1,357개 유해 항목이 입력에 들어 있어도 과업 자체는 무해할 수 있다. 이번 arXiv 논문은 그 경계를 다룬다. 사용자가 가져온 위험한 텍스트를 요약·번역·분류해 달라고 할 때, LLM이 과업 단위로만 판단할지, 아니면 콘텐츠 자체를 보고 멈출지를 묻는다. 이 질문이 중요한 이유도 분명하다. 실제 제품에서는 “폭탄 만드는 법을 알려줘”보다 “이 문서를 번역해줘” 같은 요청이 더 자주 들어올 수 있기 때문이다.

세 줄 요약

• 이 글의 핵심 쟁점은 ‘무해한 작업’ 안에 들어온 유해 콘텐츠를 LLM이 어디까지 처리해야 하느냐다. 논문은 10개 유해 범주, 1,357개 항목, 9개 무해 과업, 9개 LLM이라는 설정으로 이 경계를 시험했다.
• 이 문제가 중요한 이유는 안전 실패가 노골적인 유해 요청에서만 나오지 않기 때문이다. 요약·번역·분류 같은 일상 과업에서도 오탐과 미탐의 비용이 함께 커진다.
• 독자는 제품 정책을 과업 기준과 콘텐츠 기준으로 나눠 점검할 필요가 있다. “사용자 제공 텍스트의 제한적 변환은 허용하되, 새 유해 정보를 추가·추론·정교화하지 않는다”는 규칙부터 프롬프트와 모더레이션에 넣는 방법을 검토할 수 있다.

현황

논문 발췌에 따르면 저자들은 기존 정렬이 주로 과업 수준에 집중했다고 본다. 즉, 모델이 직접적인 유해 요청을 거부하는 데 초점이 맞춰져 있었다는 문제의식이다. 반면 이번 연구는 사용자 제공 자료 안에 유해 내용이 섞여 있을 때도 별도의 판단이 필요하다고 본다. 과업이 무해해 보여도 입력 콘텐츠는 무해하지 않을 수 있다는 뜻이다.

검색으로 확인된 실험 설정은 구체적이다. 저자들은 먼저 10개 유해 범주에 걸친 1,357개 항목의 유해 지식 데이터셋을 만들었다. 그다음 사용자 제공 콘텐츠 의존도에 따라 extensive, moderate, limited의 3개 범주로 묶인 9개 무해 과업 위에서 9개 LLM을 평가했다. 다만 이 3개 범주의 세부 판정 기준, 9개 과업의 개별 이름, 9개 모델의 전체 목록은 이번 조사 범위에서 확인되지 않았다.

이 논문은 질문의 축을 바꾼다. 기존 안전 논의는 “이 요청은 해로운가”에 가까웠다. 이번 논문은 “이 요청은 무해해 보여도, 입력 자료를 처리하는 행위가 해를 다시 퍼뜨리거나 더 구체화하는가”를 묻는다. 같은 번역 요청이라도 사용자가 붙여 넣은 텍스트가 위험 지침인지, 혐오 선동문인지, 자해 유도 문구인지에 따라 판단이 달라질 수 있다는 얘기다.

이 지점은 다른 평가 연구와도 이어진다. PHTest 논문은 20개 LLM 평가에서 false refusal, 즉 무해한 요청을 잘못 거부하는 문제와 jailbreak 저항성 사이에 trade-off가 있다고 밝혔다. 또 safe-completion 보고서는 전통적 hard refusal보다 benign·dual-use에서 비슷한 안전성을 유지하면서 helpfulness를 높이고, dual-use 안전성은 개선할 수 있다고 설명한다. 많이 거부하는 모델이 늘 더 안전한 것은 아니고, 잘 도와주는 모델이 늘 더 위험한 것도 아니라는 뜻이다.

분석

의사결정 관점에서 이 논문이 던지는 메시지는 비교적 분명하다. 사용자가 직접 제공한 텍스트를 기계적으로 변환만 해 달라고 요청한다면, 모델은 무조건 거부하기보다 “제한적 처리”와 “유해한 확장 금지”를 구분할 필요가 있다. 반대로 모델이 입력 문서의 빈칸을 유추해 채우거나, 요약 과정에서 핵심 절차를 다시 짜거나, 번역 과정에서 더 분명한 실행 단계를 덧붙인다면, 그 순간 단순 변환이 아니라 위험 증폭이 된다. 이 경계는 얇다. 제품팀이 과업 이름만 보고 정책을 짜면 놓치기 쉽다.

트레이드오프도 분명하다. 거부 경계를 보수적으로 잡으면 오탐이 늘어난다. 예를 들어 연구자, 기자, 신뢰·안전팀처럼 유해 텍스트를 분석해야 하는 사용자까지 막을 수 있다. 반대로 경계를 느슨하게 잡으면 미탐이 늘어난다. 유해 원문을 “분석”한다는 명목으로 재가공해 더 읽기 쉽고 실행하기 쉽게 만들 위험이 생긴다. 게다가 이번 논문은 문제 제기는 분명하지만, 검색으로 확인된 범위에서는 세부 판정 규칙과 과업별 결과표가 충분히 드러나지 않았다. 따라서 이 연구 하나만으로 제품 정책의 답을 정하기보다는, 내부 로그와 레드팀 테스트로 경계를 다시 점검할 필요가 있다.

실전 적용

실무에서는 정책 문구부터 손볼 필요가 있다. “유해 요청은 거부한다”만으로는 부족하다. 더 구체적인 문구는 이렇다. 사용자가 직접 제공한 텍스트에 대해서는 번역·요약·분류·포맷 변환 같은 제한적 처리를 허용하되, 새로운 유해 세부정보를 추가하지 않고, 누락된 단계도 추론해 보충하지 않고, 실행 가능성을 높이는 재구성도 하지 않는다. 이 원칙은 프롬프트, 보상 모델, 모더레이션 규칙이 같은 문장을 공유할 때 일관성을 높일 수 있다.

운영 설계도 과업 중심에서 입력 중심으로 옮길 필요가 있다. 먼저 입력에 유해 묘사나 요청이 있는지 분류기로 본다. 그다음 과업이 단순 변환인지, 의미 압축인지, 재작성인지 나눈다. 마지막으로 고위험 조합은 인간 검토나 추가 제한으로 넘긴다. OpenAI와 Anthropic의 공개 자료도 비슷한 방향을 제시한다. 자동 분류기, 규칙, 인간 검토를 함께 쓰는 다층 모더레이션이다.

오늘 바로 할 일 체크리스트:

• 현재 서비스의 요약·번역·분류 프롬프트에 “사용자 제공 유해 텍스트는 변환만 하고 보강하지 않는다”는 문장을 넣어라.
• 거부 로그를 다시 분류해 false refusal 사례와 실제 미탐 사례를 따로 집계하라.
• 고위험 입력에 대해 분류기, 규칙, 인간 검토 중 무엇이 마지막 차단선인지 운영 문서에 한 줄로 명시하라.

예: 신뢰·안전팀이 혐오 게시물 묶음을 올리고 “핵심 주장만 중립적으로 분류해줘”라고 요청하는 경우가 있다. 이때 모델은 분류는 수행하되 선동 문구를 더 매끄럽게 재작성하면 안 된다. 반대로 폭력 지침이 담긴 문서를 올리고 “누락된 단계를 채워 한국어로 정리해줘”라고 하면, 과업 이름이 번역이나 정리여도 거부하는 편이 맞다.

FAQ

Q. 사용자 제공 텍스트라면 유해해도 항상 처리해도 됩니까?
아닙니다. 공개 자료 기준으로는 사용자가 직접 제공한 콘텐츠의 제한적 변환·분석은 허용될 수 있지만, 새로운 유해 정보의 추가, 추론, 정교화는 금지하는 방향이 제시됩니다.

Q. 더 많이 거부하는 모델이 더 안전한 모델입니까?
그렇게 단정할 수는 없습니다. 확인된 연구들은 false refusal을 줄이는 것과 jailbreak 저항성을 높이는 것 사이에 trade-off가 있다고 말합니다. 즉, 거부가 많다는 사실만으로 안전성을 평가하기는 어렵습니다.

Q. 제품팀은 어디서부터 테스트해야 합니까?
요약, 번역, 분류처럼 겉으로는 무해한 과업부터 시작하시면 됩니다. 사용자 제공 유해 문서를 넣었을 때 모델이 원문을 단순 변환하는지, 아니면 실행 가능성을 높이도록 보강하는지부터 점검하시면 됩니다.

결론

이 논문이 겨냥한 것은 “유해 요청 거부”보다 한 단계 더 현실적인 문제다. 앞으로의 안전성 평가는 과업이 무해한지뿐 아니라, 입력 콘텐츠를 처리하는 방식이 해를 줄이는지 키우는지도 함께 물어야 한다.

다음으로 읽기

• AI 자료 모음 (24h) - 2026-03-14
• AI 자료 모음 (24h) - 2026-03-13
• ARROW로 본 지속학습 RL
• 멀티에이전트 조정의 동역학
• 중영 번역 자동평가의 한계

참고 자료

• From Hard Refusals to Safe-Completions: Toward Output-Centric Safety Training - cdn.openai.com
• Model Spec (2025/09/12) - model-spec.openai.com
• Transparency & content moderation | OpenAI - openai.com
• Rule Based Rewards for Language Model Safety - cdn.openai.com
• Content moderation - Anthropic - docs.anthropic.com
• arxiv.org - arxiv.org
• Automatic Pseudo-Harmful Prompt Generation for Evaluating False Refusals in Large Language Models - arxiv.org