망분리 원칙
일부 네트워크에는 인터넷이 없습니다. 정책 때문이 아니라 — 설계상 그렇습니다.
SCIF(기밀 구획 정보 시설)는 패러데이 차폐 공간입니다. 무선 신호가 들어오거나 나가지 않습니다. ITAR(국제 무기 거래 규정)은 승인되지 않은 당사자에게 규제 대상 기술 내용 전송을 금지합니다. 클라우드 제공업체는 ITAR 승인을 받지 않았습니다. 이런 기관들에게 "클라우드 SaaS"는 관리해야 할 위험이 아닙니다.
이런 사이트에서 클라우드 도구는 작동하지 않습니다. 단적으로.
라이브 네트워크 연결이 필요한 도구는 여기서 실행될 수 없습니다. 라이선스 서버를 호출하는 도구는 차단됩니다. 탐지를 위해 클라우드 API로 파일을 전송하는 도구는 SCIF 내부에서 기능할 수 없습니다. 이것들은 예외적인 상황이 아닙니다. 방산팀의 일상적인 제약 조건입니다.
ITAR 사례
방산 기업의 데이터 과학자가 ITAR 적용 대상 인사 기록을 보유하고 있습니다. 파일을 공유하기 전에 이름과 ID를 제거해야 합니다. 네트워크는 망분리되어 있습니다.
클라우드 해결책이 없습니다. 유일한 방법은 로컬 기기에서 실행되는 도구입니다. 모델을 로컬에 저장해야 합니다. 외부 호출 없이 정제된 출력물을 생성해야 합니다.
Tauri 2.0 기반 데스크톱 앱이 이를 수행합니다. 설치 후 실행 중에 네트워크 호출이 발생하지 않습니다. spaCy NER 모델과 정규식 패턴이 모두 로컬 CPU에서 실행됩니다. 사용자가 내보내기 전까지 출력물이 기기에 머뭅니다.
가역성이 중요한 이유
기밀 업무에서는 가역적 가명화가 필요한 경우가 많습니다. 팀이 실제 이름을 코드로 교체합니다. 기록을 유용하게 유지합니다. 실제 신원을 보호합니다.
GDPR 제4조 제5항은 가명화를 공식적인 개인정보 보호 수단으로 정의합니다. 위험을 낮춥니다. 가명화된 기록은 조회 토큰이 데이터셋과 별도로 저장된다면 법적 의무가 줄어듭니다.
IAPP 연구(2024)에 따르면 도구의 23%만이 진정한 가역성을 지원합니다. 대부분은 단방향 마스킹이나 전체 교체를 합니다. 기록이 덮어씌워지면 복구할 수 없습니다.
일부 정부 팀은 구획별로 업무를 분리합니다. 한 팀이 가명화된 파일을 받아 분석합니다. 두 번째 팀이 조회 토큰을 보관합니다. 법에서 요구할 때만 기록을 재식별합니다. 이 분리 설계가 다중 팀 기밀 워크플로에서 유일하게 안전한 접근 방식입니다.
제로 지식 모델은 한 단계 더 나아갑니다. 조회 토큰이 클라이언트 기기에서 생성됩니다. 외부로 전송되지 않습니다. 벤더가 소환장을 받더라도 토큰을 제출할 수 없습니다. 애초에 갖고 있지 않기 때문입니다. 이는 많은 기밀 환경에서 증거 관리 연속성 규정을 충족합니다.
EDPB 토큰 분리
EDPB 가이드라인 05/2022는 가명화 토큰을 별도로 보관해야 한다고 명시합니다. 가명화된 기록을 보유한 당사자와 같은 곳에 있어서는 안 됩니다. 또는 그 당사자가 기록과 토큰을 동시에 읽지 못하도록 하는 통제 수단으로 잠겨 있어야 합니다.
세 가지를 함께 갖추면 이 요건을 충족합니다:
- 클라이언트 기기에서 생성된 토큰 — 외부로 전송되지 않음
- 모든 처리가 로컬에서 완료 — 망분리 사이트를 벗어나지 않음
- 출력물과 토큰을 별도로 내보냄 — 두 개의 분리된 파일, 두 개의 분리된 경로
이 설계는 EDPB 요건과 망분리 제약을 동시에 충족합니다.
전체 그림을 보려면, 보안 개요에서 로컬 처리가 제3자 체인을 어떻게 끊는지 확인하세요. 컴플라이언스 가이드는 GDPR 전송 규정을 다룹니다. 설정 도움말은 FAQ를 참고하세요.
anonym.legal 데스크톱 앱은 모든 PII 탐지를 로컬 기기에서 실행합니다. 설치 후 인터넷이 필요 없습니다. Windows, macOS, Linux를 지원합니다. 번들된 NLP 모델은 24개 언어를 지원합니다.
2026년 업데이트