jongkwan.dev
개발 · Essay №097

LLM 프라이버시 보호 기술: DP, 암호화, TEE, 언러닝

차등 프라이버시·동형 암호·신뢰 실행 환경·머신 언러닝을 학습·추론·사후 단계의 신뢰 가정과 오버헤드로 비교하고, 왜 하나로는 끝나지 않는지 정리합니다.

이종관2026년 6월 11일17 min read
Contents

같은 프라이버시 위협을 학습·추론·배포 후라는 서로 다른 단계에서, 서로 다른 신뢰 가정으로 막는 네 기술을 비교합니다. 어느 하나로 끝나지 않는 이유까지 짚습니다.

어떤 위협을 막는가

LLM은 학습 데이터를 가중치에 흡수하고, 추론할 때 사용자 입력을 평문으로 처리합니다. 이 두 성질에서 프라이버시 위협이 갈립니다. 같은 '개인정보 보호'라도 막아야 할 지점이 다릅니다.

위협은 라이프사이클 단계에 따라 갈립니다. 대표적인 네 가지를 꼽으면 다음과 같습니다.

  • 학습 데이터 추출·멤버십 추론 — 가중치에 외워진 개인식별정보(Personally Identifiable Information, PII)가 새는 경로입니다. 멤버십 추론 공격(Membership Inference Attack, MIA)은 특정 샘플이 학습에 쓰였는지를 추정합니다.
  • 추론 시 프롬프트 노출 — 외부 LLM에 보낸 프롬프트가 클라우드 운영자 메모리에 평문으로 뜹니다. zero-retention 약관도 그 순간의 메모리 접근까지 막지는 못합니다.
  • 잊힐 권리 대응 — 배포 후 특정 개인이 자기 데이터 삭제를 요구하는 잊힐 권리(Right to be Forgotten, RTBF) 요청입니다.
  • 컴플라이언스 증거 — 감사 시 '데이터가 새지 않았다'를 증명해야 하는 부담입니다.

네 기술은 이 위협들을 각기 다른 단계에서 막습니다. 차등 프라이버시는 학습 단계, 동형 암호와 신뢰 실행 환경은 추론 단계, 머신 언러닝은 배포 후 단계의 방어입니다.

네 기술이 놓이는 자리

네 기술은 라이프사이클의 서로 다른 지점에 자리합니다.

막는 시점이 기술마다 갈립니다.

  • 차등 프라이버시는 학습이 끝나기 전, 데이터가 가중치에 흡수되는 순간을 막습니다.
  • 동형 암호와 신뢰 실행 환경은 추론 시 프롬프트가 평문으로 노출되는 순간을 막습니다.
  • 머신 언러닝은 이미 학습된 모델에서 사후에 흔적을 지웁니다.

막는 시점이 다르면 대응하는 위협도 달라집니다. 한 단계만 가린다고 다른 단계가 자동으로 닫히지 않습니다.

차등 프라이버시

차등 프라이버시(Differential Privacy, DP)는 한 개인의 데이터가 결과에 미치는 영향을 통계적으로 무시할 수준으로 묶는 기법입니다. 형식 정의는 (ε, δ)-DP입니다. 한 레코드만 다른 인접 데이터셋 D, D'에 대해 모델 출력 분포가 다음을 만족해야 합니다.

text
Pr[M(D) ∈ S] ≤ e^ε · Pr[M(D') ∈ S] + δ

ε이 작을수록 보호가 강합니다. 보통 ε ≤ 1을 strict, ε ≤ 8을 moderate로 봅니다. δ는 이 보장이 깨질 확률로, 데이터 수 N의 역수(1/N) 이하로 둡니다.

LLM 학습에 DP를 넣는 표준 방법은 DP-SGD(차등 프라이버시 확률적 경사 하강법)입니다. 샘플별 기울기를 클리핑한 뒤 가우시안 노이즈를 더해, 한 샘플의 흔적이 가중치에 남지 않게 합니다. 다만 비용이 큽니다. 샘플별 클리핑은 메모리를 늘리고, 모든 파라미터에 노이즈가 인가되어 큰 모델일수록 신호가 노이즈에 묻힙니다.

그래서 LoRA(Low-Rank Adaptation)처럼 일부 파라미터만 학습하는 기법과 DP를 결합합니다. DP-FedLoRA(arXiv:2509.09097)는 연합 학습(federated learning) 환경에서 LoRA 업데이트에만 DP를 적용해 utility 손실을 줄였습니다. 같은 논문 보고로 MMLU 점수는 FedAvg 기준 44.64%에서 42.45%로, BBH는 38.96%에서 38.52%로 내려갔습니다. 두 벤치마크의 하락 폭이 2 퍼센트포인트 남짓에 그쳐, utility 손실을 작게 유지했다는 의미입니다.

다만 DP에는 그늘이 있습니다. 의료 딥러닝 74편을 검토한 scoping review(arXiv:2506.00660)는 DP 노이즈가 소수 인구 그룹의 정확도를 더 크게 깎는다고 정리했습니다. 같은 ε에서도 데이터가 적은 집단일수록 손실이 큽니다.

연합 학습에 DP를 붙여도 기울기 역전(gradient inversion) 위험이 남고, DP를 적용하고도 멤버십 추론이 높은 성공률을 보인 실증이 보고됐습니다. 그래서 secure aggregation이나 TEE 기반 집계와 결합하라는 권고가 이어집니다.

동형 암호와 다자간 계산

완전 동형 암호(Fully Homomorphic Encryption, FHE)는 복호화 없이 암호문 상태에서 연산하는 기법입니다. 사용자는 입력을 암호화해 보내고, 서버는 암호문으로 추론을 끝내 암호문 결과를 돌려줍니다. 서버는 평문을 한 번도 보지 못합니다. 보안은 RLWE(Ring Learning With Errors) 같은 격자 문제의 계산 난해성에 기댑니다.

다자간 계산(Secure Multi-Party Computation, MPC)은 여러 당사자가 각자 비밀을 공개하지 않고 공동으로 연산하는 방식입니다. 당사자들이 결탁하지 않는다는 가정이 필요하고 통신 비용이 큽니다. 실전 시스템은 둘을 섞는 경우가 많습니다. 선형 계층은 동형 암호로, Softmax·GELU 같은 비선형은 garbled circuit이나 secret sharing으로 처리하는 하이브리드입니다.

가장 큰 약점은 비용입니다. IACR ePrint 2026/105 survey는 FHE 계열의 오버헤드를 평문 대비 100~1000배 이상으로 정리하고, 현실적 운영 한계를 13B급 모델 정도로 봅니다.

실용 사례로 arXiv:2501.01672는 사용자 입력과 서버 가중치를 동시에 보호했습니다. 입력은 FHE로 가리고, fine-tuned 가중치는 별도 변환 기법(Private Linear Layer)으로 가립니다. 이 변환의 보안은 LWE(Learning with Errors) 가정으로 환원됩니다.

같은 논문은 ChatGLM2-6B에 LoRA를 얹은 구성에서 토큰당 1.61초를 보고했습니다. 초 단위 대화형 서비스로는 느리지만, 의료·법률의 단건 추론에는 쓸 만한 수준입니다. 즉 암호화 추론은 보장이 가장 강한 대신, 단발성·배치 작업에 현실적으로 한정됩니다.

신뢰 실행 환경

신뢰 실행 환경(Trusted Execution Environment, TEE)은 CPU나 GPU 안에 격리된 영역(enclave)을 만듭니다. 그 안의 코드와 데이터는 host OS·하이퍼바이저·클라우드 운영자·내부자로부터 가려집니다. 암호로 데이터를 가리는 동형 암호와 달리, TEE는 하드웨어가 메모리 접근 자체를 차단합니다. 대신 하드웨어 벤더를 신뢰해야 합니다.

핵심 장치는 원격 증명(remote attestation)입니다. '지금 실행 중인 코드는 측정값 X의 enclave다'를 암호학적 증거로 외부에 제시합니다. 이는 PIPA(개인정보 보호법)·GDPR·HIPAA 감사에서 '데이터가 새지 않았다'를 입증하는 근거가 됩니다.

TEE를 운영 1차 선택지로 만든 것은 성능입니다. CPU·GPU TEE를 Llama2 7B/13B/70B 추론으로 측정한 연구(arXiv:2509.18886)는 처리량 감소를 4~7%로 보고했습니다. 같은 워크로드에서 동형 암호 계열의 수백 % 오버헤드와 대비됩니다.

2023년 이후 NVIDIA H100·H200의 Confidential Computing 모드가 나오면서 70B급 GPU 추론까지 보호할 수 있게 됐습니다. 이 모드에서는 CPU와 GPU 사이 PCIe 트래픽이 암호화되고 GPU 메모리가 host로부터 격리됩니다(arXiv:2409.03992).

다만 TEE는 신뢰를 없애지 않고 옮깁니다. 신뢰의 대상은 하드웨어 벤더, microcode, 원격 증명 서비스, 부팅 측정 체인, 사이드채널 패치 상태로 늘어납니다. 사이드채널 위험이 남아 지속적인 패치가 필요하고, 하드웨어 키가 고전 암호 기반이라 양자내성도 약합니다. 동형 암호의 '암호 가정만 신뢰'와 비교하면 신뢰 범위가 넓지만, 그 대가로 대형 모델을 실시간으로 운영할 수 있습니다.

머신 언러닝과 잊힐 권리

잊힐 권리(RTBF)는 GDPR 제17조의 삭제권으로, 2014년 Google Spain 판결에서 확립됐습니다. 검색엔진은 인덱스에서 빼면 됩니다. 그런데 LLM은 학습 데이터가 가중치에 녹아 있어, 특정 데이터의 영향만 떼어내기가 본질적으로 어렵습니다(arXiv:2307.03941).

같은 논문은 RTBF 대응을 네 축으로 나눕니다. 차등 프라이버시(사전 통계 보호), 머신 언러닝(사후 영향 제거), 모델 편집(ROME·MEMIT으로 사실 단위 수정), 가드레일(입출력 단 차단)입니다. 어느 한 축으로 RTBF를 완성할 수 없다는 것이 결론입니다.

머신 언러닝(Machine Unlearning)은 학습이 끝난 모델에서 특정 데이터의 영향을 사후에 제거하는 기법군입니다. 알고리즘으로는 경사 상승(Gradient Ascent), NPO, RMU, 모델 편집 계열 등이 있습니다(arXiv:2503.01854). 평가용 벤치마크로는 TOFU(가상 인물 망각), WMDP(생물·사이버 위험 지식), RWKU(실존 인물 대상) 등이 쓰입니다.

문제는 검증입니다. 같은 survey는 어떤 방법도 완전한 잊음과 완전한 utility를 동시에 달성하지 못한다고 정리합니다. 검증을 다룬 survey(arXiv:2506.15115)는 암호학적 수준의 삭제 보장이 사실상 부재하다고 봅니다. 현실의 최선은 behavioral·adversarial·parametric 검증을 함께 돌리고 audit log를 남기는 정도입니다.

조합 설계

네 기술을 한 표로 비교하면 선택 기준이 분명해집니다.

기술보호 단계신뢰 가정오버헤드보장 형태
차등 프라이버시학습수학적(통계)학습 비용 증가, utility 하락(ε, δ) 증명
동형 암호·다자간 계산추론암호 가정(LWE 등)평문 대비 100~1000배수학적
신뢰 실행 환경추론벤더 + 원격 증명 체인처리량 4~7% 감소증명 증거
머신 언러닝배포 후방법별로 상이재학습·편집 비용검증 미확립

표를 보면 보호 단계가 겹치지 않습니다. 학습 데이터 추출은 DP로, 추론 노출은 TEE나 동형 암호로, 사후 삭제 요청은 언러닝으로 막습니다. 한 단계만 가리면 나머지 단계가 그대로 뚫립니다.

운영에서는 보통 TEE를 1차로 깔고, 가장 민감한 단발 연산만 동형 암호나 다자간 계산으로 보강합니다. IACR ePrint 2026/105 survey도 같은 방향을 권합니다. 신뢰를 점진적으로 줄이는 경로로, 지금은 TEE 기반 운영, 다음은 암호 보강 설계, 장기적으로는 동형 암호를 둡니다. 학습 단계에 DP를, 삭제 요청에 언러닝과 가드레일을 더하면 단계별 빈틈이 줄어듭니다.

정리

차등 프라이버시·동형 암호·신뢰 실행 환경·머신 언러닝은 같은 프라이버시 위협을 학습·추론·배포 후라는 서로 다른 단계에서 막습니다. 신뢰를 어디에 두는지도 제각각입니다. DP와 동형 암호는 수학적 가정에, TEE는 하드웨어 벤더와 원격 증명 체인에, 언러닝은 아직 확립되지 않은 검증 절차에 신뢰를 둡니다. 보장이 강할수록 비용이 크고, 비용이 낮을수록 신뢰 범위가 넓어지는 교환 관계가 공통으로 나타납니다.

그래서 어느 하나로 프라이버시를 끝낼 수 없고, 단계별로 다른 기술을 겹쳐 빈틈을 메우는 조합 설계가 현실적인 답입니다. 운영 기준으로는 추론 보호에 TEE를 깔고, 학습 단계에 DP, 사후 요청에 언러닝과 가드레일을 더합니다. 그 위에 가장 민감한 연산만 암호화 추론으로 보강하면 됩니다.