[AISec] Day 2: 데이터 유출(Data Leakage) - RAG 파이프라인에서의 PII 탐지 및 차단

서론: RAG는 정확도를 높이지만 유출면도 넓힌다

RAG는 모델 환각을 줄이지만, 동시에 민감 데이터 접근 경로를 늘린다. 회수된 문서가 곧 모델 응답의 재료가 되기 때문이다.

1. 유출이 발생하는 위치

1. Ingestion 단계: 원문에 PII가 섞여 인덱싱
2. Retrieval 단계: 권한 없는 사용자에게 민감 청크 노출
3. Generation 단계: 요약/재작성 과정에서 민감정보 재구성
4. Logging 단계: 프롬프트/응답 로그에 평문 저장

즉, 유출은 모델 자체보다 파이프라인 경계에서 자주 발생한다.

2. PII 탐지 전략

2.1 규칙 기반 탐지

• 주민등록번호/전화번호/이메일 패턴
• 계좌/카드 형태 검출

장점은 빠른 도입, 단점은 포맷 변형에 취약하다.

2.2 ML/NLP 기반 탐지

엔티티 인식(NER)으로 이름/주소/조직명 등 문맥 기반 탐지 가능.

운영에서는 규칙 + ML 혼합이 현실적이다.

3. 차단 아키텍처

Source -> PII Scan/Tag -> Redaction/Tokenization -> Indexing
User Query -> AuthZ Filter -> Retrieval -> Response DLP Filter

핵심은 인덱싱 전과 응답 전, 두 번 검사하는 이중 방어다.

4. 권한 기반 회수 제어

PII 차단은 탐지만으로 부족하다. 회수 단계에서 주체 권한을 함께 평가해야 한다.

필수 조건:

• 사용자/서비스 ID 기반 접근 정책
• 문서/청크 단위 민감도 태깅
• 정책 위반 시 대체 응답(마스킹/거부 사유)

5. 로그/관측성 설계

보안 사고의 상당수는 로그 경로에서 발생한다.

• 프롬프트/응답 원문 저장 최소화
• 민감 필드 자동 마스킹
• 보관 기간 분리(운영 로그 vs 감사 로그)

6. Day 2 체크리스트

1. 인덱싱 전 PII 스캔과 태깅 파이프라인을 구축했다.
2. Retrieval 단계에 권한 필터를 적용했다.
3. 응답 직전 DLP 필터와 마스킹 정책을 추가했다.
4. 로그 저장 정책에서 민감정보 비식별화를 강제했다.

다음 글 예고

Day 3에서는 벡터 데이터베이스 보안으로 넘어가, 인덱스 탈취와 멤버십 추론 공격을 어떻게 방어할지 분석한다.