글
OpenAI Privacy Filter — privacy 인프라가 규칙 기반 필터에서 로컬 실행 가능한 specialist model로 이동
OpenAI는 2026년 4월 22일 PII 탐지·마스킹용 open-weight 모델인 Privacy Filter를 공개했다. 이 모델은 최대 128K 컨텍스트를 지원하는 1.5B 파라미터급 token-classification 모델로, PII-Masking-300k 기준 96% F1과 수정 평가셋 기준 97.43% F1을 제시하며 Apache 2.0 라이선스로 Hugging Face와…
배경 및 맥락
생성형 AI가 실제 서비스에 깊게 들어오면서 개인정보 보호는 더 이상 정책 문서의 문제가 아니다. 학습용 데이터 정제, 검색 인덱스 구축, 운영 로그 저장, 품질 검수, 고객지원 자동화까지 거의 모든 단계에서 개인식별정보와 비밀값이 섞인 텍스트가 흐른다. 기존 규칙 기반 PII 필터는 이메일이나 전화번호처럼 포맷이 고정된 항목에는 강하지만, 문맥에 따라 공개 정보와 비공개 정보를 가려야 하는 실제 운영 환경에서는 한계가 컸다.
OpenAI가 공개한 Privacy Filter는 이 문제를 specialist model 관점에서 푼다. 거대한 범용 모델이 아니라, 개인정보와 비밀값 탐지라는 좁지만 중요한 과업에 최적화된 작은 모델을 오픈웨이트로 제공해 각 조직이 자체 파이프라인에 붙일 수 있게 한 것이다. 이는 privacy-by-design이 선언이 아니라 배포 가능한 인프라로 내려오고 있다는 신호다.
핵심 내용
OpenAI는 2026년 4월 22일 Privacy Filter를 공개했다. 공식 설명에 따르면 이 모델은 bidirectional token-classification with span decoding 구조를 쓰며, autoregressive pretrained checkpoint를 token classifier로 변환한 뒤 constrained Viterbi decoding으로 coherent span을 복원한다. 최대 128,000 토큰 컨텍스트를 지원하고 1.5B total parameters 중 50M active parameters를 사용한다.
탐지 범위도 실무적이다. private_person, private_address, private_email, private_phone, private_url, private_date, account_number, secret의 8개 범주를 지원하며, secret 범주에는 password와 API key가 포함된다. 모든 토큰을 single forward pass로 처리해 속도를 확보했고, local 실행이 가능해 필터링 전 원문을 외부 서버로 보내지 않아도 된다.
성능 수치도 강하다. OpenAI는 PII-Masking-300k 벤치마크에서 96% F1, 94.04% precision, 98.04% recall을 제시했고, 라벨 오류를 교정한 평가셋에서는 97.43% F1, 96.79% precision, 98.08% recall을 보고했다. 적은 양의 도메인 데이터만으로도 F1이 54%에서 96%까지 올라가는 적응 가능성도 함께 강조했다. 모델은 Apache 2.0으로 Hugging Face와 GitHub에 공개돼 상용 배포와 파인튜닝이 가능하다.
경쟁 구도 / 비교
지금까지 많은 조직은 개인정보 마스킹을 정규식, 규칙 엔진, DLP 제품, 혹은 대형 LLM 프롬프트에 의존해 왔다. 규칙 기반 방식은 빠르고 예측 가능하지만 문맥 추론에 약하고, 범용 LLM 방식은 유연하지만 비용과 지연, 감사 가능성에서 불리하다. Privacy Filter는 이 사이에서 작고 특화된 모델이 더 나은 절충안을 제공할 수 있음을 보여준다.
특히 open-weight라는 점이 중요하다. 개인정보 필터는 종종 민감한 원문이 외부로 나가면 안 되기 때문에 SaaS API보다는 온프레미스나 로컬 실행 수요가 크다. OpenAI가 이 영역에서 closed API 대신 로컬 배포 가능한 모델을 공개한 것은 안전 기능조차 배포 형태와 데이터 경계가 경쟁력의 일부가 되고 있음을 시사한다.
의미
이번 공개의 의미는 privacy 보호가 사후 마스킹 절차에서, AI 시스템 전반을 구성하는 독립적인 모델 계층으로 이동하고 있다는 점이다. 향후 안전한 AI 스택은 하나의 거대 모델과 하나의 정책 엔진으로 구성되기보다, 검색용 모델, 분류용 모델, privacy용 모델, 평가용 모델 같은 specialist layer들의 조합으로 만들어질 가능성이 높다.
실무적으로는 제품팀과 플랫폼팀이 개인정보 처리 경로를 다시 그려볼 필요가 있다. training, indexing, logging, review 단계마다 어떤 specialist model을 둘지, 어떤 워크로드는 로컬에서 끝낼지, 어떤 범주는 human review를 유지할지 명시적으로 나눠야 한다. privacy를 나중에 덧붙이는 팀보다, 처음부터 작은 보안/프라이버시 모델을 파이프라인에 넣는 팀이 확장성과 규제 대응에서 훨씬 유리하다.