Architecture
왜 소비자용 AI와 다른가
ChatGPT, Claude Max 등 소비자용 AI와 InvenTips의 구조적 차이를 비교합니다.
| 항목 | 소비자용 AI(ChatGPT / Claude Max) | InvenTips |
|---|---|---|
| Privilege Waiver (Heppner v. US, 2026.2) | 소비자 약관 적용 → privilege 부정 직격탄 (Max/Plus 동일) | Commercial ToS + DPA + 특허 전용 도구 → Rakoff dictum("변호사 지시 하 도구 사용") 활용 가능 |
| 약관 | 공개형 이용약관, 데이터 처리 범위 검토 필요 | 상업용 API 계약 및 설정 기반 운영 |
| 학습 사용 | 설정에 따라 가능 | 상업용 약관 및 설정 기준 학습 미사용 운영 |
| 데이터 보존 | 공개형 서비스 정책에 좌우 | 기능 제공에 필요한 범위만 private 저장 |
| 원본 파일 처리 | 서버에 보관 (삭제 통제 불가) | private bucket + signed URL + 권한 검증 |
| 비밀성 리스크 | 공개형 서비스 약관과 공유 범위 별도 검토 필요 | 업무용 API + 접근통제 + audit trail |
| 감사 추적 | 제한적 | 프로젝트별 이력 관리 |
Professional Use
전문가 서비스 운영 원칙
법률 단정이 아니라 현재 구현과 운영 원칙으로 설명되는 보안 기준입니다.
공개형 소비자 AI와 다른 점
InvenTips는 공개형 소비자 AI의 대화창이 아니라, 회원 인증, private storage, signed URL, 프로젝트 단위 접근 통제, 감사 이력 기능을 전제로 하는 업무용 서비스입니다. 따라서 보안 설명은 개별 사건의 법적 효과가 아니라 실제 기술 통제와 운영 사실을 기준으로 제시합니다.
사무소가 직접 정해야 하는 3가지
업로드 권한과 입력 범위
어떤 사건 데이터를 업로드할 수 있는지, 어떤 민감정보는 별도 절차를 거칠지에 대한 내부 기준은 사무소가 직접 정해야 합니다.
의뢰인 고지 및 기록 정책
AI 활용 사실을 어떻게 설명하고, 어떤 경우에 기록을 남길지에 대한 문서화 기준은 사건 유형별로 다를 수 있습니다.
최종 산출물 검토 책임
InvenTips는 초안 작성과 워크플로 지원 도구이며, 출원·의견서· 위임장 등 최종 산출물의 법적 적합성 검토는 담당 변리사의 책임 아래 수행되어야 합니다.
운영 원칙
“보안 페이지에는 계약과 구현으로 입증되는 사실만 기재하고, 개별 사건의 법적 효과는 별도 자문과 내부 정책으로 관리한다.”
InvenTips 적용: 상업용 API, private storage, signed URL, RLS, 감사 이력, 삭제 통제를 중심으로 사실 기반 보안 설명을 제공합니다. 개별 사건의 privilege·증거전략· 직역 규정 해석은 이 페이지가 대신하지 않습니다.
Operational Controls
운영 통제 구조
비밀유지 중심 설계
업로드 파일은 private bucket에 저장하고, 미리보기·다운로드는 권한 검증 후 signed URL로만 제공합니다. 프로젝트 삭제 및 계정 삭제 경로에서는 저장소 정리까지 연결합니다.
민감정보 최소수집 및 암호화
고위험 식별정보는 별도 암호화 저장하고, 일반 업무 데이터는 접근권한과 private storage로 보호합니다. 제로저장 모드는 서버 로그와 내부 오류 로그의 사용자 텍스트를 마스킹하는 옵션입니다.
상업용 AI 공급자 운영
Google Vertex AI: 상업용 계약 및 설정 기준으로 운영
Claude API: 상업용 API 약관 기준으로 운영
사무소 정책 지원 기능
위임장 내 AI 활용 안내 문구 삽입, 프로젝트별 이력 내보내기, 계정/프로젝트 삭제, 접근권한 검증 등 사무소별 운영 정책을 구현할 수 있는 기능을 제공합니다.
Technical Security
기술적 보안 조치
Private Storage + Signed URL
업로드된 파일은 public bucket에 두지 않습니다. private bucket에 저장하고, 화면 미리보기·다운로드는 권한 검증 후 signed URL로만 제공합니다. 임시 처리 업로드는 작업 후 정리합니다.
AI 학습 미사용 설정/약관
Google Vertex AI와 상업용 모델 공급자 설정·약관을 통해 입력 데이터가 모델 학습에 사용되지 않도록 운영합니다. 공급자 보존 정책은 계약 및 콘솔 설정을 따릅니다.
TLS 1.3 통신 암호화
모든 데이터 전송은 TLS 1.3으로 암호화됩니다.
Supabase RLS
Row Level Security로 사용자별 데이터 접근을 제어합니다.
프로젝트별 데이터 격리 + AI 세션 격리
Supabase RLS로 프로젝트별 데이터 격리. Vertex AI API는 stateless 호출이며 프로젝트 간 context가 공유되지 않습니다. A 사건의 정보가 B 사건 AI 세션에 참조되지 않습니다.
GCP asia-northeast3
Google Cloud Platform 서울 리전에서 호스팅됩니다.
민감식별정보 AES-256-GCM 암호화
주민번호·사업자번호 등 고위험 PII 필드는 AES-256-GCM으로 별도 암호화 저장되며, 일반 업무 데이터는 접근권한과 private storage로 보호됩니다.
정기 보안 점검
정기적으로 보안 취약점을 점검하고 패치합니다.
FAQ
자주 묻는 질문
Heppner v. US (S.D.N.Y. 2026.2) 판결 이후 변리사가 AI를 쓸 수 있나요?
Heppner는 소비자용 AI(Claude Max·ChatGPT Plus 등) 사용 시 attorney-client privilege를 부정한 판례입니다. Rakoff 판사는 ① AI는 변호사가 아님, ② 약관에 비밀성 보장 없음, ③ 범용 도구 — 3가지를 부정 근거로 명시했고, 동시에 dictum으로 "변호사 지시 하 사용했다면 결론이 달랐을 수 있다"고 남겼습니다. 즉 "전문 특허 AI 서비스(DPA + 특허 전용 + 매터 격리)는 방어 논거가 있다"는 의미입니다. 다만 한국에서는 PACP 미통과로 privilege 보호 자체가 약하고, AI 도구 사용 전 의뢰인 동의서 확보(변리사법 §23)와 프롬프트 가이드라인 수립은 사무소 측 별도 책임입니다.
AI가 내 발명을 학습하나요?
InvenTips는 소비자용 플랫폼이 아닌 상업용 API를 사용합니다. Google Vertex AI와 Anthropic Claude API는 상업용 약관 및 설정에 따라 운영되며, 사용자 입력 데이터의 학습 사용 여부는 해당 공급자의 공식 정책과 계약 조건을 기준으로 관리됩니다.
소송에서 AI 사용 기록이 문제되나요?
개별 사건에서 AI 활용 이력이 어떤 의미를 갖는지는 관할, 사실관계, 사건 기록 방식에 따라 달라집니다. InvenTips는 프로젝트별 이력 내보내기와 접근통제를 제공하지만, privilege·증거전략·직역 규정에 관한 최종 판단은 담당 전문가와 별도 법률 자문에 따라야 합니다.
의뢰인에게 AI 사용 동의를 받아야 하나요?
사건 유형, 사무소 내부 정책, 적용 법령 또는 직역 가이드에 따라 사전 고지나 설명이 필요할 수 있습니다. InvenTips는 위임장 작성 시 AI 활용 안내 문구를 삽입할 수 있도록 지원하지만, 법적 충족 여부는 담당 변리사 또는 자문을 통해 별도로 검토해야 합니다.
AI 사용 기록을 보존해야 하나요?
보존 필요성은 사건 특성, 사무소 정책, 분쟁 대비 수준에 따라 달라집니다. InvenTips는 프로젝트별 AI 활용 이력(Audit Trail) 내보내기 기능을 제공하므로, 사무소의 기록 보존 정책에 맞게 활용할 수 있습니다.