AI 시대 PII 필터링이란 무엇인가 OpenAI NVIDIA가 직접 뛰어든 개인정보 보호 기술의 현재

2026년 4월, OpenAI가 ‘Privacy Filter’라는 오픈소스 모델을 공개했습니다. 텍스트 안에서 이름, 이메일, 전화번호, 계좌번호, 날짜 등 개인 식별 정보(PII, Personally Identifiable Information)를 자동으로 탐지하고 마스킹해 주는 AI입니다. 그보다 6개월 앞선 2025년 10월에는 NVIDIA가 ‘GLiNER-PII’를 먼저 공개했습니다. AI 시장에서 가장 주목받는 두 기업이 6개월 사이에 같은 종류의 모델을 잇따라 내놓은 것은 우연이 아닙니다. PII 필터링이 이제 AI 거버넌스의 핵심 인프라로 자리잡고 있다는 신호입니다.

이 트렌드를 이해하려면 먼저 “왜 지금인가”라는 질문이 필요합니다. 임직원들이 ChatGPT, Claude 같은 생성형 AI를 업무에 사용하는 경로가 폭발적으로 늘어나면서, AI 입력창에 고객 이름, 주민등록번호, 계좌 정보가 무방비로 입력되는 상황이 현실이 됐기 때문입니다.

기사원문보기

PII 필터링이란 무엇인가

PII(Personally Identifiable Information)는 특정 개인을 식별할 수 있는 모든 정보를 말합니다. 이름, 주민등록번호, 전화번호, 이메일, 주소, 신용카드 번호, 생년월일 등이 대표적입니다.

PII 필터링은 텍스트나 문서에서 이러한 정보를 자동으로 찾아내고, 외부로 나가기 전에 가리거나(마스킹) 삭제하는 기술입니다. 예를 들어 직원이 AI 서비스에 “고객 김철수(주민번호 900101-1234567)의 대출 조건을 분석해 줘”라고 입력하면, PII 필터가 이 정보를 감지해 “[이름] ([주민번호])의 대출 조건을 분석해 줘”로 변환한 뒤 AI에 전달합니다. AI의 응답이 오면 역으로 복원하는 방식입니다.

과거에는 이메일 형식(@를 포함한 문자열)이나 전화번호 패턴(숫자 조합) 같은 정규식(regex) 기반으로 탐지했습니다. 그러나 자연어는 패턴보다 훨씬 풍부합니다. “내일 오전 열 시에 홍길동 고객님께 전화드려야 해”처럼 이름과 맥락이 자연어 문장 안에 녹아 있는 경우, 패턴 기반 탐지는 놓치기 쉽습니다. AI 기반 PII 필터는 이 간극을 메우기 위한 기술입니다.

OpenAI Privacy Filter와 NVIDIA GLiNER-PII의 등장

OpenAI의 Privacy Filter는 128K 토큰(약 10만 단어 분량)의 긴 문서를 한 번에 처리하면서도, 외부 서버로 데이터를 전송하지 않고 기업 내부망이나 개인 PC에서 단독으로 작동하도록 설계됐습니다. 오픈소스로 무료 공개된 이 모델의 전략적 의미는 명확합니다. “내부에서 민감 정보를 먼저 걸러낸 뒤, 안전한 데이터만 우리에게 보내라”는 메시지입니다. 기업들이 데이터 보안을 이유로 AI 도입을 주저하던 장벽을 직접 제거하려는 의도입니다.

NVIDIA의 GLiNER-PII는 GDPR(유럽 일반 개인정보보호법), HIPAA(미국 의료정보보호법) 등 글로벌 규제 준수 워크플로우를 직접 겨냥해 설계됐습니다. 자사가 만든 합성 데이터셋(실제 개인정보를 사용하지 않고 패턴만 모사해 만든 데이터)으로 학습해 개인정보 보호 원칙을 지키면서도 성능을 확보했습니다.

왜 한국 기업에 특히 중요한가

한국은 개인정보보호법, 신용정보법, 정보통신망법 등 개인정보 관련 규제가 세계적으로 엄격한 편에 속합니다. 특히 개인정보보호위원회는 2024년부터 생성형 AI 개발 및 서비스에서의 개인정보 처리 안내서를 잇따라 발표하며 기업 책임을 구체화하고 있습니다.

규제의 방향은 분명합니다. 임직원의 LLM 사용이 기업 차원에서 통제·관리되어야 한다는 것입니다. 과거에는 “직원 한 명의 실수”로 처리할 수 있었던 개인정보 유출이, 이제는 기업 시스템의 관리 실패로 귀속되는 방향으로 규범이 강화되고 있습니다.

국내 보안 기업들도 이에 대응하고 있습니다. 단순히 텍스트를 ’*‘로 치환하는 수준을 넘어, 이미지 안의 개인정보, 비정형 문서의 사진·인장·지문까지 AI 기반으로 탐지하고 마스킹하는 솔루션들이 등장하고 있습니다.

기업이 지금 당장 점검해야 할 것

PII 필터링 도입 전에, 기업이 먼저 파악해야 할 것이 있습니다.

첫째, 임직원이 어떤 AI 서비스를 쓰고 있는가입니다. 공식 승인된 AI 도구만 사용되고 있다고 가정하기 쉽지만, 실제로는 개인 계정으로 여러 AI 서비스를 활용하는 사례가 많습니다. 사용 현황 파악이 선행되어야 합니다.

둘째, 어떤 정보가 AI에 입력되고 있는가입니다. 고객 정보가 담긴 엑셀 파일을 요약해 달라는 요청, 계약서 초안에 실제 고객 이름이 포함된 채 교정을 요청하는 경우 등이 실제로 발생하고 있습니다.

셋째, 기술 도입과 정책 수립의 병행입니다. PII 필터링 솔루션을 도입하더라도, 어떤 정보를 AI에 입력해선 안 된다는 내부 정책과 교육이 함께 이루어지지 않으면 효과가 제한됩니다.

주목해야 할 포인트

OpenAI와 NVIDIA가 직접 PII 필터링 모델을 만들어 공개할 만큼, 이 문제는 AI 생태계 전반의 공통 과제로 인식되고 있습니다. 데이터 보안은 더 이상 IT 부서의 전담 영역이 아닙니다. AI 도입의 속도가 빨라질수록 개인정보 거버넌스 체계의 구축 속도도 맞춰 올라가야 합니다.

보안 전문가들이 강조하는 핵심은 이것입니다. “아무리 정확한 탐지 모델이라도 데이터가 빠져나가는 지점에서 작동하지 않으면 사후 분석 도구에 그치고, 아무리 잘 설계된 통제 체계라도 무엇이 민감정보인지 정확히 가려내지 못하면 형식적인 게이트에 머문다.” 기술과 정책, 두 가지가 함께 갖춰질 때 비로소 실질적인 개인정보 보호가 가능합니다.

#PII필터링 #개인정보보호 #OpenAIPrivacyFilter #NVIDIA #생성형AI #AI거버넌스 #GDPR #개인정보보호법