“부계정이니까 괜찮겠지.” 많은 사람들이 익명 계정을 만들 때 이렇게 생각한다. 하지만 2026년, 그 믿음이 근본적으로 흔들리고 있다. LLM(대규모 언어 모델)이 익명 계정의 실제 소유자를 90% 정확도로 찾아낸다는 연구 결과가 발표됐기 때문이다.
무슨 연구인가? — “Large-scale Online Deanonymization with LLMs”
2026년 2월, 연구자 Simon Lermen과 Daniel Paleka가 arXiv에 발표한 논문이 전 세계 보안 커뮤니티를 뒤흔들었다. 핵심은 간단하다:
AI 에이전트에게 익명 계정의 게시물만 주면, 인터넷을 검색해서 실제 신원을 찾아낸다.
기존의 신원 식별(deanonymization) 연구는 구조화된 데이터셋이 필요했다. 넷플릭스 시청 기록처럼 정제된 데이터를 교차 비교하는 방식이었다. 하지만 이 연구는 비정형 텍스트(게시물, 댓글, 대화)만으로도 신원을 특정할 수 있음을 증명했다.
실험 결과 요약
| 실험 | 대상 | 정밀도(Precision) | 재현율(Recall) |
|---|---|---|---|
| Hacker News → LinkedIn | 개발자 프로필 교차 매칭 | 90% | 68% |
| Reddit 영화 커뮤니티 | 같은 사용자의 다른 서브레딧 매칭 | 99% | 17% (영화 10편 이상 언급 시) |
| Anthropic 인터뷰 참가자 | 대화 내용만으로 신원 식별 | 높음 | 7% |
기존 비-LLM 방식의 정밀도가 거의 0%에 가까웠다는 점을 감안하면, 이것은 차원이 다른 도약이다.
AI는 어떻게 익명을 깨는가?
연구진이 설계한 공격 파이프라인은 3단계로 작동한다:
1단계: 신원 관련 특징 추출 (Extract)
LLM이 익명 게시물에서 신원 단서를 뽑아낸다. 직접적인 개인정보가 아니어도 된다.
- “우리 동네 돌로레스 파크에서 강아지 비스킷이랑 산책했다”
- “학교 성적이 안 올라서 고민이다”
- “최근에 본 영화 목록”
이런 파편적 정보들이 모이면 하나의 프로필이 된다.
2단계: 시맨틱 임베딩으로 후보 검색 (Search)
추출된 특징을 벡터화하여, 다른 플랫폼의 공개 프로필과 의미적 유사도를 비교한다. 키워드 매칭이 아니라 맥락을 이해하는 검색이다.
3단계: 추론 및 검증 (Reason & Calibrate)
상위 후보를 LLM이 다시 분석하여 거짓 양성(false positive)을 제거한다. “이 두 계정이 같은 사람인가?”를 논리적으로 판단하는 단계다.
이 3단계를 거치면, 기존 방식 대비 재현율이 2배 이상 향상된다.
왜 위험한가? — 실제 위협 시나리오
🎯 표적형 스피어 피싱
해커가 타깃의 익명 계정을 찾아내면, “친한 친구인 척” 하는 정교한 피싱이 가능해진다. 연구자 Lermen은 “이미 공개된 정보만으로도 스캠에 충분히 악용할 수 있다”고 경고했다.
🏛️ 정부의 반체제 인사 감시
독재 정권이 익명으로 활동하는 활동가나 반체제 인사를 AI로 추적할 수 있다. “쓴 글의 패턴만으로” 실제 인물을 특정하는 것이 가능해졌다.
📊 마케팅 프로파일링
개인의 다중 계정을 연결하면, 어디 사는지, 무슨 일을 하는지, 어떤 취향인지를 조합한 초정밀 마케팅 프로필이 만들어진다.
⚠️ 오식별의 위험
UCL의 Peter Bentley 교수는 “사람들이 하지 않은 일로 비난받을 것”이라고 경고했다. LLM은 아직 실수를 하며, 잘못된 매칭은 무고한 사람에게 피해를 줄 수 있다.
기존 익명화 방식은 왜 실패하는가?
에든버러 대학의 Marc Juárez 교수는 핵심을 짚었다:
“병원 기록, 입학 데이터, 각종 통계 자료까지 — AI 시대에 필요한 높은 수준의 익명화에 미치지 못하고 있다.”
문제는 소셜 미디어만이 아니다. 공공 데이터, 의료 기록, 교육 자료 등 “익명 처리했다”고 믿었던 데이터들도 LLM 앞에서는 재식별 위험에 노출된다.
넷플릭스 사례와의 비교
2008년 넷플릭스 프라이즈 공격은 구조화된 시청 기록이 필요했다. 하지만 LLM 방식은 자유 텍스트에서 직접 작동한다. 즉, 어떤 플랫폼이든, 어떤 형식이든 공격 대상이 될 수 있다.
| 비교 항목 | 기존 방식 (넷플릭스 등) | LLM 기반 방식 |
|---|---|---|
| 필요 데이터 | 구조화된 데이터셋 | 비정형 텍스트 (게시물, 댓글) |
| 전문 지식 | 통계/ML 전문가 필요 | 인터넷 접속 + LLM만 있으면 됨 |
| 교차 플랫폼 | 동일 스키마 필요 | 임의의 플랫폼 간 매칭 가능 |
| 정밀도 | 거의 0% | 최대 90% |
| 확장성 | 수작업 병목 | 자동화된 대규모 공격 가능 |
나를 보호하려면? — 실전 방어 가이드
플랫폼 차원의 대응
연구진이 제안한 플랫폼 보호 조치:
- API 접근 속도 제한 — 대량 데이터 수집 차단
- 자동 스크래핑 탐지 — 봇 기반 데이터 수집 감지
- 대량 데이터 내보내기 제한 — 벌크 다운로드 제한
- LLM 제공업체의 악용 모니터링 — 재식별 공격 패턴 감시
개인이 할 수 있는 것
더 중요한 건 개인의 인식 전환이다:
- 계정 간 정보를 분리하라: 익명 계정에서 본계정과 같은 관심사, 경험, 표현을 사용하지 않는다
- 구체적 세부사항을 피하라: “우리 동네 카페”보다 “카페에서”가 안전하다
- 문체를 의식하라: LLM은 글쓰기 패턴도 분석한다. 익명 계정에서는 다른 문체를 쓴다
- 시간대를 흩뜨려라: 게시 시간 패턴도 신원 단서가 된다
- 취미/관심사 목록을 겹치지 않게: 영화 10편만 같은 것을 언급해도 식별 확률이 48%까지 올라간다
개발자를 위한 데이터 익명화 체크리스트
데이터를 공개하는 개발자/기업이라면:
- k-익명성만으로는 부족하다 → 차분 프라이버시(Differential Privacy) 적용 검토
- 자유 텍스트 데이터는 단순 이름 제거로 익명화 불가 → 문맥 재구성 필요
- 공개 전 LLM 기반 재식별 테스트 실시
AI 시대, 익명성의 재정의가 필요하다
UC 버클리의 Marti Hearst 교수는 현실적 시각도 제시했다:
“AI가 익명성에 대한 만능 무기는 아니다. 정보가 부족하면 결론을 내릴 수 없고, 후보가 너무 많으면 좁힐 수 없다.”
하지만 핵심은 이것이다: “충분히 많은 글을 쓰면, AI는 당신을 찾아낸다.”
온라인 프라이버시의 전제가 바뀌고 있다. “누가 일부러 나를 추적하겠어?”라는 안일함은 더 이상 통하지 않는다. LLM 덕분에 추적 비용이 사실상 0에 가까워졌기 때문이다.
참고 자료
- arXiv: Large-scale online deanonymization with LLMs — 원본 논문
- The Guardian: AI allows hackers to identify anonymous social media accounts
- Ars Technica: LLMs can unmask pseudonymous users at scale
- Netflix Prize Attack 원본 논문 (2008)