개인정보 추론을 평가하는 비전‑언어 모델 벤치마크 MultiPriv

초록

MultiPriv는 비전‑언어 모델(VLM)의 개인 수준 개인정보 인식과 추론 능력을 체계적으로 측정하기 위해 설계된 최초의 벤치마크이다. 개인정보 인식·추론(PPR) 프레임워크를 도입하고, 40개의 합성 인물 프로필과 719개의 이미지·메타데이터로 구성된 2개 국어(중·영) 데이터셋을 구축하였다. 9개의 과제로 속성 탐지, 교차 이미지 재식별, 연쇄 추론 등을 평가하고, 50여 개 모델을 실험한 결과 60% 이상의 VLM이 80% 수준의 정확도로 개인 수준 개인정보를 추론할 수 있음을 밝혀냈다.

상세 분석

본 논문은 기존 개인정보 벤치마크가 “프라이버시 인식”에만 초점을 맞추고, 다중 모달 데이터 간의 연관성을 파악해 개별 인물을 재구성하는 “프라이버시 추론”을 평가하지 못한다는 근본적인 한계를 지적한다. 이를 해결하기 위해 저자들은 PPR(Privacy Perception and Reasoning)이라는 이중 단계 모델을 제안한다. 첫 단계인 Φ 함수는 이미지·텍스트 등 비정형 입력 X에서 민감 속성 집합 A를 추출한다(속성 인식). 두 번째 단계인 Ψ 함수는 추출된 속성 집합과 모델 내부 논리 K를 결합해 특정 개인 I를 식별한다(속성 연계·추론). 이때 Ψ가 빈 집합을 반환하면 최소 위험(ε), 특정 개인을 식별하면 고위험(λ)으로 정의해 위험 수준을 정량화한다.

데이터셋 구축 과정도 주목할 만하다. 실제 개인정보를 사용하지 않기 위해 40개의 합성 인물 프로필을 설계했으며, 각 프로필에 대해 얼굴, 지문, 신분증, 의료 기록, 금융 정보, 위치 데이터 등 36개의 세부 속성을 10장의 이미지와 JSON 메타데이터로 연결했다. 이렇게 설계된 데이터는 속성 간 명시적 링크(예: 이름↔얼굴, 주소↔여행 일정)를 제공해 모델이 연쇄 추론을 수행하도록 유도한다.

9개의 과제는 크게 두 축으로 나뉜다. 첫 번째 축은 속성‑레벨 인식으로, 직접 식별자(얼굴, 이름)와 간접 식별자(주소, 건강 상태) 구분, OCR 기반 텍스트 추출, 프라이버시 영역 로컬라이제이션 등을 포함한다. 두 번째 축은 개인‑레벨 추론으로, (1) 단일 단계 교차 검증: 서로 다른 이미지가 동일 인물인지 판단, (2) 단일 단계 추론: 한 속성으로부터 다른 속성을 유도, (3) 연쇄 추론: 다중 단계 논리 흐름(예: 얼굴→위치→신분증)으로 인물 프로필 완성, (4) 재식별·연결성: 알려진 속성을 기반으로 인물을 매칭, (5) 교차 모달 연관: 이미지와 텍스트 간 의미적 연결을 평가한다.

실험에서는 5개의 상용 모델, 30개의 오픈소스 기본 VLM, 18개의 고급 추론형 RVLM을 포함한 53개 모델을 평가했다. 결과는 놀라웠다. 상용 모델 중 60% 이상이 개인‑레벨 추론 과제에서 70% 이상, 최고 모델은 80%에 근접하는 정확도를 보였다. 특히 언어가 바뀌어도(중·영) 성능 저하가 미미했으며, 일부 모델은 직접 식별자를 인식하더라도 안전 정렬 메커니즘이 작동하지 않아 민감 정보를 그대로 출력했다. 이는 현재 안전 정렬이 “프라이버시 인식” 단계에서는 어느 정도 효과적이지만, “프라이버시 추론” 단계에서는 일관된 방어를 제공하지 못한다는 점을 시사한다.

또한 저자들은 위험 평가를 정량화하기 위해 λ와 ε 값을 도입했으며, 이를 통해 모델별 위험 프로파일을 시각화했다. 위험이 높은 모델은 주로 대규모 사전 학습과 복합적인 체인‑오브‑생각(Chain‑of‑Thought) 프롬프트 엔지니어링을 활용하는 경우가 많았다. 반면, 안전 정렬이 강화된 모델은 속성 인식은 가능하지만, 연쇄 추론 단계에서 의도적으로 답변을 회피하거나 “모르겠다”는 응답을 반환했다.

논문의 한계로는 합성 데이터가 실제 세계의 복잡성을 완전히 반영하지 못한다는 점, 그리고 프롬프트 설계가 모델 성능에 큰 영향을 미쳐 평가 재현성이 떨어질 수 있다는 점을 들었다. 그럼에도 불구하고 MultiPriv는 VLM의 개인정보 위험을 정량화하고, 차세대 안전 정렬 연구에 구체적인 목표를 제공하는 중요한 기반을 마련한다.