logo
|
Blog
  • Vulnerability Research
  • AI for Security
  • Cybersecurity Training
  • Security for AI
  • Web3
  • Culture
  • 🌐
Security for AI

빅테크가 주목하는 민감정보보호: 프론티어 민감정보 보호모델의 한국어 성능 분석

빅테크가 주목하는 민감정보 탐지, 왜 지금 중요해졌을까요? 임직원이 AI에 붙여넣는 한 줄이 회사 정보를 외부로 흘려보내는 시대, OpenAI와 NVIDIA의 잇따른 모델 공개가 한국 시장에 던지는 의미를 짚어봅니다.
αprism's avatar
αprism
Apr 29, 2026
빅테크가 주목하는 민감정보보호: 프론티어 민감정보 보호모델의 한국어 성능 분석
Contents
서론왜 지금, 이 기술이 이렇게 중요해졌을까요그래서 이번 글에서 다룰 이야기민감정보 탐지, 왜 이렇게 어려운가 — 패턴 기반의 한계1. 고정된 패턴이 없는 비정형 민감정보2. 의도적 우회와 오탈자 변형결국 필요한 것은 "문맥을 이해하는" 탐지모델 비교테스트셋 구성 원칙모델 성능결론모델만으로는 충분하지 않습니다 — 흐름을 잡는 보안 체계마치며

서론

OpenAI가 새로운 소식을 전했습니다. 2026년 4월 Privacy Filter라는 이름의 오픈소스 모델을 공개한 건데요. 텍스트에서 민감정보(PII)를 찾아주는 모델입니다. OpenAI는 “자사의 최신 AI 역량을 바탕으로 기존 시장보다 한 차원 높은 개인정보 보호 기준을 제시할 수 있다고 판단해” Privacy Filter를 만들었다고 밝혔습니다. 흥미로운 점은 이런 움직임이 OpenAI 한 곳만의 이야기가 아니라는 겁니다. 2025년 10월에는 NVIDIA가 GLiNER-PII라는 민감정보 탐지 모델을 먼저 공개했습니다. 민감정보를 탐지·마스킹하는 용도로 설계된 모델로 자사가 만든 합성 데이터셋을 학습에 활용하면서 GDPR, HIPAA 같은 규제 준수 워크플로우를 직접 겨냥했습니다. AI 시장에서 가장 주목받는 두 기업이 6개월 사이에 같은 종류의 모델을 잇따라 내놓은 셈입니다.

이 흐름이 가진 의미는 결코 가볍지 않습니다. 빅테크 기업들이 민감정보 탐지 전용 모델을 처음부터 새로 설계해 잇따라 생태계에 공개했다는 사실 자체가 하나의 신호이기 때문이죠. 이는 AI시스템에서의 핵심 과제로 자리 잡았다는 선언에 가깝습니다. 티오리에선 이 흐름을 반갑게 받아들이고 있습니다. 같은 문제를 오랫동안 고민해온 팀으로서, 글로벌 빅테크가 이 분야에 본격적으로 뛰어들었다는 것은 시장과 사용자 모두에게 좋은 소식이라고 생각합니다. 민감정보 보호가 "필요한가"의 단계를 넘어, 이제 "어떻게 하면 더 잘할 것인가"의 단계로 함께 넘어가고 있다는 뜻이니까요.

왜 지금, 이 기술이 이렇게 중요해졌을까요

생각해보면 답은 명확합니다. 불과 몇 년 사이에 사내에서 다루는 텍스트 데이터의 양과 흐름이 완전히 달라졌기 때문이죠. 임직원들이 ChatGPT나 Claude 같은 외부 LLM에 업무 내용을 붙여넣어 보고서를 다듬고, 사내 RAG 시스템에 내부 문서를 색인하고, 고객 상담 로그를 자동으로 분석합니다. 문제는 이 과정에서 회사가 보호해야 할 정보가 자기도 모르게 외부로 흘러나간다는 점입니다.

실제로 임직원 한 명이 무심코 던진 한 줄의 프롬프트가 회사를 위태롭게 만드는 사례는 이미 여러 차례 보도됐습니다. 고객의 개인정보가 포함된 상담 내역을 그대로 붙여넣어 요약을 요청하거나, 미공개 재무 자료를 올려 분석을 부탁하여 민감정보를 유출할 수도 있습니다. 또는 내부 소스코드를 디버깅하려다 핵심 로직과 API 키까지 함께 흘려보내는 식이죠. 본인은 단순히 업무를 빠르게 처리하려 했을 뿐인데, 그 데이터가 어디에 저장되고 어떻게 활용되는지는 회사도 직원도 알 수 없습니다. 한 번 외부 모델로 넘어간 정보는 사실상 통제 범위를 벗어나는 셈입니다. 그렇다고 모든 직원의 입력을 사람이 일일이 들여다볼 수도 없는 노릇입니다. 주민등록번호 한 줄, 카드번호 한 줄, 고객 실명 한 줄이 수많은 대화 속에 섞여 들어가는 상황에서, 수작업 검토는 애초에 불가능한 방식이죠. 임직원이 LLM을 활용하는 경로는 폭발적으로 늘어났는데, 그 입력에서 민감정보를 걸러낼 자동화된 수단은 그 속도를 따라가지 못하고 있다는 게 지금의 현실입니다. 이 간극은 단순한 기술적 불편이 아니라 실질적인 비즈니스 리스크로 이어집니다. GDPR, 국내 개인정보보호법, 신용정보법 등 국내외 규제는 점점 더 촘촘해지고 있고, 한 번의 실수로 발생하는 과징금 규모도 매년 커지고 있습니다. 임직원의 LLM 사용 통제 실패는 더 이상 직원 한 명의 실수로 넘길 수 있는 영역이 아닙니다. NVIDIA와 OpenAI 같은 기업들이 직접 모델을 만들어 공개할 만큼, 모두가 같은 문제 앞에 서 있다는 뜻이기도 합니다.

그래서 이번 글에서 다룰 이야기

빅테크의 잇따른 민감정보 탐지 모델 출시는 이 분야가 본격적인 경쟁과 발전의 단계로 들어섰다는 신호입니다. 다만 한 가지 짚고 넘어갈 부분이 있습니다. 이 모델들은 모두 영어와 글로벌 표준 식별자를 중심으로 설계됐다는 점이죠. 그렇다면 한국에서 사업을 운영하는 기업, 한국어로 일하는 임직원, 한국 고유의 규제 체계 안에서 데이터를 다루는 현장에는 이 흐름이 어떤 의미로 다가올까요? 한국 시장의 조건은 그 자체로 특수합니다. 임직원들이 LLM에 입력하는 문장은 대부분 한국어이고, 보호해야 할 정보는 주민등록번호·사업자등록번호·건강보험번호처럼 한국에만 존재하는 식별자들입니다. 여기에 도로명 주소 체계, 국내 금융기관 계좌 포맷, 한국식 이름 표기 같은 디테일이 더해지죠. 업무 문서 역시 엑셀과 한글(HWP), Word 같은 실무 포맷으로 오가기 때문에, 글로벌 데이터셋만으로 학습된 모델이 그대로 잘 작동할 거라고 기대하기는 어렵습니다. 한국 시장에는 한국 시장에 맞는 검증이 필요한 셈입니다.

티오리는 자사의 AI 보안 솔루션인 aprism과 글로벌 빅테크의 탐지 모델들을 같은 한국어 데이터셋 위에서 직접 비교해 봤습니다. 패턴 기반 탐지가 왜 한계에 부딪히는지, AI 기반 탐지는 어떤 점에서 다른지, 그리고 글로벌 범용 모델과 한국어 특화 모델 사이에 실제로 어떤 차이가 나타나는지를 차근차근 살펴보겠습니다.

민감정보 탐지, 왜 이렇게 어려운가 — 패턴 기반의 한계

기업에서 정보 유출을 막기 위해 쓰이는 대부분의 DLP(Data Loss Prevention) 솔루션은 정규표현식 기반의 패턴 매칭으로 동작합니다. "010-XXXX-XXXX" 형태면 전화번호, "XXX-XX-XXXXX" 형태면 사업자등록번호와 같이 미리 정의된 패턴을 텍스트에서 찾아내는 구조이죠. 이 방식은 빠르고 가볍다는 장점이 있습니다. 그러나 실제 업무 현장에서 오가는 문서와 대화를 들여다보면, 패턴 기반 접근으로는 도저히 막을 수 없는 사각지대가 명확하게 드러납니다. 특히 자연어 기반의 상호작용을 하는 LLM서비스 사용시엔 더더욱 취약합니다.

1. 고정된 패턴이 없는 비정형 민감정보

가장 큰 한계는 민감정보가 항상 정해진 형식으로 등장하지는 않는다는 점입니다.

  • "인수합병 담당자는 죠슈아 벤지오입니다."

  • "해당 계약금은 금 사억칠천오백만원($475,000)입니다."

  • "카드값이 250 나왔어요."

  • "제 카드번호는 일이삼사일이삼사에요."

위 문장들은 모두 민감한 정보를 담고 있지만, 패턴으로 검출하기는 어렵습니다. 이유는 단순합니다. 모든 사람 이름을 사전에 등록할 수 없고, 금액은 한글·숫자·외화가 뒤섞여 표현되며, 같은 숫자를 의미하는 텍스트라도 문맥에 따라 카드값이 되기도 금액이 되기도 페이지 번호가 되기도 하기 때문입니다.

즉, 패턴 기반 시스템은 본질적으로 “이 글자들이 이런 형태로 배열되어 있는가"를 묻습니다. 하지만 정작 위험한 정보는 종종 형태가 아니라 의미로 판단해야 검출할 수 있습니다.

2. 의도적 우회와 오탈자 변형

두 번째 한계는 더 골치 아픕니다. 사용자가 작정하고 우회하려 하면 패턴 매칭은 너무 쉽게 무력화됩니다.

원본

변형 예시

홍길동

홍 길 동 / 홍.길.동 / 홍-길동 / 길동 홍

010-1234-5678

010_1234_5678 / 010 1234 5678 / 공일공 1234 5678

user123@company.com

user일이삼@컴퍼니.com

이러한 변형은 의미론적으로는 같은 정보이지만, 패턴 입장에서는 완전히 다른 문자열입니다. 물론 패턴을 추가해 대응할 수도 있겠지만, 변형의 가짓수는 사실상 무한대이고, 패턴을 늘릴수록 오탐(False Positive)이 함께 증가한다는 점이 본질적인 딜레마입니다.

게다가 일반 사용자가 의도 없이 만들어내는 변형도 흔합니다. 모바일 자동완성, 단순 오타, 다른 시스템에서 복사해 온 비정상 포맷이 입력되기 일쑤인데요. 실무 문서에 "깔끔한 형식"의 데이터만 들어오리라 가정하는 것 자체가 잘못된 기대입니다.

결국 필요한 것은 "문맥을 이해하는" 탐지

앞서 본 두 한계의 공통점은 분명합니다. 글자의 형태(form)가 아니라 의미(meaning)를 봐야 한다는 것입니다.

AI 기반 모델이 등장하는 이유가 바로 여기에 있습니다. 자연어 기반의 AI모델은 토큰 하나하나를 주변 문맥과 함께 인코딩한 뒤, "이 단어가 이 문장에서 어떤 종류의 개체(이름·금액 등)를 가리키는가" 를 확률적으로 판단합니다.

  • “인수합병 담당자는 죠슈아 벤지오입니다."에서 “죠슈아 벤지오”가 한글로 표기된 이름임을 유추하고,

  • "카드값이 250 나왔어요"에서 “250”을 단순 숫자가 아닌 금액 정보로 추론하고,

  • "홍 길 동"이 띄어쓰기로 분리돼 있어도 사람 이름이라는 의미적 일관성을 유지하며,

  • 같은 "350"이라도 "카드값 350"과 "350쪽 참고"를 문맥으로 구분합니다.

패턴기반의 시스템이 글자 패턴을 보는 동안, AI 모델은 문장 전체의 의미 구조를 봅니다. 이 차이가 실제 탐지 성능의 격차를 만듭니다.

OpenAI, Nvidia 등 글로벌 기업들이 패턴 기반 탐지를 넘어 AI 기반 민감정보탐지 방법으로 빠르게 이동하고 있는 것도 같은 맥락입니다. 패턴은 한계가 명확하고, 사람의 자연어 표현은 패턴보다 훨씬 풍부하기 때문입니다.

모델 비교

실제 민감정보탐지 모델들을 비교 실험을 진행했습니다. 대상은 세 모델입니다.

  • Theori αprism

  • NVIDIA gliner-pii

  • OpenAI privacy-filter

테스트셋 구성 원칙

실험실 환경의 정형화된 문장이 아닌, 유저가 실제로 입력하는 데이터 분포를 반영하는 데 집중했습니다.

  • 실사용 기반 데이터: 엑셀·Word 등 실무 문서 포맷에서 추출한 샘플을 기반으로 구성

  • 합성 데이터(Synthetic Data) 활용: 실데이터를 그대로 쓰지 않고, 패턴과 분포만 보존한 비식별 합성 데이터로 재구성해 개인정보 보호 원칙 준수

  • 두 가지 난이도 분리:

    • General_set — 일상적 형식의 일반적 입력

    • Challenge_set — 의도적 우회·변형이 포함된 어려운 입력

샘플 예시

General_set

  • 고객님께서 문의주신 건은 25년 3월 15일자입니다. 등록번호는 사일이공일이고, 이체 계좌는 110-***-12345입니다. 검사 결과 갑상선 결절 소견이 있어 추가 진료가 필요합니다.

Challenge_set

  • Applicant: J o h n D o e / Date of birth: 22 . 07 . 1994 / Contact: oh-seven-seven_1234_5678 / Residence: 12 Baker St., London ***

이러한 데이터 구성 의도는 앞 섹션에서 다룬 두 가지 한계 “비정형 표현과 의도적 우회”가 실제 모델 성능에 어떤 영향을 미치는지 분석하기 위함입니다.

모델 성능

평가 카테고리와 지표

세 모델은 모두 동일한 6개 PII 카테고리를 대상으로 평가했습니다. 각 모델이 내부적으로 사용하는 라벨명은 조금씩 다르지만(예: OpenAI의 private_person, NVIDIA의 user_name), 의미 기준으로 1:1 매칭해 같은 카테고리끼리 비교했습니다.

지표는 카테고리별로 Precision(검출한 것 중 정답 비율), Recall(놓치지 않고 잡아낸 비율), F1(둘의 조화평균)을 측정했고, 전체 성능은 인스턴스 단위로 합산한 Micro F1과 카테고리 평균인 Macro F1 두 가지로 정리했습니다.

전체 결과

한국어 민감정보 테스트셋에 대한 평가 지표 (Theori αprism, NVIDIA gliner-pii, OpenAI privacy-filter)

General set에서 Theori αprism은 Micro F1 89.0을 기록하며, NVIDIA(59.0) · OpenAI(45.0)와 30점 이상의 격차를 보입니다. Challenge set에서는 모든 모델의 점수가 떨어지는데 우회와 변형이 섞인 입력은 AI 모델에게도 어렵기 때문입니다. 하지만 절대 점수 기준 αprism의 우위는 그대로 유지됩니다.

카테고리별 F1 — General set vs Challenge set

카테고리

αprism
(General / Challenge)

NVIDIA
(General / Challenge)

OpenAI
(General / Challenge)

이메일

95.0 / 82.4

94.8 / 70.0

96.9 / 9.5

전화번호

98.1 / 72.7

64.0 / 77.8

67.6 / 50.0

날짜

84.7 / 72.5

74.5 / 46.3

53.2 / 23.1

계좌번호

85.3 / 56.4

45.8 / 17.7

31.3 / 12.4

주소

91.0 / 66.7

22.3 / 26.0

33.9 / 3.0

이름

88.1 / 85.7

59.7 / 42.9

26.9 / 0.0

이 표를 위에서부터 읽으면 두 가지 큰 흐름이 보입니다.

형태가 명확한 것 vs 문맥이 필요한 것 (General set 기준)

이메일은 세 모델 모두 95 근처로 수렴합니다. 형태가 워낙 명확하기 때문에(@와 도메인 구조) 모델 간 차이가 가장 작은 영역입니다. 단순 패턴 기반 시스템도 정형화된 이메일은 어느 정도 처리하는 카테고리이죠.

격차는 이름 · 주소 · 계좌번호로 가면 폭발적으로 벌어집니다. αprism은 88.1 / 91.0 / 85.3으로 일관되게 80~90점대를 유지하지만, NVIDIA와 OpenAI는 0~40점대로 흩어집니다. 이 세 카테고리의 공통점은 명확합니다. 형태만으로는 식별이 불가능하다는 것입니다. 일련의 숫자가 계좌번호인지 일반 ID인지, "죠슈아 벤지오"가 사람 이름인지 조직명인지는 주변 문장의 의미를 봐야 답이 나옵니다. 즉 문장을 잘 이해한 모델이 좋은 검출 성능을 보입니다.

변형 앞에서 무너지는 모델들 (Challenge set 기준)

Challenge set의 결과는 더 극적입니다. “예금주:홍길동 입금계좌 국민: 123-1234-일이삼사오” 같은 우회 입력 앞에서 두 모델이 사실상 완전히 무력화된다는 뜻입니다. 이러한 데이터셋에 대해서 αprism이 가장 좋은 성능을 보여주고 있습니다.

패턴 기반에서 AI 기반으로의 전환이 답이라는 것은 분명합니다. 그리고 더 나아가서 실제 사용환경을 정확히 이해하는 AI 모델인가도 매우 중요합니다. 문맥을 진짜로 이해하는 모델만이, 실제 사용자 입력의 다양성 앞에서 안정적으로 작동하기 때문입니다.

결론

위 성능 비교표가 보여준 메시지는 두 개입니다.

첫 번째, 패턴 기반 탐지는 한계가 명확합니다. 자연어 입력의 다양성과 의도적 우회 앞에서 너무 쉽게 무너집니다. OpenAI와 NVIDIA가 잇따라 AI 기반 PII 탐지 모델을 공개한 것은, 이 전환이 더 이상 선택이 아니라는 점을 가장 영향력 있는 두 회사가 동시에 선언한 사건입니다.

두 번째, 같은 AI 기반이라고 모두 같은 결과를 내지는 않습니다. 글로벌 빅테크의 모델이라도 한국어 이름·주소·계좌번호 앞에서는 20~40점대 F1로 떨어지고, 우회 입력이 섞인 Challenge set에서는 카테고리에 따라 0점에 가까운 결과를 보이기도 합니다. 이는 모델 크기나 학습량의 문제가 아니라, “AI모델이 어떤 언어와 어떤 형식으로 학습되었는가”의 문제입니다. 한국어로 일하고, 한국 고유의 식별자를 다루며, 한국 규제 안에서 데이터를 처리하는 기업이라면 글로벌 범용 모델만으로는 보안 사각지대가 생긴다는 사실을 이번 수치가 직접 보여줍니다.

이 지점이 αprism이 만들어진 이유이기도 합니다. 한국어 문장 구조, 한국식 이름 표기, 도로명 주소 체계, 국내에 통용되는 문서 포맷, 자주 등장하는 변형 패턴과 같은 이런 디테일은 글로벌 데이터셋에 충분히 담겨 있지 않으며, 사후에 끼워 맞추기도 어렵습니다.

모델만으로는 충분하지 않습니다 — 흐름을 잡는 보안 체계

다만 한 가지 더 강조하고 싶은 부분이 있습니다. 사내에서 발생하는 LLM 사용은 본사 게이트웨이를 거치지 않고 개인 PC에서 외부 서비스로 곧장 흘러나가는 경우가 대부분이기 때문입니다. 보안 담당자가 사후에 로그를 들여다볼 때쯤이면, 정보는 이미 회사의 통제 범위를 벗어나 있습니다.

αprism이 단순히 모델로 끝나지 않고 엔드포인트 기반 솔루션으로 설계된 이유가 여기에 있습니다.

  • 임직원 PC에서 동작하는 Agent가 ChatGPT, Claude, Gemini 등 외부 LLM으로 향하는 입력을 실시간으로 감사(audit)하고, 민감정보가 발견되면 외부로 전송되기 전에 마스킹합니다. 정보가 회사를 떠나는 그 순간, 그 지점에서 차단하는 구조입니다.

  • 보안 담당자에게는 조직 전반의 LLM 사용 현황을 한눈에 파악할 수 있는 통합 대시보드를 제공합니다. 임직원의 서비스 사용 패턴과 탐지된 민감정보를 실시간으로 가시화하여, 그동안 블랙박스에 가까웠던 LLM 사용 영역을 투명하게 관리할 수 있습니다. 이러한 가시성은 단순한 사고 대응을 넘어 정책 수립과 임직원 교육의 근거 데이터로 이어집니다. 또한  LLM 서비스별, 민감정보 카테고리별로 조치를 세분화하여 설정할 수 있어, 조직의 보안 요구 수준에 맞춘 정밀한 운영이 가능합니다.

이 두 가지(정확한 한국어 탐지 모델과 엔드포인트 단의 실시간 통제 체계)가 결합돼야 비로소 보안이라는 이름을 붙일 수 있습니다. 아무리 정확한 모델이라도 정보가 빠져나가는 지점에서 작동하지 않으면 사후 분석 도구에 그치고, 아무리 잘 설계된 통제 체계라도 무엇이 민감정보인지 정확히 가려내지 못하면 형식적인 게이트에 머무릅니다. αprism은 정확하게 탐지하고 그 자리에서 곧바로 차단하는 것을 목표로 합니다.

마치며

빅테크의 움직임은 분명 반가운 신호입니다. 민감정보 보호가 "필요한가"의 단계를 넘어 "어떻게 하면 더 잘 보호할 것인가"의 단계로 옮겨왔다는 의미니까요. 다만 그 "더 잘"의 기준은 시장마다 다릅니다. 한국에서 사업하는 기업에게 "더 잘"은 한국어의 특성과 데이터 분포를 진짜로 이해하는 것, 그리고 그 이해를 임직원이 실제로 입력하는 그 순간, 그 자리에 가져다 놓는 것에서 시작합니다. 임직원이 LLM에 자연스럽게 입력하는 한 문장 안에서 민감정보를 빠짐없이 잡아내고, 그 결과를 보안 담당자가 즉시 확인할 수 있도록 만드는 것 — 이것이 AI시대를 맞이한 한국시장에서 민감정보 보호의 출발점이라고 티오리는 믿습니다.

LLM 사용은 이미 임직원의 일상이 되었고, 그 흐름은 되돌릴 수 없습니다. 남은 질문은 단 하나입니다. 그 흐름 위에서 회사가 보호해야 할 정보를 누가, 얼마나 정확히, 얼마나 빠르게 잡아낼 것인가. 이 질문에 대한 답을 우리는 αprism으로 만들어가고 있습니다.

Share article

Theori © 2025 All rights reserved.

RSS·Powered by Inblog