Executive Summary
마이크로소프트는 지난달 추론 모델 MAI-Thinking-1을 공개하며, 데이터를 어떻게 씻고 걸렀는지는 이례적으로 상세히 밝혔다. 웹 문서는 Trafilatura로 본문을 뽑았고, 100억 건이 넘는 웹 PDF를 Azure Document Intelligence로 OCR했으며, 수식은 SymPy로 검증했다고 적었다. 이름을 댄 처리 도구만 여덟 가지가 넘는다. 그런데 정작 어떤 출판사·저널·STEM 데이터베이스가 어떤 조건으로 그 코퍼스에 들어갔는지는 '사생활·법률·안전·경쟁'을 이유로 한 줄도 밝히지 않았다. 정제 도구는 공개하고, 원료 출처는 감췄다. 이 글은 그 공개의 비대칭을 다룬다. (지난달 우리는 같은 모델을 두고 '깨끗하다는 선언'이 증명되지 않는다는 문제를 짚었다. 이번 글은 그 아래층, 무엇이 실제로 공개되고 무엇이 감춰졌는지를 층별로 본다.)
이 비대칭은 취향의 문제가 아니라 조달의 문제다. 데이터 공급망을 원료(출처)·정제(도구)·가공(학습)·포장(모델 카드)의 네 층으로 나눠 보면, MAI가 공개한 것은 전부 '정제' 층이고 감춘 것은 전부 '원료' 층이다. 도구는 누구나 재현·검증할 수 있지만, 어느 출판사와 얼마에 계약했는지는 벤더가 말하지 않으면 외부에서 알 길이 없다. 실제로 기업 열 곳 중 일곱 곳 이상이 자사 학습데이터의 출처조차 추적하지 못한다는 조사가 있다. AI 데이터를 사는 법무·조달팀은 그래서 검증할 수 없는 출처를 구매하고, 저작권·규제·재현 불가의 리스크를 조용히 떠안는다.
그러나 이 불투명이 불가피한 것은 아니다. Allen Institute의 OLMo는 조 단위 토큰 코퍼스의 데이터시트와 라이선스를 통째로 공개했고, Data Provenance Initiative는 제3자 감사만으로 '라이선스 미상' 데이터셋 비율을 72%에서 30%까지 줄였다. 밝힐 수 없어서가 아니라 밝히지 않기로 한 것이다. 이 리포트는 완전공개–부분공개–불투명의 스펙트럼 위에 MAI를 놓고, 조달팀이 층별로 무엇을 요구하고 무엇을 검증할 수 있는지를 실무 체크리스트로 정리한다. 데이터 품질은 결과물(모델)이 아니라 공급망 상류에서 결정되며, 상류가 불투명하면 하류의 품질 보증은 선언에 그친다.
100억→6.2억
웹 PDF 크롤 후 생존 건수
93.8%를 걸러낸 '정제' 층의 정밀함
20%→7%
FMTI '데이터 접근' 투명성 (2023→2024)
출처 공개는 산업 전체에서 후퇴 중
77%
학습데이터 출처를 추적 못 하는 조직
Kiteworks 2026 설문(추정) — 검증 무능력
72%→30%
'라이선스 미상' 데이터셋 비율
제3자 감사 후 — "밝힐 수 있다"의 반증
두 개의 공개, 하나의 침묵
MAI-Thinking-1 기술보고서에서 데이터 파트를 읽으면, 먼저 놀라는 건 그 구체성이다. 마이크로소프트는 웹 HTML에서 본문을 뽑을 때 오픈소스 추출기 Trafilatura를 썼고, 성인·불법복제 도메인은 툴루즈대학의 UT1 블록리스트로 걷어냈다고 적었다. 100억 건이 넘는 웹 PDF는 Azure Document Intelligence로 OCR해 그중 6.2억 건만 남겼고, 7.4조 토큰에 달하는 GitHub 코드는 SHA-512 완전 중복제거, MinHashLSH 퍼지 중복제거, Qwen3 임베딩 기반 의미 중복제거의 세 겹을 거쳤다고 밝혔다. STEM 자료는 일곱 개의 주제 분류기로 골라냈고, 수식은 SymPy로 풀어 맞는지 확인했다는 문장까지 있다.
여기까지 읽으면 이 모델은 데이터 처리 과정을 유례없이 투명하게 공개한 것처럼 보인다. 그리고 실제로 이 층에서는 투명하다. 도구의 이름을 알면 제3자가 같은 파이프라인을 재구성해 결과를 재현하고 검증할 수 있다. 문제는 그다음이다. 그렇게 정성껏 씻고 걸러낸 재료가 애초에 어디서 왔는지에 대해, 같은 보고서는 침묵한다. 도서와 저널을 어느 출판사에서 받았는지, STEM·코딩 문제를 어느 벤더에서 샀는지, 인간 선호 데이터를 누가 만들었는지 — 세 카테고리 전부가 "사생활·법률·안전·경쟁상의 이유(privacy, legal, safety, and competitive reasons)"라는 한 문장으로 봉인됐다.
이것이 이 리포트가 부르는 '공개의 비대칭'이다. 공개된 것은 재현 가능한 도구의 목록이고, 감춰진 것은 그 도구가 다룬 원료의 목록이다. 그 경계는 이렇게 갈린다. 왼쪽은 보고서가 이름까지 댄 도구들, 오른쪽은 카테고리째 가려진 공급자들이다.
| 공개된 것 — 정제 도구 (재현 가능) | 감춰진 것 — 원료 출처 (진술에만 의존) |
|---|---|
| ✓ Trafilatura — 웹 HTML 본문 추출 | ✕ 도서·저널 출판사 명단 |
| ✓ UT1 블록리스트 — 유해 도메인 제거 | ✕ STEM·코딩 문제 벤더 |
| ✓ Azure Document Intelligence — PDF OCR | ✕ 인간 선호 데이터 벤더 |
| ✓ SHA-512 / MinHashLSH / Qwen3 임베딩 — 3단 중복제거 | ✕ 각 소스의 라이선스 조건 |
| ✓ 주제 분류기 7종 · SymPy 수식 검증 | ✕ 코퍼스 구성 비율 |
중요한 건 이 표의 왼쪽이 오른쪽을 대신하지 못한다는 점이다. 도구를 안다고 해서 재료를 아는 게 아니다. 같은 OCR 엔진에 어느 출판사의 어떤 책을 넣었는지는, 도구 이름 여덟 개로는 결코 복원되지 않는다. 마이크로소프트가 무언가를 숨겼다는 뜻이 아니다. 오히려 정직하게 "이 부분은 밝히지 않겠다"고 명시했다. 하지만 명시적 침묵도 침묵이고, 조달의 관점에서 그 침묵은 검증의 공백으로 남는다.
데이터 공급망의 층위: 어디까지 보이고 어디부터 안 보이나
공개의 비대칭을 제대로 보려면, AI 데이터를 하나의 공급망으로 놓고 층을 나눠야 한다. 제조업의 공급망을 원료·가공·조립·포장으로 나누듯, 학습 데이터도 네 개의 층으로 나눌 수 있다. 원료는 데이터가 애초에 어디서 왔는지다. 출판사·저널·웹·벤더 같은 출처와 그 라이선스 조건을 가리킨다. 정제는 그 원료를 씻고 거르는 도구와 파이프라인이다. 가공은 정제된 데이터로 모델을 실제 학습시키는 과정이다. 포장은 그 결과를 설명하는 모델 카드·데이터 카드다.
핵심은 층마다 외부에서 검증할 수 있는 정도가 다르다는 것이다. 정제 층은 도구라서, 이름만 알면 재현할 수 있다. 반면 원료 층은 벤더의 진술 외에 확인할 방법이 거의 없다. 계약서를 보지 못하는 외부자는 "News Corp에서 받았다"는 말을 믿거나 말거나 둘 중 하나다. 가공 층(학습)은 GPU 몇 장으로 몇 토큰을 돌렸다는 규모는 나오지만 데이터가 실제로 어떻게 섞였는지는 재현 불가능하고, 포장 층(모델 카드)은 벤더가 스스로 쓰는 문서라 상류가 불투명하면 그 서술도 검증할 수 없다. 네 층을 검증 가능성으로 다시 세우면, MAI가 공개한 것은 검증 가능한 정제 층이고 감춘 것은 검증 불가능한 원료 층이다.
이 도식이 말하는 바는 단순하다. 벤더가 가장 자신 있게 공개하는 층(정제)이 하필 외부가 스스로 확인할 수 있는 유일한 층이고, 조달팀이 가장 알고 싶은 층(원료)이 하필 벤더의 말 외엔 확인할 방법이 없는 층이다. 공개와 검증 필요성이 정확히 어긋나 있다. 그래서 "도구를 공개했으니 투명하다"는 인상은, 정작 리스크가 몰린 원료 층을 가리는 착시가 된다.
'사생활·법률·경쟁'이라는 세 개의 방패
마이크로소프트가 출처를 감춘 근거는 네 단어였다 — 사생활, 법률, 안전, 경쟁. 이 사유들을 한 덩어리로 받아들이면 "어쩔 수 없구나"로 끝난다. 하지만 하나씩 뜯어보면 정당성의 무게가 서로 다르다.
3.1사생활: 일부는 정당하다
인간 선호 데이터를 만든 라벨러 개인, 혹은 민감 정보가 섞인 특정 코퍼스를 보호하려는 목적이라면 사생활은 진짜 이유가 된다. 다만 이는 개인을 가리는 논리이지, 기관 단위 출처(어느 출판사·어느 데이터베이스)를 통째로 가리는 논리는 아니다. "이 저널과 계약했다"는 사실 자체가 누군가의 프라이버시를 침해하지는 않는다.
3.2법률: 방어이면서 동시에 검증 회피다
출처를 밝히면 저작권 소송의 표적이 되기 쉽다는 우려는 현실적이다. 실제로 학습 데이터 출처는 최근 몇 년간 소송의 핵심 쟁점이었다. 그러나 바로 그 이유가 문제다. "밝히면 소송당하니 안 밝힌다"는 논리는, 뒤집으면 "밝힐 수 없는 출처를 썼을 수 있다"는 신호이기도 하다. 법적 리스크를 이유로 한 비공개는 구매자를 보호하는 게 아니라, 그 리스크를 구매자가 볼 수 없는 곳에 묻어 두는 것에 가깝다.
3.3경쟁: 선택적으로만 작동한다
가장 약한 방패가 '경쟁'이다. 데이터 조달 전략이 영업비밀이라는 주장은 이해되지만, 이 논리는 놀랄 만큼 일관성이 없다. 첫째, 라이선싱 딜의 존재와 금액은 이미 공공연하다. Reddit–Google은 연 6,000만 달러, News Corp–OpenAI는 5년 2.5억 달러 이상으로 언론과 공시에 노출됐다. 계약의 존재는 공개되는데 계약의 내용만 영업비밀이라는 건, 경쟁 논리의 선택적 적용이다. 둘째, MAI는 파이프라인 부품으로 서드파티 오픈모델(Qwen3-Embedding-0.6B)을 쓰면서도 "제3자 모델 증류는 없다"고 주장했는데, 이는 무엇을 경쟁 우위로 지키고 무엇을 공개할지가 원칙이 아니라 편의로 정해진다는 정황이다.
결정적인 반증은 이미 존재한다. Allen Institute의 OLMo/Dolma는 조 단위 토큰 코퍼스의 데이터시트와 라이선스를 통째로 공개했고, Pleias의 Common Corpus는 출처를 컬렉션·라이선스 단위로 열거한다. Data Provenance Initiative는 1,800개가 넘는 데이터셋을 손으로 감사해 '라이선스 미상' 비율을 72%에서 30%로 줄였다. 누군가는 이미 출처를 밝히고 있고, 제3자 감사만으로도 출처 규명이 가능하다는 게 증명됐다. 그렇다면 남는 결론은 하나다. 밝힐 수 없어서가 아니라, 밝히지 않기로 한 것이다.
제3자 감사의 힘은 목록을 복원하는 데서 그치지 않는다. Data Provenance Initiative가 1,800개가 넘는 데이터셋을 하나씩 뜯어봤더니, 저장소에 적힌 라이선스가 실제 조건보다 오히려 관대하게 표시된 경우가 드물지 않았다. 공개돼 있다고 알려진 데이터조차 실제 허용 범위는 표기보다 좁을 수 있다는 뜻이고, 이후 감사 대상은 수백 개 조직과 수십 개국의 데이터셋으로 넓어졌다. 벤더가 스스로 밝히지 않아도 바깥에서 들여다보면 출처와 조건의 상당 부분이 드러난다는 사실은, 이미 여러 차례 확인됐다. 밝히지 못할 이유가 없다는 증거가 계속 쌓이는 셈이다.
그리고 이 비공개는 MAI만의 일탈이 아니다. Stanford의 Foundation Model Transparency Index를 보면, 데이터 관련 하위영역(데이터 획득·데이터 속성)은 2023년부터 3년 연속 업계 최저 점수였고, '데이터 접근' 투명성은 2023년 20%에서 2024년 7%로 오히려 후퇴했다. 법적 리스크 우려가 원인으로 지목됐다. 지수 전체 참여율도 2024년 74%에서 2025년 30%로 떨어졌다. 출처를 감추는 건 예외가 아니라, 산업이 함께 뒷걸음질 치고 있는 방향이다.
검증할 수 없는 것을 산다: 조달팀의 딜레마
지금까지의 이야기는 벤더의 선택에 관한 것이었다. 이제 시선을 돌려, 그 데이터를 사는 쪽을 보자. AI 모델이나 데이터셋을 도입하는 법무·조달·컴플라이언스 담당자는, 벤더가 "우리 데이터는 문제없다"고 할 때 그 말을 어떻게 검증할까. 이론적으로는 여러 수단이 있다. 계약에 감사권을 넣을 수 있고, 데이터시트나 데이터 카드를 요구할 수 있고, 멤버십 추론 같은 기술적 수단을 동원할 수도 있으며, 제3자 인증이나 진술·보증 조항에 기댈 수도 있다. 문제는 이 수단들이 하나같이 한계가 뚜렷하다는 것이다.
| 검증 수단 | 한계 |
|---|---|
| 계약상 감사권 | 벤더가 응하는 범위에서만 유효하고, '경쟁상 이유'로 원료 목록은 감사 대상에서 빠지기 일쑤다. 감사할 문서가 애초에 없으면 감사권도 공문(空文)이다. |
| 데이터시트 · 데이터 카드 | 출처를 문서화하도록 요구하는 표준이지만, 벤더가 카테고리째 "비공개"라고 적어 내면 형식은 채워도 내용은 비어 있다. |
| 멤버십 추론 | "이 문서가 학습에 쓰였을 확률"을 추정할 뿐, "코퍼스가 무엇으로 구성됐나"를 목록으로 복원하지 못한다. 외부 검증의 기술적 상한이 여기 있다. |
| 제3자 인증 | B2B 구매자의 66% 이상이 SOC 2를 요구하지만, 그 인증은 보안 통제를 볼 뿐 '학습데이터 출처·편향 완화'까지 보증하지 않는다. |
| 진술 · 보증 조항 | 사후 배상의 근거는 되지만 사전 검증은 아니다. 문제가 터진 뒤 소송으로 다투는 장치이지, 문제를 막는 장치가 아니다. |
이 표가 냉정하게 보여주는 건, 조달팀이 손에 쥔 도구 대부분이 원료 층에 닿지 못한다는 사실이다. 감사권은 밝히기로 한 것만 감사하고, 멤버십 추론은 구성을 복원하지 못하며, 인증은 다른 곳을 본다. 그래서 수치가 이렇게 나온다. Kiteworks의 2026년 설문에 따르면 조직의 77%가 학습데이터 출처를 추적하지 못하고, 78%는 데이터가 파이프라인에 들어가기 전 검증하지 못한다. (벤더 발간 설문이라 '추정'으로 읽어야 하지만, 검증 무능력을 정량화한 가장 직접적인 공개 수치다.)
검증에 실패하면 리스크는 사라지지 않는다. 구매자에게 조용히 옮겨질 뿐이다. 출처가 불법이면 저작권 소급 책임이 구매자에게 번지고, EU AI Act의 범용 AI 학습데이터 요약 의무 같은 규제 노출도 구매자 몫이 된다. 데이터 계보를 벤더만 아는 상태에서는 감사도 재학습도 불가능하고(재현 불가), 결국 그 벤더 없이는 아무것도 못 하는 종속이 남는다. "검증할 수 없는 provenance를 산다"는 말의 실무적 의미가 바로 이 네 가지 전가다.
공개 스펙트럼과 조달 체크리스트
MAI를 유독 불투명한 예외로 몰아세우는 건 정확하지 않다. 출처 공개는 흑백이 아니라 스펙트럼이고, MAI는 그 위의 한 점이다. 한쪽 끝에는 소스를 개별적으로 열거하는 완전공개 진영(OLMo·Common Corpus)이 있고, 반대쪽 끝에는 데이터 얘기를 거의 하지 않는 폐쇄형 모델들이 있다. MAI는 그 사이, 도구는 공개하되 출처는 감추는 '부분공개' 구간에 있다.
스펙트럼을 아는 것만으로는 조달 담당자에게 실질적 도움이 안 된다. 필요한 건 "벤더가 어디쯤 있는지"를 층별로 따져 물을 수 있는 질문지다. 앞서 나눈 4층 모델을 그대로 체크리스트로 옮기면, 각 층에서 무엇을 요구할지와 무엇을 실제로 검증할 수 있는지가 분리돼 보인다. 요구할 수는 있지만 검증은 못 하는 층이 어디인지 아는 것, 그것이 이 표의 핵심이다.
| 층 | 요구할 것 | 검증 가능성 |
|---|---|---|
| 원료 (출처) |
소스 카테고리별 목록, 라이선스 유형, 취득 경로(구매/제휴/공개), 제3자 데이터 비중 | 낮음 — 벤더 진술 의존. 감사권·데이터시트로 '요구'는 가능하나 외부 재확인은 어렵다. |
| 정제 (도구) |
추출·필터·중복제거·품질검증 파이프라인의 도구와 설정 | 높음 — 도구가 공개되면 재현·검증 가능. MAI가 공개한 층. |
| 가공 (학습) |
학습 데이터 믹스 비율, 오염 제거 절차, 중간학습 데이터 성격 | 중간 — 규모·절차는 서술되나 실제 믹스는 재현 불가. |
| 포장 (카드) |
데이터 카드·모델 카드, 규제 대응 요약(EU AI Act 등) | 중간 — 문서 존재는 확인되나 상류가 불투명하면 내용은 검증 불가. |
규제는 이 격차를 좁히는 쪽으로 움직이고 있다. EU AI Act의 범용 AI(GPAI) 실무규약은 2025년 8월부터 학습데이터 '요약' 공개를 요구하고, 마이크로소프트도 여기에 서명했다. 다만 '요약'이 도구 나열에서 그칠지 출처 목록까지 갈지는 아직 정해지지 않았고, MAI가 실제로 그 요약을 공개했는지도 확인이 필요하다. 한국의 AI 기본법(2026-01-22 시행)도 방향은 같지만 유사한 사각지대를 남긴다. 규제가 최소선을 끌어올리는 동안, 그 최소선 위에서 무엇을 더 요구할지는 여전히 구매자의 협상력에 달려 있다. (참고로 AI 학습데이터 시장 규모는 기관별로 32억~119억 달러까지 편차가 크다. 정의가 제각각이라, 단일 숫자로 이 시장을 말하는 통계는 걸러 읽어야 한다.)
페블러스가 이 비대칭에 주목하는 이유
이 글은 처음부터 하나의 구분 위에서 움직였다. 검증할 수 있는 층과 검증할 수 없는 층. MAI 사례가 드러낸 건, 데이터 공급망에서 계측·문서화가 가능한 지점과 그렇지 않은 지점의 경계가 지금 어디에 그어져 있는가였다. 정제 도구는 계측되고 원료 출처는 계측되지 않는다. 이 경계는 기술의 한계가 아니라 관행의 선택이며, 관행은 바뀔 수 있다.
출처가 검증 불가능하면, 모델이 무엇을 학습했는지도, 그 안에 어떤 편향과 저작권 리스크가 들어앉았는지도 사후에 감사할 수 없다. 품질은 결과물(모델)이 아니라 공급망 상류(출처·조건)에서 이미 결정되기 때문이다. 상류가 불투명한 채로 하류에서 "깨끗하다"고 말하는 건, 검증을 포기한 선언이다. 그래서 진짜 질문은 "이 데이터가 깨끗한가"가 아니라 "이 데이터의 어느 층까지 우리가 계측하고 문서화할 수 있는가"로 옮겨간다.
Editor's Note. 페블러스가 다루는 AI-Ready Data와 DataClinic은 데이터가 학습에 들어가기 전 출처·품질·계보를 진단하고 기록하는 자리에 있다. 이 글이 짚은 '원료 층의 계측 공백'은 그 문제의식과 정확히 겹치는 지점이다. 다만 이 판단은 독자 각자의 조달 맥락에서 검증될 몫이며, 이 글의 결론을 특정 제품의 우월성 주장으로 읽을 필요는 없다. 이 리포트가 남기고 싶은 건 답이 아니라, 다음 계약서를 쓸 때 층을 나눠 묻는 습관이다. 벤더가 밝힌 것과 우리가 검증할 수 있는 것은 같지 않다.
참고문헌
1차 출처 · 사건
- 1.Microsoft AI. "Introducing MAI-Thinking-1." microsoft.ai, 2026-06-02.
- 2.Microsoft AI. "MAI-Thinking-1 Technical Report." microsoft.ai, 2026-06-02. (데이터 처리 도구 언급 · '사생활·법률·안전·경쟁' 비공개 사유 원문)
- 3.Kili Technology. "Data Story: Microsoft MAI-Thinking-1." kili-technology.com, 2026.
데이터 문서화 · 투명성 (학술)
- 4.Gebru, T. et al. "Datasheets for Datasets." Communications of the ACM, 2021 (arXiv:1803.09010).
- 5.Pushkarna, M., Zaldivar, A., Kjartansson, O. "Data Cards: Purposeful and Transparent Dataset Documentation." FAccT 2022 (arXiv:2204.01075).
- 6.Longpre, S. et al. "The Data Provenance Initiative: A Large Scale Audit of Dataset Licensing & Attribution in AI." arXiv:2310.16787, 2023 (Nature Machine Intelligence, 2024).
- 7.Bommasani, R. et al. "The Foundation Model Transparency Index." Stanford CRFM, v1.0 2023 / v1.1 2024 (2025판 arXiv:2512.10169).
- 8.Shokri, R. et al. "Membership Inference Attacks Against Machine Learning Models." IEEE S&P 2017 (arXiv:1610.05820). — 외부 검증 상한의 근거
공개 진영 · 규제 · 시장
- 9.Allen Institute for AI. "Dolma / OLMo: An Open Corpus and Language Model." allenai.org, 2023– (ODC-BY).
- 10.Pleias. "Common Corpus: The Largest Multilingual Open Dataset." arXiv:2506.01732, 2025 (HuggingFace README).
- 11.European Commission. "GPAI Code of Practice — Transparency & Training Data Summary Template." digital-strategy.ec.europa.eu, 2025-07.
- 12.Kiteworks. "2026 Data Security, Compliance and Risk Forecast Report." kiteworks.com, 2026. (조달 검증 실패율 77~78% — 벤더 발간 설문)
- 13.Columbia Journalism Review / SEC filings. "AI Content Licensing Deals: Reddit–Google, News Corp–OpenAI." 2024–2026. (라이선싱 딜 금액)
🔗 함께 읽기 — 같은 사건의 다른 층위
지난달 우리는 같은 모델을 두고 "깨끗하다는 선언은 증명되어야 한다"는 문제를 다뤘습니다 — '깨끗한 데이터'라고 말했다, 증명은 없었다. 이번 글은 그 선언 아래층, 무엇이 공개되고 무엇이 감춰졌는지의 비대칭을 봅니다. 데이터 계보를 파이프라인에 심는 실무 프레임은 데이터 계보(Data Lineage) 프레임워크에서 이어집니다.