 업무량을 80% 절감했다.

Doppel’s AI defense system stops attacks before they spread 관련 대표 이미지

🖼️ 인포그래픽

Doppel’s AI defense system stops attacks before they spread 내용을 설명하는 본문 이미지

🖼️ 4컷 인포그래픽

Doppel’s AI defense system stops attacks before they spread 내용을 설명하는 본문 이미지

💡 한 줄 요약

Doppel은 GPT-5와 강화 미세조정을 결합한 자동 방어 체계로 피싱·사칭 위협의 탐지부터 차단까지 걸리는 시간을 수 시간에서 수 분으로 줄이고 분석가 업무량을 80% 절감했다.

📌 핵심 요약

  • 생성형 도구로 피싱 키트, 위조 도메인, 사칭 계정을 대량 생성할 수 있게 되면서 사람이 모든 위협을 직접 검토하는 기존 디지털 위험 보호 방식은 공격의 속도와 규모를 따라가기 어려워졌다.
  • Doppel은 휴리스틱과 o4-mini로 매일 유입되는 수백만 개의 도메인·주소·계정에서 잡음을 제거한 뒤, 여러 GPT-5 프롬프트를 병렬로 실행해 사칭 위험, 브랜드 오용, 사회공학 패턴을 확인한다.
  • 강화 미세조정된 o4-mini가 앞선 확인 결과를 종합해 위협을 악성·정상·모호로 분류하고, GPT-5가 판정과 자연어 근거를 다시 검증하며 신뢰도가 기준을 넘으면 자동으로 차단 절차를 시작한다.
  • Doppel은 분석가의 기존 판정을 등급화된 학습 사례로 전환하고 정확성과 설명 품질을 함께 평가하는 채점 함수를 설계해, 모호한 사례에서도 모델의 판단을 인간 전문가 수준에 가깝게 일관되도록 개선했다.
  • 이 체계는 분석가 업무량을 80% 줄이고 위협 처리 역량을 세 배로 높였으며, Doppel은 앞으로 학습 자료를 열 배 규모로 확대하고 새로운 채점 전략과 GPT-5 기반 상류 특징 추출을 적용할 계획이다.

🧩 주요 포인트

  1. 생성형 도구로 피싱 키트, 위조 도메인, 사칭 계정을 대량 생성할 수 있게 되면서 사람이 모든 위협을 직접 검토하는 기존 디지털 위험 보호 방식은 공격의 속도와 규모를 따라가기 어려워졌다.
  2. Doppel은 휴리스틱과 o4-mini로 매일 유입되는 수백만 개의 도메인·주소·계정에서 잡음을 제거한 뒤, 여러 GPT-5 프롬프트를 병렬로 실행해 사칭 위험, 브랜드 오용, 사회공학 패턴을 확인한다.
  3. 강화 미세조정된 o4-mini가 앞선 확인 결과를 종합해 위협을 악성·정상·모호로 분류하고, GPT-5가 판정과 자연어 근거를 다시 검증하며 신뢰도가 기준을 넘으면 자동으로 차단 절차를 시작한다.
  4. Doppel은 분석가의 기존 판정을 등급화된 학습 사례로 전환하고 정확성과 설명 품질을 함께 평가하는 채점 함수를 설계해, 모호한 사례에서도 모델의 판단을 인간 전문가 수준에 가깝게 일관되도록 개선했다.
  5. 이 체계는 분석가 업무량을 80% 줄이고 위협 처리 역량을 세 배로 높였으며, Doppel은 앞으로 학습 자료를 열 배 규모로 확대하고 새로운 채점 전략과 GPT-5 기반 상류 특징 추출을 적용할 계획이다.

🧠 상세 정리

1. 생성형 공격이 무너뜨린 수동 대응 방식

사칭 사이트 하나는 한 시간도 되지 않아 개설되고 수천 명을 겨냥한 뒤 사라질 수 있으며, 그 짧은 시간만으로도 실제 피해를 일으킬 수 있다. 생성형 도구가 보편화되면서 공격자는 피싱 키트, 위조 도메인, 사칭 계정을 일일이 제작할 필요 없이 수많은 변형을 몇 초 만에 만들어낼 수 있게 됐다. 특히 피싱은 소셜 미디어와 메시징 채널을 통해 수 분 안에 퍼지므로, 위협을 확인하고 조치할 수 있는 시간은 매우 제한적이다. Doppel은 사람이 사칭 사이트와 소셜 미디어 게시물을 하나씩 검토하던 기존 방식으로는 자동화된 공격의 속도, 규모, 확산 범위를 감당할 수 없다고 판단했다.

2. 속도와 규모를 겨냥한 자동 방어 체계

Doppel은 GPT-5와 o4-mini를 중심으로 위협을 탐지하고 분류하며 차단까지 수행하는 사회공학 방어 체계를 구축했다. 이 체계는 끊임없이 들어오는 신호 가운데 실제 위협을 가려내고, 공격이 피해로 이어지기 전에 필요한 결정을 자동으로 내리는 데 초점을 맞춘다. 대부분의 위협은 모델이 자동 분류하고, 분석가는 사람의 판단이 필요한 예외 사례에 집중하도록 역할을 재배치했다. 그 결과 분석가 업무량은 80% 줄었고 위협 처리 역량은 세 배로 증가했으며, 대응 시간은 수 시간에서 수 분으로 단축됐다. Doppel은 이러한 자동화를 인터넷 규모와 속도에 맞서기 위한 핵심 수단으로 설명한다.

3. 다단계 탐지와 분류 절차

Doppel의 체계는 매일 수백만 개의 도메인, 인터넷 주소, 계정 신호를 받아들이고, 휴리스틱과 o4-mini를 이용해 잡음을 걸러내면서 후속 평가에 필요한 구조화된 특징을 추출한다. 정제된 각 신호에는 위협 유형별로 설계된 여러 GPT-5 프롬프트가 병렬로 적용되며, 사칭 가능성, 브랜드 오용, 사회공학 패턴과 공격 의도를 각각 확인한다. 이어 강화 미세조정된 o4-mini가 앞선 확인 결과를 종합해 악성, 정상, 모호 가운데 하나의 구조화된 분류를 부여한다. 두 번째 GPT-5 검증 단계는 판정의 타당성을 확인하고 자연어 설명을 생성하며, 신뢰도가 정해진 기준을 넘으면 체계가 자동으로 차단 절차를 시작한다. 신뢰도가 낮거나 결과가 충돌하는 사례만 분석가에게 전달되고, 분석가의 최종 결정은 다시 학습 자료로 축적된다.

4. 강화 미세조정으로 판단 일관성 확보

기존 대규모 언어 모델 기반 탐지 절차도 성과를 냈지만, 같은 위협을 분석가마다 다르게 판단할 수 있다는 점이 자동화의 한계로 남았다. Doppel은 자체 분석가가 도메인을 악성, 정상, 불명확으로 판정한 기록을 등급화된 사례로 전환하고 이를 강화 미세조정의 피드백 자료로 사용했다. 이렇게 구성된 학습 자료는 모델이 모호한 경계 사례에서도 전문가의 판단 방식을 반복하고 더 일관된 결론을 내리도록 훈련하는 기반이 됐다. Doppel과 OpenAI의 응용 엔지니어링 팀은 정답 여부뿐 아니라 설명의 품질까지 평가하는 채점 함수를 설계해, 명확하게 추론하면서 올바르게 판정한 결과에 보상을 주었다. 이후 하이퍼파라미터 조정과 반복 평가를 통해 모델의 판단 일관성을 인간 수준에 가깝게 끌어올렸다.

5. 설명 가능한 자동 차단과 운영 성과

Doppel이 자동화의 마지막 단계에서 중시한 요소는 결정의 속도뿐 아니라 사용자가 그 결정을 즉시 이해할 수 있게 하는 것이었다. 현재 자동 차단에는 해당 위협이 왜 제거됐는지를 설명하는 인공지능 생성 근거가 함께 제공되며, 과거처럼 분석가가 별도로 설명을 작성하거나 전달할 필요가 줄었다. 고객은 어떤 조치가 내려졌는지만이 아니라 그 이유까지 바로 확인하고, 내부 조직이나 이해관계자에게 판단의 배경을 설명할 수 있다. 이러한 가시성은 자동 결정에 대한 신뢰를 높이고, 위협이 빠르게 확산되는 상황에서도 조직이 필요한 대응을 지체하지 않도록 돕는다. 실제 운영에서는 분석가 업무량 80% 감소, 처리 역량 세 배 증가, 수 시간에서 수 분으로의 대응 시간 단축, 대부분 위협의 자동 분류라는 성과로 이어졌다.

6. 다른 공격 채널로의 확장 계획

Doppel은 피싱과 사칭 도메인에 대해 거의 완전한 자동화를 달성한 뒤, 같은 모델 중심 방식을 변동성이 큰 다른 채널에도 적용하려 하고 있다. 회사는 도메인 채널이 신호가 불규칙하고 콘텐츠가 계속 바뀌며 여러 접점에서 위협이 빠르게 진화하기 때문에 가장 다루기 어려운 영역이라고 평가한다. 이 영역을 처음부터 끝까지 자동화한 경험을 토대로 소셜 미디어와 유료 광고 등 다른 공격 표면으로 적용 범위를 넓힐 계획이다. 다음 단계에는 강화 미세조정 학습 자료를 열 배 규모로 확대하고, 새로운 채점 전략을 실험하며, 상류 단계의 특징 추출에도 GPT-5를 사용하는 작업이 포함된다. 이를 통해 처리 단계를 통합하고 더 복잡한 위협 지표를 절차의 앞부분에서부터 추론하는 체계로 발전시키는 것이 Doppel의 목표다.

🧾 핵심 주장 / 시사점

  • Doppel의 사례에서 자동화의 핵심은 단일 모델에 모든 판정을 맡기는 것이 아니라, 신호 정제·병렬 확인·구조화된 분류·최종 검증·인간 검토를 단계별로 결합하는 데 있다.
  • 분석가 피드백은 단순한 오류 수정 기록이 아니라 모델의 판단 일관성과 설명 품질을 함께 개선하는 강화 미세조정 자료로 활용됐다.
  • 자동 차단의 근거를 자연어로 함께 제공하면 고객은 조치의 이유를 즉시 확인할 수 있으며, 빠른 대응과 내부 설명에 필요한 맥락도 확보할 수 있다.

✅ 액션 아이템

  • 수 시간 단위 탐지·차단에서 수 분 단축 성능을 기준으로, Doppel의 탐지-검증-차단 자동 흐름을 분류·재검증·집행 단계로 정교화한다.
  • 휴리스틱과 o4-mini로 수백만 건 잡음을 제거한 뒤 GPT-5 병렬 프롬프트로 사칭·브랜드 오용·사회공학 패턴을 확인하는 검증 체계를 구축한다.
  • 분석가 판정을 등급화된 학습 사례로 전환하고 정확도·설명 품질을 함께 채점해 모호 사례의 판단 일관성을 강화한다.

❓ 열린 질문

  • 악성·정상·모호 분류에서 자동 차단을 발동할 신뢰도 임계치는 어떤 지점에서 설정해야 하는가?
  • 수백만 건 유입 데이터에서 휴리스틱 1차 필터와 GPT-5 병렬 판정 조합이 오탐·미탐률에 미치는 영향은 어떻게 정량 비교할 것인가?
  • 학습 자료를 열 배로 늘릴 때 강화 미세조정 o4-mini의 성능 저하를 막기 위한 안전한 데이터 선택 기준은 무엇인가?

관련 문서

공통 태그와 주제 흐름을 기준으로 같이 보면 좋은 문서를 이어서 제안합니다.