문제집을 옆에 두고 생성형 AI에게 “웹 검색 끄고 풀어봐”라고 시킨다. 답이 그럴듯하면 바로 ‘만점’이라고 말하고 싶어진다. 하지만 여기서 멈추면 위험하다. “브라우징 비활성화”는 웹에서 새로 가져오는 행위를 막는 설정에 가깝다. 외부 지식 유입 가능성을 전부 차단한다고 공식적으로 규정한 표현이라고 단정하기도 어렵다.

이 글은 “웹 검색 없이 풀었다”는 주장(혹은 체감)을 재현 가능한 채점·재채점 루틴으로 바꾼다. 그 과정에서 정답률·신뢰도·누출 가능성을 함께 점검하는 방법을 정리한다.

세 줄 요약

• 무슨 변화/핵심이슈인가? “웹 검색/브라우징 비활성화” 상태의 LLM 문제풀이를, 정답만 맞추는 테스트로 끝내지 말고 누출·채점·신뢰도까지 포함한 검증 프로토콜로 다뤄야 한다.
• 왜 중요한가? 브라우징을 껐다고 해서 모델이 “오직 로컬/학습데이터만”으로 답한다고 공식 문서가 보장한다고 보기 어렵다. 문항을 조금 바꾼 형태(패러프레이즈·번역)에서도 오염 탐지에 실패할 수 있다.
• 독자는 뭘 하면 되나? 같은 문제를 반복·변형해 채점한다. 결과를 정답률 + 일관성 + 보정(calibration) 같은 지표로 기록한다. 마지막으로 유사도/변형 오염 점검까지 한 묶음으로 운영한다.

현황

‘웹 검색/브라우징 비활성화’가 의미하는 범위부터 정리한다. OpenAI 도움말 문서에서 말하는 “ChatGPT Search”는 프롬프트를 바탕으로 제3자 검색 제공자 Bing에 검색 질의를 보낼 수 있다. Enterprise/Edu 워크스페이스에서는 “현재” 기준으로 유일한 제3자 검색 제공자가 Bing이라고 적혀 있다. 즉 “검색”을 끄면 최소한 Bing에 질의를 보내 웹 결과를 가져오는 경로는 막는다고 이해할 수 있다.

다만 여기서 오해가 생긴다. 문서가 말하는 비활성화는 “웹에서 새 정보를 가져오지 않는다”에 가깝다. **“응답 생성이 오직 로컬/학습데이터만 쓴다”**까지를 공식적으로 정의했다고 보긴 어렵다(제공된 조사 범위 기준). 다시 말해 “브라우징 꺼짐”은 검증의 출발 조건이지, “외부 지식 유입 없음”을 입증하는 문구는 아니다.

Atlas 쪽 설정도 비슷한 방향이다. 특정 사이트에서 ‘페이지 가시성(Page visibility)’을 꺼두면 “ChatGPT가 그 페이지 콘텐츠를 읽지 않는다(Disabled means ChatGPT will not read page content on that site)”고 문서가 말한다. 또 “그 사이트에 대해 새로운 브라우저 메모리를 만들지 않는다(it prevents creating new Browser memories for that site)”고도 적혀 있다. 확인 가능한 근거는 여기까지다. **무엇이 ‘포함·제외’되는지의 전체 목록(예: 앱/커넥터/다른 도구 호출)**은 제공된 공식 근거만으로 확정하기 어렵다. 그래서 검증 설계는 “웹 차단”만 전제하지 않는다. 도구 호출과 데이터 경로를 분리해 기록하는 쪽이 낫다.

분석

핵심은 “정답률” 자체보다 “정답률 주장”의 품질이다. 문제풀이에서 사용자는 정답 일치만 확인하는 경우가 많다. LLM에서는 그 정보만으로 부족한 경우가 생긴다. 모델이 맞혔더라도 우연 적중인지, 유사문항을 기억했는지(오염/누출), **불확실한데도 확신 있게 말했는지(보정 실패)**를 구분할 필요가 있다. 여기서 정답률 외 지표가 들어온다. 연구 커뮤니티에서는 확률 예측의 보정을 보는 **Expected Calibration Error(ECE)**와 reliability diagram, proper scoring rule인 Brier score 같은 도구를 보정 평가에서 자주 쓴다. “맞았냐”와 “확신이 맞았냐”를 분리해 묻는 셈이다.

또 하나는 **일관성(consistency)**이다. 유사한 질문 변형이나 반복에서 답이 바뀌면 운영 환경에서 QA·채점·튜터링 모두 흔들릴 수 있다. 관련 연구는 모호성이 있는 상황에서 LLM이 컨텍스트 변화에 따라 답이 바뀌는 문제를 다룬다. 프롬프트 변형을 통한 여러 라운드 평가로 consistency score를 계산하는 사례도 있다. 문제풀이 검증은 “한 번 던져서 한 번 맞았다”로 끝내기 어렵다. 반복 가능한 안정성을 포함해 다루는 편이 낫다.

오염/누출은 더 까다롭다. 기존 데이터 정제는 n-gram 같은 문자열 중복으로 많이 막았다. 하지만 연구에서는 패러프레이즈·번역 같은 변형만으로도 이런 필터가 충분하지 않을 수 있다고 지적한다. 블랙박스 모델에서도 “통계적 검정으로 오염 가능성을 플래그”하는 접근이 논의된다. 아예 **훈련에 없을 ‘새 지식’**으로 벤치마크를 자동 구성해 “오염 없는 평가”를 지향하는 프레임워크도 제안된다. 여기서 얻을 결론은 단순하다. 오염을 0으로 만들기 어렵다면 최소한 오염을 탐지·의심·격리하는 절차를 평가 루틴에 넣어야 한다.

실전 적용

검증 루틴은 ‘모델이 무엇을 봤는지’보다 ‘내가 무엇을 기록했는지’에 좌우된다. “웹 검색 끔”은 조건 중 하나로만 남긴다. 대신 세 가지를 분리해 설계한다. (1) 문제 세트 관리(원본/변형/비공개), (2) 채점 이중화(자동+수동), (3) 신뢰도 지표(보정·일관성) 기록이다. 오염 가능성이 있는 문항은 “결과에서 제외”로 끝내지 않는다. “별도 버킷으로 격리”해 통계와 결론을 분리한다.

예를 든다. 사용자가 문제를 제시하고 모델이 답을 낸다. 사용자는 바로 채점하지 않는다. 같은 문제를 문장만 바꾼 버전으로 다시 묻는다. 정답은 같아도 풀이가 흔들리거나 확신 표현이 과하면 ‘고위험’으로 분류한다. 반대로 틀렸더라도 “모르겠다”에 가까운 낮은 확신을 보이면, 실서비스에서는 더 안전할 수 있다.

오늘 바로 할 일 체크리스트 (3개)

• 채점표를 “정답/오답”만 두지 않는다. 확신 표현(낮음/중간/높음) 칸을 추가한다. ECE·Brier 같은 보정 평가로 이어질 원자료를 남긴다.
• 각 문항을 **원문 1개 + 변형 1개(패러프레이즈 또는 번역)**로 묶어 돌린다. 답이 달라지면 그 문항을 “불안정” 버킷으로 격리한다.
• 평가 종료 후 문항 텍스트를 대상으로 문자열 중복 + 임베딩 유사도로 공개 코퍼스/기존 세트와의 유사도를 점검한다. 변형 오염 가능성은 별도 메모로 남긴다.

FAQ

Q1. “웹 검색/브라우징 비활성화”면 외부 지식 유입이 완전히 차단된다고 봐도 되나?
A. 제공된 공식 문서 근거로는 그렇게 단정하기 어렵습니다. 문서는 검색 기능이 Bing으로 질의를 보내 결과를 가져오는 동작을 설명합니다. Atlas에서 페이지 가시성을 끄면 페이지 콘텐츠를 읽지 않고 브라우저 메모리도 만들지 않는다는 설명도 있습니다. 하지만 “응답 생성이 오직 로컬/학습데이터만 사용한다” 같은 전체 포함·제외 목록까지는 이번 조사 범위에서 확인되지 않았습니다. 그래서 검증은 “웹 차단”이 아니라 “기록 가능한 프로토콜”로 하는 편이 낫습니다.

Q2. 정답률 말고 꼭 봐야 할 지표는 뭐가 있나?
A. 최소 세 가지 축을 권합니다. (1) 보정(calibration): ECE, reliability diagram, Brier score처럼 확신이 결과와 맞는지 봅니다. (2) 일관성(consistency/self-consistency): 프롬프트를 조금 바꾸거나 반복했을 때 답이 안정적인지 봅니다. (3) faithfulness(근거/불확실성 표현의 충실성): 말로 표현한 확신이 실제 불확실성과 어떻게 맞물리는지 다루는 연구 흐름이 있습니다. 언어적 불확실성 표현을 다룬 벤치마크도 제안돼 있습니다.

Q3. 데이터 누출(벤치마크 오염)은 개인이 어떻게 의심하고 줄이나?
A. 문자열 중복만으로 끝내기 어렵습니다. 연구는 n-gram 같은 방식이 패러프레이즈·번역 변형에 취약할 수 있다고 지적합니다. 그래서 (1) 문자열 중복/유사도, (2) 임베딩 유사도, (3) 변형 문항에서 성능이 비정상적으로 높아지는지 같은 성능 기반 점검을 묶는 편이 낫습니다. 가능하면 공개에 많이 떠도는 문제 대신, 신규 지식 기반의 일회성 문항처럼 오염 가능성이 낮은 세트를 따로 운용하는 선택지도 있습니다.

결론

“웹 검색 없이도 만점”은 문장으로는 간단하다. 하지만 검증 문장으로는 정보가 부족하다. 공식 문서가 설명하는 ‘비활성화’의 범위를 구분해 읽는다. 정답률에 보정·일관성·오염 점검을 함께 얹어야 주장에 근거가 생긴다. 다음 단계는 같은 문제를 반복·변형해도 결과가 유지되는지부터 확인하는 일이다. 오늘 체크리스트대로 기록을 남겨라.

다음으로 읽기

• AI 자료 모음 (24h) - 2026-03-01
• 재난 위성판독, 속도는 파이프라인이 좌우
• AI 기업의 정치적 중립, 금지 규칙의 설계
• AI 위협 대응, 운영 프로토콜의 빈칸
• 정치 리스크가 AI 조달 해지를 부르는 구조

참고 자료

• ChatGPT Search for Enterprise and Edu | OpenAI Help Center - help.openai.com
• Web Browsing Settings on ChatGPT Atlas | OpenAI Help Center - help.openai.com
• Introducing ChatGPT Atlas | OpenAI - openai.com
• Smooth ECE: Principled Reliability Diagrams via Kernel Smoothing - arxiv.org
• Self-Consistency of Large Language Models under Ambiguity - arxiv.org
• LLM ethics benchmark: a three-dimensional assessment system for evaluating moral reasoning in large language models | Scientific Reports - nature.com
• MetaFaith: Faithful Natural Language Uncertainty Expression in LLMs - arxiv.org
• Rethinking Benchmark and Contamination for Language Models with Rephrased Samples - arxiv.org
• Proving Test Set Contamination in Black Box Language Models - arxiv.org
• AntiLeak-Bench: Preventing Data Contamination by Automatically Constructing Benchmarks with Updated Real-World Knowledge - arxiv.org
• Detecting Data Contamination in LLMs via In-Context Learning - arxiv.org