Amazon Bedrock를 활용한 조직 내 PII 자동 탐지 및 마스킹 솔루션 가이드

조직 내 민감 정보 보호, 자동화가 답이다 – Amazon Bedrock를 활용한 PII 탐지 및 마스킹 가이드

조직들이 고객과의 다양한 커뮤니케이션 채널을 통해 처리하는 이메일 및 첨부파일에는 개인 식별 정보(PII, Personally Identifiable Information)가 포함되어 있는 경우가 많습니다. 이러한 정보에는 주민등록번호, 운전면허 번호, 전화번호 같은 민감 데이터가 포함되며, 이를 수동으로 분류 및 마스킹하는 작업은 많은 시간과 리소스를 소모하고 오류 가능성도 높습니다.

AWS는 이러한 고민을 해결하기 위해 Amazon Bedrock와 함께 Bedrock Data Automation과 Guardrails를 이용한 자동화된 PII 탐지 및 마스킹 처리 방안을 제시하고 있습니다. 본 글에서는 해당 솔루션의 활용 방법과 구성 방식, 그리고 배포 가이드를 소개합니다.

Amazon Bedrock 기반 PII 탐지 및 마스킹 솔루션의 개요

이 솔루션은 다음과 같은 기능을 중심으로 구성됩니다.

1. 이메일 본문 및 첨부파일에 포함된 PII 정보 자동 탐지 및 마스킹
2. 암호화 및 세분화된 접근 권한을 사용한 안전한 데이터 저장
3. 승인된 인력이 이메일 내역을 관리하고 검색할 수 있는 리액트 기반의 포털 인터페이스 제공

해당 솔루션은 텍스트와 이미지 콘텐츠 모두에 대해 일관된 방식으로 민감 데이터를 처리할 수 있어, 조직의 데이터 프라이버시 규정 준수를 돕고 커뮤니케이션 워크플로우의 효율성을 높입니다.

시스템 아키텍처 및 구성 요소

이 솔루션의 자동화 아키텍처는 AWS Lambda, Amazon S3, Amazon DynamoDB, Amazon Bedrock 및 EventBridge로 구성되어 있으며 주요 처리 절차는 다음과 같습니다.

1. 사용자는 이메일을 Amazon SES를 통해 송신하거나, 이메일 및 첨부파일을 Amazon S3에 직접 업로드
2. 업로드 시 S3 이벤트로 Lambda가 트리거되며, 고유 식별 ID를 생성하고 DynamoDB에 추적 정보를 저장
3. Lambda는 본문과 첨부파일을 분리하여 Bedrock Data Automation과 Guardrails를 호출
4. Data Automation은 첨부파일의 텍스트를 추출한 뒤 Guardrails로 전달
5. Guardrails는 본문 및 첨부파일에서 PII를 탐지 및 마스킹 처리 후 새로운 버킷에 저장
6. DynamoDB는 메타데이터, 폴더, 필터 규칙 등을 업데이트
7. Amazon API Gateway와 S3 Static Hosting을 통해 제공되는 포털에서 승인된 사용자가 결과물을 조회 가능

이러한 연계는 활용과 배포 자동화 관점에서 매우 효율적이며, 다양한 AWS 서비스 간 통합을 간편하게 구현할 수 있게 합니다.

활용 예시: 이메일 자동 분류 및 검토 포털

웹 기반 포털은 리액트 프레임워크로 구현되어 있으며, 다음과 같은 기능을 탑재하고 있습니다.

• 이메일 자동 분류 및 폴더 구조 설정
• 이메일 목록 및 세부 정보 조회, 첨부파일 확인
• 검색 및 필터 기능
• 이메일 송수신 상태 실시간 연동

포털은 Amazon API Gateway와 S3 Static Hosting을 통해 배포되며, 필요한 경우 인증 기능도 설정할 수 있습니다. 이렇게 시각화된 구성은 보안 관리자나 승인된 사용자들이 마스킹된 이메일 내역을 안전하게 관리하고 추적할 수 있게 합니다.

설치 및 배포 가이드

PII 탐지 및 마스킹 자동화 솔루션은 AWS CDK를 통해 손쉽게 배포할 수 있으며, 다음과 같은 스택 구조를 가지고 있습니다.

• S3Stack: 핵심 인프라(Amazon S3, DynamoDB, IAM 역할)
• ConsumerStack: Bedrock 연동 및 자동화 처리 워크플로우
• PortalStack (선택): 웹 포털 인터페이스 배포

사용자는 GitHub에서 예제 리포지토리를 클론한 후 context.json 내용을 구성에 맞게 수정하고, CDK 명령어를 사용하여 Infra 스택을 배포합니다. 아울러 Amazon SES, Secrets Manager를 사용하는 이메일 송수신 기능도 필요에 따라 설정할 수 있습니다.

배포 후, 간단한 테스트를 통해 이메일 파일을 Raw S3 버킷에 업로드하거나 SES를 통해 이메일을 수신하도록 설정하면, 시스템이 자동으로 작동하며 결과를 S3와 DynamoDB에서 확인할 수 있습니다.

마무리

Amazon Bedrock를 활용한 이번 솔루션은 텍스트 및 이미지 기반 PII 정보를 자동 탐지 및 마스킹 처리함으로써 조직의 보안 시스템을 한층 강화할 수 있게 해줍니다. 배포 자동화, 운영 효율성, 확장성, 보안성이라는 4대 요소를 중심으로 높은 활용도를 자랑하며, 규제 대응은 물론 비즈니스 데이터 거버넌스까지 지원합니다.

향후 더 많은 파일 유형 및 언어에 대한 확장을 통해 기업에서는 이 솔루션을 엔터프라이즈급 데이터 보호 프레임워크로 발전시킬 수 있을 것입니다.

Amazon Bedrock 기반의 이 솔루션은 조직의 민감 정보 보호 체계를 한층 견고히 하고자 하는 모든 기업에게 유용하게 활용될 수 있습니다. GitHub 레포지토리를 통해 배포 환경을 손쉽게 구성해 보시기 바랍니다.

https://aws.amazon.com/blogs/machine-learning/detect-and-redact-personally-identifiable-information-using-amazon-bedrock-data-automation-and-guardrails/