37.8%다. 멀티 에이전트 시스템의 프라이버시 평가에서 보고된 유출률은, 에이전트가 “답변”을 넘어 “행동”에 들어갈 때 프라이버시 문제가 어디에서 생기는지 드러낸다. 데이터베이스를 조회하고, 문서를 검색하고, 외부 API를 호출하고, 과거 대화를 기억하는 순간 공격면이 넓어진다. 이번 논의의 핵심은 모델이 무엇을 학습했는지가 아니다. 에이전트가 실행 중 어떤 데이터 흐름과 권한을 갖느냐다.

세 줄 요약

• 이 글의 핵심 쟁점은 LLM 에이전트의 프라이버시 리스크를 학습 데이터 노출이 아니라 데이터베이스 조회, 문서 검색, 외부 API 호출, 장기 메모리, 실행 로그 같은 운영 단계의 데이터 표면으로 봐야 한다는 점이다.
• 이 점이 중요한 이유는 에이전트가 사용자 대신 행동하고 세션을 넘겨 상태를 유지할수록, 단일 챗봇보다 유출 경로가 늘고 피해 범위도 커질 수 있기 때문이다.
• 독자는 에이전트 설계를 검토할 때 “어떤 데이터가 어디로 흐르는가, 누가 읽고 쓰는가, 무엇이 로그에 남는가”를 먼저 표로 정리한 뒤, 최소화·격리·감사 순서로 통제를 넣어야 한다.

현황

arXiv에 공개된 “Agents That Know Too Much: A Data-Centric Survey of Privacy in LLM Agents”의 발췌문은 문제를 간단히 요약한다. LLM 에이전트는 데이터베이스를 질의하고, 문서 컬렉션을 검색하고, 외부 API를 호출하고, 과거 상호작용을 기억하며, 사용자를 대신해 행동한다. 프라이버시가 어려워지는 이유도 같은 문장 안에 있다. 데이터 소스가 여럿이고, 작업은 여러 단계를 거치며, 상태는 세션 사이에 남고, 권한은 위임되기 때문이다.

여기서 핵심은 이 서베이가 에이전트를 공격 유형보다 데이터 표면 중심으로 본다는 점이다. 조사 결과에 따르면 메모리형 에이전트는 “remember past interactions”라는 표면으로, 툴사용 에이전트는 데이터베이스·문서 검색·외부 API 호출이라는 표면으로 읽는 편이 맞다. 다만 검색 결과만으로는 저자들이 이 둘을 공식 범주명으로 정의했는지는 확인되지 않았다. 이 차이는 작지 않다. 위협 모델을 기능 이름으로 짜면 놓치는 구간이 생길 수 있다. 반면 데이터 흐름으로 짜면 로그·캐시·재주입 단계까지 함께 보게 된다.

실무 쪽 신호도 비슷하다. 조사 결과에 따르면 민감정보 최소화는 모델 제공자에게 요청이 가기 전에 PII나 비밀정보를 자동 탐지·치환하고, 같은 치환본을 추적 로그에도 남기는 방식으로 구현할 수 있다. 권한 분리는 메모리를 사용자별 namespace로 나누거나 읽기 전용과 쓰기 가능 메모리를 분리하는 식으로 구현된다. 감사 가능성은 에이전트 실행 중의 LLM 생성, 도구 호출, 핸드오프, 가드레일 이벤트를 audit log와 tracing으로 남기는 방식으로 설명된다.

분석

이 서베이의 가치는 프라이버시 논의를 모델 내부에서 시스템 외부로 옮긴다는 데 있다. 단일 챗봇의 시대에는 프롬프트와 응답, 학습 데이터와 추론 데이터가 주된 논점이었다. 에이전트의 시대에는 그 사이에 검색 인덱스, 세션 메모리, 툴 인자, 외부 서비스 응답, 실행 로그, 재시도 기록이 끼어든다. 에이전트가 장기 메모리를 통해 개인화를 강화한다면, 기억의 품질만 볼 일이 아니다. 저장 기간, 재주입 기준, 삭제 경로를 먼저 봐야 한다. 외부 API 호출로 자동화를 늘린다면, 답변 정확도보다 먼저 권한 범위와 실패 시 롤백을 설계해야 한다.

트레이드오프도 분명하다. 프라이버시 보호를 강하게 걸수록 개인화와 편의성은 떨어질 수 있다. PII를 넓게 치환하면 문맥이 잘려 검색 품질이 떨어질 수 있고, 메모리를 보수적으로 격리하면 연속 대화의 유용성이 줄 수 있다. 반대로 개인화를 위해 과거 상호작용을 넓게 저장하면 민감한 맥락이 다음 세션에 다시 나타날 위험이 커진다. 그래서 의사결정의 기준은 “더 많이 기억할수록 좋다”가 아니라 “기억하지 않아도 되는 것은 저장하지 않는다”가 돼야 한다. 프라이버시는 기능의 반대말이 아니다. 기능의 범위를 정하는 설계 규칙이다.

예: 고객지원 에이전트가 환불 이력과 배송 주소를 함께 읽고 외부 물류 API를 호출한다고 하자. 이때 편의성만 보면 장기 메모리에 최근 이슈를 저장하는 게 유리하다. 하지만 주소, 주문 메모, 상담 요약이 같은 메모리 공간에 섞여 들어가면 다음 상담이나 다른 툴 호출에서 불필요하게 재주입될 수 있다. 문제는 “기억했다”가 아니다. 왜 그 기억이 다음 작업에 필요했는가다.

실전 적용

개발자와 제품팀이 지금 해야 할 일은 새 보호 기술을 기다리는 것이 아니다. 먼저 에이전트를 하나의 모델이 아니라 데이터 파이프라인으로 다시 그려야 한다. 입력, 검색, 메모리, 툴 호출, 출력, 로그를 한 줄로 놓고 각 구간마다 민감정보가 들어가는지, 복사되는지, 다른 권한 경계로 넘어가는지 확인해야 한다. 그다음에 통제를 넣는다. 첫째는 최소화다. 모델에 꼭 필요하지 않은 식별자는 보내지 않는다. 둘째는 분리다. 사용자별 메모리와 읽기/쓰기 권한을 분리한다. 셋째는 감사다. 누가 어떤 도구를 어떤 데이터로 호출했는지 남긴다.

의사결정도 조건문으로 정리하는 편이 낫다. 개인화가 핵심 가치라면 메모리 저장 전 치환과 만료 정책을 먼저 붙여야 한다. 에이전트가 외부 시스템을 수정할 수 있다면 읽기 전용 단계와 승인 단계를 분리해야 한다. 규제나 감사 요구가 큰 산업이라면 성능 개선보다 tracing과 audit log 설계가 우선이다.

오늘 바로 할 일 체크리스트:

• 에이전트의 데이터 흐름도를 그려 입력, 검색, 메모리, 툴 호출, 로그 중 어디에 민감정보가 머무는지 한 장으로 정리하라.
• 장기 메모리를 사용자별 namespace로 분리하고 읽기 전용 메모리와 쓰기 가능 메모리를 나눠라.
• 실행 추적에서 LLM 생성, 도구 호출, 핸드오프, 가드레일 이벤트가 모두 남는지 확인하라.

FAQ

Q. 에이전트 프라이버시는 기존 챗봇 프라이버시와 무엇이 다른가요?

기존 챗봇은 주로 입력과 출력의 문제로 다뤘습니다. 반면 에이전트는 검색, 메모리, 외부 API, 위임 권한, 실행 로그까지 범위가 넓어집니다. 그래서 같은 모델이라도 에이전트 구조를 얹는 순간 프라이버시 검토 대상이 더 많아집니다.

Q. 메모리형 에이전트와 툴사용 에이전트는 별개 위협 모델인가요?

검색 결과 기준으로는 과거 상호작용을 기억하는 표면과 외부 도구를 호출하는 표면을 구분해 읽는 것이 타당합니다. 다만 해당 서베이가 이를 별도의 공식 범주명으로 직접 정의했는지는 확인되지 않았습니다.

Q. 프라이버시를 강화하면 성능이 꼭 떨어지나요?

꼭 그렇지는 않습니다. 다만 트레이드오프는 측정해야 합니다. 프라이버시 측면에서는 ε, membership inference attack 성공률, 재식별·유출률을 보고, 효용 측면에서는 NDCG@10, Recall@K, F1 같은 지표를 함께 봐야 합니다. 한쪽만 최적화하면 실제 운영에서 문제가 생길 수 있습니다.

결론

에이전트 프라이버시의 핵심은 모델이 아니라 흐름이다. 무엇을 기억하는가보다, 어떤 데이터가 어떤 권한으로 어디까지 이동하는가를 따져야 한다. 다음 단계의 경쟁력은 더 긴 메모리나 더 많은 툴이 아니다. 그 복잡성을 통제 가능한 구조로 바꾸는 설계에서 갈린다.

다음으로 읽기

• 에이전트형 AI의 새 기준
• AI 자료 모음 (24h) - 2026-06-26
• 모델 출시, 허가제인가
• 3D 고정 후 AI 작화의 현실
• AI 자료 모음 (24h) - 2026-06-25

참고 자료

• Audit logs | OpenAI API Reference - platform.openai.com
• Got a Secret? LLM Agents Can't Keep It: Evaluating Privacy in Multi-Agent Systems - huggingface.co
• arxiv.org - arxiv.org
• Differential privacy in collaborative filtering recommender systems: a review - frontiersin.org