Konviny

Tools · 6 분 읽기 · 발행일 2026년 3월 7일

로그, JSON, HAR 공유 전에 PII를 마스킹하는 방법

디버깅에 쓸 만한 파일은 그대로 공유하기엔 위험한 경우가 많습니다. 맥락은 남기고, 남에게 필요 없는 값만 지우는 흐름을 정리했습니다.

PII 마스킹로그 익명화HAR 파일JSONAI 워크플로우

문제 해결에 도움이 되는 로그는 대개 유출 사고도 만들기 쉽습니다.

AI 프롬프트에 에러 로그를 붙여넣거나, 외부 벤더 티켓에 HAR 파일을 첨부하기 전에 사람, 세션, 내부 시스템을 드러내는 값부터 걷어내야 합니다. 핵심은 모든 맥락을 지우는 게 아닙니다. 상대가 문제를 이해하는 데 필요 없는 값만 빼고, 디버깅 단서는 남기는 쪽이 맞습니다.

먼저 6가지를 체크하세요

로그가 채팅, 티켓, 문서로 옮겨 다닐 때 특히 자주 새는 값들입니다.

  • 이메일 주소와 로그인 식별자
  • 주문/상담 흐름에 섞인 전화번호
  • Authorization 헤더와 bearer 토큰
  • API 키, 쿠키, 세션 ID
  • 주민등록번호·사업자등록번호 형태
  • 내부 URL과 사설 IP 주소

그래서 단순 치환만으로는 부족한 경우가 많습니다. 같은 파일 안에 구조화된 JSON, 복사된 헤더, 자유 형식 로그 라인이 한꺼번에 섞여 있기 때문입니다.

어디로 보낼지에 따라 출력 방식도 달라져야 합니다

가장 안전한 마스킹 결과는 "누가 다음에 읽는가"에 따라 달라집니다.

  • AI 붙여넣기용: [EMAIL_01] 같은 읽기 쉬운 토큰으로 바꾸면 구조는 남고 원문 값은 숨길 수 있습니다.
  • 외부 공유용: [REDACTED_AUTH_01]처럼 더 강한 표기를 쓰면 placeholder를 실제 credential로 오해할 여지를 줄일 수 있습니다.
  • 복원 가능한 내부용: 고정 토큰과 restore map을 함께 만들면 팀 안에서 마스킹된 텍스트를 공유한 뒤, 신뢰 가능한 환경에서 원문을 다시 복원할 수 있습니다.

마지막 방식은 여러 사람이 같은 이슈를 함께 볼 때 특히 유용합니다. 대신 restore map 자체가 비밀정보라는 점은 잊으면 안 됩니다.

export 전에 Diff 검토를 빼면 안 됩니다

패턴 기반 마스킹은 빠르지만 만능은 아닙니다.

좋은 워크플로우는 무엇이 바뀌었는지 바로 보여주고, 룰 단위로 끄고 켤 수 있어야 하며, 보호하려는 원본을 서버에 올리지 않고 로컬에서만 스캔하게 해줍니다.

특히 아래 상황에서는 한 번 더 확인하는 편이 안전합니다.

  • 로그에 팀 내부에서만 쓰는 커스텀 필드명이 있는 경우
  • JSON 안에 사용자 메모나 상담사가 적은 자유 텍스트가 들어 있는 경우
  • HAR 안쪽 깊은 객체에 내부 호스트명이 숨어 있는 경우

마스킹 결과를 봤을 때 상대가 문제를 재현할 수 있다면 맥락은 충분히 남긴 것입니다. 그와 동시에 식별자, 토큰, 내부 경로가 가려졌다면 대체로 제대로 걷어낸 셈입니다.

작은 예시 하나가 정책 문서보다 빠를 때가 있습니다

원문:

[email protected]
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.demo.signature
cookie=sessionid=abc123xyz987
url=https://grafana.internal/team/app
ip=192.168.10.24

AI 공유용 결과:

customer_email=[EMAIL_01]
Authorization: [AUTH_01]
cookie=[SECRET_01]
url=[INTERNAL_01]
ip=[INTERNAL_02]

이렇게 바꾸면 어떤 필드가 문제였는지, 어떤 credential 자리에 값이 있었는지, 요청이 어디를 향했는지는 그대로 남습니다. 다만 실제 값만 빠집니다.

브라우저 안에서 끝내는 흐름이면 충분한 경우가 많습니다

반복적인 지원 대응이나 디버깅 전달이라면 순서는 짧습니다.

  1. .log, .txt, .json, .har 파일을 불러오거나 원문 텍스트를 붙여넣습니다.
  2. 브라우저 안에서 스캔하고 하이라이트된 Diff를 확인합니다.
  3. AI용, 외부 공유용, 복원 가능한 내부용 중 하나로 내보냅니다.

원본 업로드 없이 이 흐름을 그대로 쓰고 싶다면, Konviny Tools의 PII Masker가 로컬 스캔, 룰 토글, export 프로필까지 브라우저 안에서 처리해줍니다.

로그는 생각보다 빨리 프롬프트, 티켓, 채팅으로 퍼집니다. 공유 전에 30초만 더 써서 마스킹하는 편이, 나중에 토큰이나 내부 주소가 왜 밖으로 나갔는지 설명하는 것보다 훨씬 싸게 먹힙니다.

블로그 목록으로제품 보기