당신의 데이터. 당신의 키. 당신의 규칙.
이 생태계의 모든 제품은 단일 아키텍처 약속에 기반합니다: 당신의 데이터, 당신의 키, 당신의 통제. 당신의 비밀번호는 절대 장치를 떠나지 않습니다. 당신의 문서는 절대 저장되지 않습니다. 당신의 암호화 키는 오직 당신만의 것입니다. 어떤 미국 클라우드 법도, 어떤 공급업체의 소환장도, 어떤 데이터 브로커도 — 공유되지 않은 것을 접근할 수 없습니다.
배경
28년 동안 기술, 보안 및 조직 준수의 교차점에서 일해왔습니다. 1998년에 curta.solutions를 설립했습니다. 그 이후로 26개국의 규제 기관에 걸쳐 — 금융 서비스, 의료, 법률, 정부, 제조업 및 기술 분야에서 — IT 아키텍처, 보안, 디지털 전환 및 준수의 파트너로 활동해왔습니다.
제가 28년 동안 관찰한 것은 느린 진화가 아닙니다. 그것은 느린 속도의 위기입니다 — 생성적 AI의 도래와 겹치는 개인 정보 보호 규정의 세계적 확산으로 인해 정점에 도달했습니다.
나의 확신
모든 개인, 조직 및 기관은 선택적으로 정보를 공유할 권리가 있다고 믿습니다 — 규제 기관에 대해 규제 기관이 볼 수 있는 권리가 있는 것만 공개하고, 파트너와는 명시적으로 승인된 데이터에 대해서만 협력하며, 상업 및 공공 생활에 참여하면서 개인적으로 남아 있어야 할 것을 포기하지 않아야 합니다.
이 권리는 모든 사람이 실질적으로 행사할 수 있어야 한다고 믿습니다 — 준수 부서와 기업 소프트웨어 예산이 있는 조직만이 아니라. 개인 정보 보호는 규모의 특권이 될 수 없습니다.
미국 법이 지구상의 어떤 미국 회사가 보유한 데이터에 도달할 수 있는 세상에서, 그리고 77%의 직원이 자신이 통제하지 않는 AI 도구에 민감한 데이터를 입력하는 세상에서, 의미 있는 개인 정보 보호 보장을 제공할 수 있는 유일한 아키텍처는 데이터가 처음부터 사용자의 통제를 벗어나지 않는 것입니다. 계약적 보장도, 개인 정보 보호 정책도 아닙니다. 기술 아키텍처입니다.
제로 지식 인증. 로컬 우선 처리. 키가 사용자에게 속하는 가역적 암호화. 오프라인 가능 운영. EU 관할권, 예외 없음. 이것들은 제품 기능이 아닙니다. 개인 데이터를 보호한다고 주장하는 모든 도구의 최소 기준입니다.
그리고 저는 세계에서 가장 민감한 정보를 처리하는 조직 내에서 28년 동안 일한 것이 — 규제 의도와 기술 현실 사이의 격차가 넓어지는 것을 지켜본 28년이 — 제가 이 생태계가 여전히 부족한 것을 시작할 이해와 책임을 부여했다고 믿습니다. 비전을 정의하고, 올바른 팀을 구성하고, 문제의 요구를 충족하는 기준으로 구축되도록 보장합니다.
개인 정보를 익명화할 권리는 기술적 기능이 아닙니다. 기본적인 권리입니다. 그리고 실질적으로 행사할 수 없는 권리는 전혀 권리가 아닙니다.
내가 관찰한 문제들
규제의 단편화: 너무 많은 규칙, 공통 언어 없음
전 세계적으로 운영되는 중간 규모 조직은 동시에 48개 이상의 국가 및 지역 개인 정보 보호 법률을 탐색해야 합니다 — GDPR, UK GDPR, CCPA, LGPD, PDPA, PIPL, DPDPA, APPI, PIPEDA 및 수십 개 더. EU 내 24개의 국가 DPA가 원칙적으로 일관되지만 실제로는 다르게 작용하는 구속력 있는 지침을 발행합니다. 독일 BfDI를 만족시키는 것이 자동으로 프랑스 CNIL, 아일랜드 DPC 또는 네덜란드 AP를 만족시키지는 않습니다. 부문별 레이어링 — HIPAA, PCI-DSS, NIS2, AI 법안 —은 서로 조화되지 않는 요구 사항을 추가합니다.
결과는 준수 프레임워크가 아닙니다. 그것은 48개의 서로 다른 과녁을 가진 움직이는 목표입니다.
종이 괴물: 아무도 읽지 않는 계약, 아무도 검증하지 않는 통제
조직은 수백 개의 하위 프로세서와 데이터 처리 계약을 유지하며, 표준 계약 조항은 전송 관계당 30페이지 이상에 달하고, 처리 활동 기록, DPIA, TIA, LIA — 각 문서는 대부분의 법률 팀이 독립적으로 검증할 수 없는 기술적 입력을 요구합니다. 실제로: 조직은 서명해야 할 것을 서명하고, 제출해야 할 것을 제출하며, 기술적 현실이 계약 설명과 일치하기를 희망합니다. 종이 괴물은 준수의 외관을 생성합니다. 그것은 그 본질을 생성하지 않습니다.
기술적 불충분: 도구가 의무에 맞지 않음
생성적 AI 기반 PII 탐지는 비결정적입니다. 동일한 문서를 두 번 처리하면 다른 결과가 나옵니다. 준수와 근본적으로 호환되지 않으며 — 특정 데이터가 탐지되고 올바르게 처리되었음을 재현 가능하고 검증 가능하게 입증해야 합니다.
Microsoft Presidio, spaCy, Stanza — 엔지니어링 플랫폼, 준수 도구가 아닙니다. 프로덕션에 배포하려면 모든 엔티티 유형 및 언어에 대해 사용자 정의 인식기를 작성하고, 전후 처리 파이프라인을 구축하고, 문서 형식과 통합하며, 규정이 진화함에 따라 모든 것을 유지해야 합니다. 일반적으로 단일 문서가 처리되기 전에 30–80시간의 전문 엔지니어링 시간이 필요합니다. 대부분의 조직은 내부에 그런 전문 지식이 없습니다.
스웨덴 고용 계약의 개인 번호, 독일 세금 양식의 Steuer-ID, 폴란드 보험 문서의 PESEL, 이탈리아 송장의 Codice Fiscale — 각 문서는 단순한 언어 감지뿐만 아니라 문서 유형 인식이 필요합니다. 주로 영어로 훈련된 언어 모델은 비영어 텍스트에서 69%의 PII 누락률을 생성합니다. 법은 언어에 따라 구별하지 않습니다.
Microsoft Purview, AWS Macie, Google Cloud DLP — 비쌉니다, 클라우드 연결이 필요하며, 조직을 잠금합니다. 더 심각하게: 모두 미국 본사입니다. 2018년 CLOUD 법은 유효한 미국 정부 요청에 따라 전 세계 어디에서나 데이터를 공개하도록 의무화합니다. FISA 섹션 702는 개인 영장 없이 정보 수집을 가능하게 합니다. Schrems II는 바로 이 이유로 EU-US 개인 정보 보호 쉴드를 무효화했습니다. 미국 클라우드 제공업체와의 6자리 연간 계약은 GDPR 준수 데이터 처리를 생성하지 않습니다.
통제되지 않는 AI 문제: 시장은 답이 없음
77%의 직원이 최소 주 1회 AI 도구와 민감한 업무 정보를 공유합니다. 모든 AI 도구 입력의 34.8%는 최소한 하나의 개인 정보 보호 프레임워크에 따라 민감한 정보로 분류됩니다. 직원들은 계약을 작성하고, 메모를 요약하고, 스프레드시트를 분석하기 위해 ChatGPT, Copilot, Claude, Gemini를 사용합니다 — 지속적으로, 자동으로, 자신이 무엇을 프롬프트에 붙여넣고 있는지 인식하지 못한 채로.
전통적인 DLP 시스템은 자연어 프롬프트의 의미적 내용을 이해할 수 없습니다. 그들은 AI에게 코드 패턴을 설명해달라고 요청하는 개발자와 같은 창을 통해 50,000개의 레코드 프로덕션 데이터베이스를 붙여넣는 개발자를 구별할 수 없습니다. AI 모델은 모든 것을 처리합니다. 그들은 보호를 제공하지 않으며, 경고도 없고, DPO가 의존할 수 있는 감사 추적도 없습니다.
부재한 것은 정책을 실제로 집행 가능하게 만드는 기술적 레이어입니다. 그 레이어는 중간 규모 조직이 감당할 수 있는 어떤 가격대에서도 시장에 존재하지 않으며, 직원들이 실제로 사용하는 AI 도구에서 작동하는 어떤 형태로도 존재하지 않습니다. 이것은 이 생태계가 닫기 위해 구축된 격차 중 하나입니다.
접근성 격차: 규모의 특권으로서의 준수
개인 개업자, 지역 사회 조직, 소규모 공공 기관, 연구 기관 — 각자는 글로벌 은행과 동일한 GDPR, 동일한 삭제 권리, 동일한 위반 통지 의무의 적용을 받지만 — 이를 적절하게 구현할 법률 팀, 엔지니어링 자원 또는 기업 소프트웨어 예산이 없습니다. 준수 생태계는 대규모 조직에 적절하게, 비싸게 서비스를 제공했습니다. 그것은 모든 다른 사람에게는 의무와 이를 충족할 실질적인 수단이 없는 상태로 서비스를 제공했습니다.
생태계 반응 — 하나의 플랫폼, 여러 표현
우산 플랫폼 및 주요 접근 지점. 하이브리드 이중 레이어 PII 탐지 (260개 이상의 엔티티, 48개 언어, 121개 준수 프리셋) 모든 배포 모델 — SaaS, 관리형 프라이빗 클라우드 및 자가 관리. 모든 파생 제품은 동일한 탐지 엔진과 동일한 창립 원칙을 공유합니다: 사용자의 손에 권한을.
기업 에어갭 에디션. 390개 이상의 엔티티, 317개 사용자 정의 정규 표현식 패턴, 100% 오프라인 처리, 37개 언어의 이미지 OCR. 클라우드 의존성 없음 — 데이터는 절대 장치를 떠나지 않습니다.
가장 넓은 접근을 가진 클라우드 우선 PII 플랫폼. 실시간 AI 가로막기를 위한 Chrome 확장, MCP 서버, Office 추가 기능, 가역적 암호화. 무료에서 €29/월 — 모든 예산을 위한 준수.
데스크탑 우선, 완전히 로컬. Presidio 사이드카 장치 내, 7개 문서 형식 + OCR, 배치 처리, 암호화된 금고. 일회성 영구 라이센스 — 구독 없음, 클라우드 없음, 활성화 후 완전히 오프라인.
즉각적인 공개 데모 플랫폼. 계정 필요 없음 — 텍스트를 붙여넣고 즉시 익명화하여 엔진 작동을 확인하세요. 생태계가 하는 일을 경험하는 가장 빠른 방법입니다.
우산 플랫폼 — SaaS · 관리형 프라이빗 · 자가 관리 · 3개 배포 모델
- //조직은 67%의 개발자가 코드에서 비밀을 우연히 노출했다고 보고합니다 — 결정론적 정규 표현식은 NLP가 놓치는 것을 잡고 그 반대도 마찬가지입니다.
- //일반 목적 AI 탐지는 비영어 텍스트에서 69%의 누락률을 달성합니다 — spaCy + XLM-RoBERTa의 이중 레이어는 모든 48개 언어에서 격차를 메웁니다.
- //팀 간의 불일치하는 삭제는 #1로 인용되는 ICO 및 DPA 감사 결과입니다 — 프리셋은 모든 사용자, 모든 세션에서 동일한 탐지 행동을 강제합니다.
- //2024년 데이터 유출의 95%는 인적 오류와 관련이 있습니다 — 공유 프리셋은 변동을 초래하는 개인별 구성 결정을 제거합니다.
- //다중 공급업체 PII 스택은 감사 추적의 격차를 만듭니다 — 3개 이상의 PII 도구를 사용하는 60% 이상의 조직이 도구 간 조정 실패를 보고합니다.
- //형식 단편화: 조직은 PDF, DOCX, XLSX, CSV, JSON을 동시에 처리합니다 — 각 형식은 이전에 별도의 접근 방식, 별도의 도구, 별도의 감사 기록이 필요했습니다.
- //기업 PII 도구의 비용은 연간 $50,000–$500,000입니다 — 비용 제약이 있는 조직은 역사적으로 전혀 옵션이 없었습니다.
- //CLOUD 법 + FISA 섹션 702는 미국 호스팅 "GDPR 준수" 처리가 계약적 허구임을 의미합니다 — EU 전용 호스팅은 이 노출을 완전히 제거합니다.
기업 에어갭 — 390개 이상의 엔티티 · 317개 사용자 정의 정규 표현식 · 100% 오프라인 · 이미지 OCR
- //산업별 PII — 원자력 시설 코드, 군 복무 번호, 독점 내부 ID — 어떤 상업적 도구로도 커버되지 않으며; 사용자 정의 인식기는 원시 Presidio에서 몇 주의 전문 엔지니어링을 요구합니다.
- //범위 불완전성은 탐지 한계입니다: 어떤 일반 도구도 모든 PII 유형, 모든 언어, 모든 형식을 커버하지 않습니다 — 317개의 큐레이션된 패턴이 기본적으로 제공되는 프레임워크가 놓치는 격차를 메웁니다.
- //공급업체 역설: PII를 보호하려면 공급업체와 공유해야 합니다. 클라우드 처리는 프로세서를 신뢰해야 하며 — 가장 민감한 데이터를 처리하는 조직에 대한 아키텍처적 모순입니다.
- //에어갭 환경(방어, 정보, 중요 인프라, 연구실)은 어떤 가격에서도 클라우드 의존 도구를 사용할 수 없습니다 — 오프라인 우선은 아키텍처적 장벽을 완전히 제거합니다.
- //Microsoft Purview는 JPEG/PNG를 스캔할 수 없습니다 — 스크린샷 내 텍스트 PII는 설계상 기업 DLP 스택에 완전히 보이지 않습니다.
- //SparkCat 맬웨어(iOS/Android, 2025년 12월)는 OCR을 사용하여 스크린샷에서 암호 지갑 복구 구문을 훔쳤습니다 — 이미지 기반 텍스트 PII는 이론적 위험이 아닌 활성 공격 대상입니다.
- //2022년과 2024년 사이에 클라우드 기반 데이터 유출이 300% 증가했습니다 — 제로 지식은 우리의 서버가 노출되는 것을 의미하지 않습니다, 왜냐하면 아무것도 저장되지 않기 때문입니다.
- //ISO 27001:2022 인증을 받았으며 정기적인 풀 스택 침투 테스트를 수행합니다 — 규제된 조달이 요구하는 보안 태세는 문서화되고, 검증되며, 독립적으로 감사됩니다.
클라우드 PII 플랫폼 — 무료에서 €29/월 · Chrome 확장 · MCP 서버 · Office 추가 기능
- //모든 LLM 프롬프트의 8.5%가 PII를 포함합니다 — 제출 전에 실시간으로 가로막는 것이 유일한 예방책입니다; 사후 탐지는 유일한 중요한 창을 놓칩니다.
- //전통적인 DLP는 데이터가 조직을 떠난 후에 작동합니다 — Chrome 확장은 입력 지점에서 가로막아, 어떤 모델이든 민감한 콘텐츠를 수신하거나 처리하기 전에.
- //생성적 AI 탐지는 비결정적입니다 — 동일한 문서가 다른 실행에서 다른 결과를 생성합니다; 어떤 확률적 시스템도 규제 방어의 기초가 될 수 없습니다.
- //Presidio만으로는 맥락 의존 엔티티를 놓치고; XLM-RoBERTa만으로는 공식 법률 언어에서 잘못된 긍정 결과를 생성합니다 — 세 번째 스탠스 분류 레이어는 준수 팀이 자동화 도구를 신뢰하지 못하게 만드는 잘못된 긍정 결과를 제거합니다.
- //법적 발견, 의료 기록 접근 요청, 규제 감사 — 익명화된 데이터는 때때로 승인된 당사자에 의해 비익명화되어야 하며 오직 그들에 의해서만; 비가역적 방법은 이를 불가능하게 만듭니다.
- //사용자의 세션 키는 그들의 장치를 떠나지 않습니다 — 우리의 서버도, 어떤 클라우드도, 어떤 하위 프로세서도 아닙니다. 비익명화의 권리는 우리에게가 아니라 사용자에게 있습니다.
- //개인 개업자는 글로벌 은행과 동일한 GDPR 삭제 권리 의무를 지니고 있지만 — 준수 부서나 €500K/년 기업 소프트웨어 예산이 없습니다.
- //764개의 EU 조직이 동시에 삭제 권리 실패에 대한 조사를 받고 있습니다 — 그들이 위반할 의도가 있었던 것이 아니라; 준수할 도구가 그들의 범위를 넘어 가격이 책정되었기 때문입니다.
데스크탑 우선 · 100% 로컬 처리 · 7개 문서 형식 + OCR · 일회성 라이센스
- //2022년과 2024년 사이에 클라우드 기반 데이터 유출이 300% 증가했습니다 — 클라우드에 들어가지 않는 데이터는 클라우드 유출에서 노출될 수 없습니다.
- //CLOUD 법 + FISA는 미국 호스팅 처리의 법적 불확실성을 EU 조직에 제공합니다 — 로컬 처리는 어떤 전송도 발생하지 않도록 보장하여 전체 국경 간 전송 문제를 제거합니다.
- //형식 단편화는 조직이 여러 도구를 유지하도록 강요합니다 — 각 도구는 별도의 탐지 정책, 별도의 감사 기록, 별도의 실패 모드를 생성합니다.
- //로그 파일은 간과된 PII 표면입니다 — 개발자는 데이터베이스에 집중하지만 로그에는 API 키, 사용자 ID, IP 주소가 포함되어 있습니다; CSV와 JSON은 구조화된 문서와 함께 기본적으로 지원됩니다.
- //에어갭 생산 환경 — 제조 현장, 정부 보안 시설, 연구실 — 네트워크 접근을 요구하는 라이센스 검사를 용납할 수 없습니다; 일회성 활성화 후 완전히 오프라인 작동이 유일한 실행 가능한 아키텍처입니다.
- //반복적인 라이센스 없이 영구 라이센스: 사용자는 자신의 설치를 소유합니다; 공급업체 구독 취소는 중요한 처리 순간에 도구를 비활성화할 수 없습니다.
- //dbt 파이프라인 재구성이 CSV/JSON 데이터의 마스킹 정책을 파괴합니다 — EDPB 2024는 이것이 GDPR 제5조(1)(a)를 위반한다고 명확히 합니다; 암호화된 기록이 있는 금고 저장은 처리된 모든 파일이 감사 가능하고 복구 가능한 기록을 갖도록 합니다.
- //GDPR 삭제 권리 준수를 위해 수천 개의 레거시 문서를 처리하는 조직은 배치 기능이 필요합니다 — 5파일/일의 SaaS 한도가 작업을 운영적으로 불가능하게 만듭니다.
문제의 규모
이들은 이상치 실패가 아닙니다. 이들은 자신의 인프라를 초과한 준수 환경의 체계적 결과입니다.