Claude Fable 5의 30일 보존 정책: ZDR, HIPAA, COPPA

2026년 6월 12일 · claude-fable-5 · data-retention · compliance

정책의 실제 내용
30일 기간이 존재하는 이유
같은 요구사항, 세 개의 클라우드, 세 가지 메커니즘
엔터프라이즈 배포에 미치는 영향
소비자 대상 제품에 미치는 영향
민감 데이터 산업: 30일 보존이 가장 큰 타격을 주는 곳
의료 (HIPAA)
아동 대상 제품 (COPPA)
동일한 패턴, 다른 분야들
의사결정 체크리스트
결론
FAQ
출처

조직이 제로 데이터 보존(ZDR) 계약 하에 Claude를 운영하고 있다면, claude-fable-5에 대한 첫 번째 요청은 완성된 응답을 반환하지 않았을 것입니다. 대신 400 invalid_request_error가 반환됩니다. 이것은 장애가 아니라 정책입니다. Fable 5는 30일 데이터 보존 없이는 사용할 수 없는 최초의 일반 출시 Claude 모델이며, 이 요건은 모든 플랫폼에 동일하게 적용됩니다. Claude API, AWS Bedrock, Google Vertex AI, Microsoft Foundry 모두 명시적인 보존 동의를 거쳐야만 접근할 수 있습니다.

“우리는 데이터를 보존하지 않는다”는 것을 LLM 스택의 확정된 속성으로 여겨온 팀에게, 이것은 아키텍처적 사건입니다. 이 글에서는 정책의 내용, 해당 기간이 존재하는 이유, 각 클라우드의 구현 방식, 그리고 소비자 제품과 민감 데이터 산업에 미치는 변화를 다룹니다.

정책 세부 사항은 2026-06-12 기준으로 Anthropic, AWS, Google, Microsoft의 공개 문서를 참조하여 확인했습니다. 정책은 변경될 수 있으므로, 링크된 1차 출처 및 자체 계약서를 통해 반드시 확인하시기 바랍니다. 이 글은 엔지니어링 개요이며 법률 자문이 아닙니다.

정책의 실제 내용

Anthropic은 Claude Fable 5와 Claude Mythos 5를 Covered Models로 지정합니다. API 데이터 보존 문서와 Mythos 클래스 보존 관행 문서(2026-06-09 발효)에 따르면:

프롬프트와 완성 결과는 30일간 보존된 후 자동 삭제됩니다 — 단, 활성 안전 조사를 위해 플래그가 지정되거나 법적으로 요구되는 경우는 예외입니다.
옵트아웃은 없습니다. 보존은 모델 사용의 조건입니다. 보존 설정이 요건을 충족하지 않는 조직의 요청은 400 invalid_request_error를 반환합니다.
접근은 설계상 제한적입니다. 자동화된 안전 시스템이 데이터를 검토하며, 승인된 소수의 인원만이 플래그된 대화를 검토할 수 있고, 내보내기·복사·다운로드는 불가능하며, 모든 접근은 변조 방지 로그에 기록됩니다.
기존 ZDR 계약은 Covered Model 트래픽에 적용되지 않습니다 — 클라우드 플랫폼을 통한 경우도 포함됩니다.

소비자 플랜(Claude Free/Pro/Max)은 영향을 받지 않습니다 — 이미 자체 보존 약관 하에 운영되고 있습니다. 이 정책은 상업용 API 영역을 대상으로 하며, 바로 그곳에 “우리는 절대 보존하지 않는다”는 약속이 주로 존재합니다.

30일 기간이 존재하는 이유

Covered Models 문서의 근거는 구체적입니다. 이 모델들은 소프트웨어 엔지니어링, 에이전틱 워크플로우, 사이버보안 분야에서 상당히 향상된 역량을 갖추고 있으며, “일부 형태의 오용은 여러 요청에 걸쳐서만 탐지 가능합니다.” 언급된 사례 — best-of-N 탈옥, 국가 지원 스파이 활동 — 는 각각의 프롬프트는 무해해 보이지만 시퀀스 전체가 진단적인 공격 패턴입니다. 삭제한 시퀀스는 탐지할 수 없습니다.

이 기간이 아닌 두 가지:

학습 데이터가 아닙니다. Anthropic은 명시적 허가 없이 보존 데이터를 학습에 사용하지 않는다고 밝힙니다. 목적은 오용 탐지, 그것뿐입니다.
종류가 새로운 것이 아니라 — 강제성이 새로운 것입니다. 약 30일의 오용 모니터링 기간은 수년간 업계 기본값이었습니다. OpenAI는 API 오용 로그를 최대 30일 보관하고(ZDR은 승인 필요), Azure OpenAI는 수정된 오용 모니터링 승인을 받지 않는 한 프롬프트를 최대 30일 저장합니다. 달라진 점은 이 기간이 특정 모델 클래스에 대해 협상 불가능해졌다는 것입니다 — 이전에는 모든 공급자가 제로 보존 탈출구를 제공했습니다.

사람들을 놀라게 하는 기존의 주의 사항이 하나 있습니다. ZDR 하에서도 Anthropic은 안전 분류기 결과를 보존하며, 이용 정책 위반으로 플래그된 콘텐츠는 최대 2년간 보관될 수 있습니다. 제로 데이터 보존은 결코 데이터 제로를 의미하지 않았습니다 — 정상 경로에서 플래그되지 않은 콘텐츠의 보존이 없다는 의미입니다.

같은 요구사항, 세 개의 클라우드, 세 가지 메커니즘

보존 정책은 모델이 실행되는 곳 어디에나 적용되지만, 각 플랫폼마다 옵트인 방식이 다르게 구성되어 있습니다. 그리고 이 차이가 누가 데이터를 처리하고 어디에 제어권이 있는지를 결정합니다.

플랫폼	옵트인 메커니즘	범위	옵트인 없을 경우
Claude API	개인정보 보호 설정의 30일 보존	조직 또는 워크스페이스	`400 invalid_request_error`
AWS Bedrock	`data_retention_mode: provider_data_share`	계정 또는 프로젝트	모델이 `unavailable`로 표시되며 요청 차단
Google Vertex AI	Anthropic 데이터 공유 + Model Garden 약관	프로젝트	활성화 전까지 요청 차단
Microsoft Foundry	배포 시 Anthropic 약관 동의	구독/배포	Azure의 ZDR 프로그램 적용 대상 아님

AWS Bedrock이 가장 명시적입니다. 데이터 보존은 구성 가능한 모드(default / provider_data_share / none)로, 프로젝트 → 계정 → 모델 기본값 순으로 적용됩니다. Fable 5는 allowed_modes: ["provider_data_share"]를 선언합니다. 즉, 프롬프트와 완성 결과가 Anthropic과 공유되며 최대 30일간 보존됩니다. 다른 모드에서는 다음과 같이 표시됩니다:

{
  "id": "anthropic.claude-fable-5",
  "status": "unavailable",
  "status_reason": "This model is not available under data retention mode 'default'.",
  "data_retention": {
    "mode": "default",
    "source": "account",
    "allowed_modes": ["provider_data_share"]
  }
}

Fable 5 이전 모델에는 아무것도 변경되지 않았으며, bedrock:DataRetentionMode 조건 키에 SCP를 설정하면 조직 전체에 정책을 강제 적용할 수 있습니다. 즉, 누군가 새 모델을 시험해보려고 계정 설정을 몰래 바꾸는 일을 방지할 수 있습니다. 참고로, 교차 리전 추론을 사용할 경우 보존된 복사본은 대상 리전에 저장됩니다. 데이터 레지던시 요건이 있는 경우 이 점이 중요합니다.

Google Vertex AI는 프로젝트 수준의 Anthropic 데이터 공유 설정(dataSharingEnabledProvider: "anthropic"을 사용한 setPublisherModelConfig)과 Model Garden에서의 약관 동의를 통해 모델 접근을 제한합니다. 자세한 내용은 Google의 Fable 5 문서를 참고하세요. 일반적인 데이터 처리는 Vertex AI의 데이터 거버넌스 정책을 따릅니다. 레지던시에 민감한 워크로드의 경우, Vertex의 리전 및 멀티 리전 엔드포인트가 추론이 실행되는 위치를 제어하며, 이제 보존된 복사본이 저장되는 위치도 여기에 포함됩니다.

Microsoft Foundry는 구조적으로 다릅니다. Microsoft의 데이터 및 개인정보 보호 문서는 Claude 모델이 서드파티 마켓플레이스 서비스임을 명시합니다. 배포 시 Anthropic의 약관에 동의하며, Microsoft가 아닌 Anthropic이 데이터 처리자입니다. Azure OpenAI의 ZDR 및 수정된 남용 모니터링 프로그램은 Claude 배포에는 적용되지 않습니다. 다른 곳에서 ZDR 정책을 운영하는 조직은 일반적으로 Covered Model 사용을 전용 구독으로 격리하여, 보존 경계를 절차적이 아닌 구조적으로 만듭니다.

세 플랫폼 모두에서 나타나는 패턴은 동일합니다. 보존 클래스가 계약서의 한 단락이 아니라, 모드·플래그·약관 게이트 형태의 일급 머신 가독 모델 속성이 되었습니다. 이제 인프라가 데이터 정책을 강제 적용할 수 있으며, 실제로 그렇게 해야 합니다.

엔터프라이즈 배포에 미치는 영향

ZDR 계약이 없는 경우, 기계적으로 달라지는 것은 없습니다. 이미 30일 방식의 정책 하에 있었을 가능성이 높으며, 인지하지 못했을 수도 있습니다. 해야 할 작업은 이를 벤더 문서에 명시적으로 기록하는 것입니다.

ZDR 계약이 있는 경우, 세 가지 선택지가 있습니다:

Covered Model 사용 안 함. ZDR이 균일하게 유지되지만 해당 모델을 포기해야 합니다. 워크로드에 해당 모델이 필요하지 않다면 유효한 선택입니다. 비용과 차이점은 Fable 5 실측 평가를 참고하세요.
워크스페이스 또는 프로젝트별로 분리. 모든 플랫폼이 범위 지정 옵트인을 지원합니다. 지정된 Claude API 워크스페이스(콘솔 → 설정 → 워크스페이스 → 개인정보 보호 설정), provider_data_share가 설정된 Bedrock 프로젝트, 별도의 Vertex 프로젝트 또는 Azure 구독을 활용하세요. 보존을 허용할 수 있는 워크로드만 해당 경로로 라우팅하세요.
조직 전체에 보존 허용. 운영이 가장 단순하지만, ZDR을 정당화했던 민감한 워크로드를 포함한 모든 워크로드의 보장 수준이 조용히 낮아집니다. 이는 설정 변경이 아니라 데이터 보호 책임자가 내려야 할 결정입니다.

공급자와 무관하게: 자체 로깅은 두 번째 보존 표면입니다. 게이트웨이나 옵저버빌리티 스택이 전체 프롬프트를 로깅한다면, 공급자보다 더 긴 보존 기간을 자체 인프라에서 운영하는 셈입니다. 공급자의 보장은 그 앞단 레이어만큼만 의미가 있습니다. 캐시 클레임 감사에 적용했던 것과 동일한 감사 논리가 여기에도 적용됩니다.

소비자 대상 제품에 미치는 영향

소비자를 대상으로 서비스를 제공하면서 그들의 콘텐츠를 Covered Model을 통해 라우팅한다면, ZDR 계약 체결 여부와 관계없이 이 변경 사항은 귀사의 법적 책임 범위에도 파급됩니다. 구체적인 결과는 세 가지입니다.

1. 개인정보 처리방침을 업데이트해야 할 가능성이 높습니다. 대부분의 규정은 수집뿐만 아니라 보존에 대한 공개도 요구합니다. GDPR 제13조 제2항 (a)호는 수집 시점에 보존 기간(또는 기준)을 명시하도록 요구하며, 캘리포니아 CPRA는 수집 시 고지에 개인정보 범주별 보존 기간을 기재하도록 요구합니다. 귀사의 방침이 대화 데이터가 어디에도 보존되지 않는다고 명시하거나 암시하고 있다면, 처리자가 30일간 사본을 보유하는 것은 해당 방침에 위배됩니다. 고지 내용, 처리 기록, DPA 목록을 모두 업데이트하십시오.

2. 귀사가 보유하지 않은 옵트아웃 수단을 사용자에게 제공할 수 없습니다. 해당 보존에는 예외 메커니즘이 없으므로, 해당 모델을 계속 사용하면서 특정 사용자의 프롬프트를 면제할 수 있는 토글을 구현하는 것은 불가능합니다. 귀사가 실제로 활용할 수 있는 수단은 라우팅입니다. 동의 인식 게이트웨이는 데이터 공유를 거부한 사용자를 ZDR 적격 모델로, 그 외 사용자는 Covered Model로 라우팅합니다. 이는 법적 제약을 일반적인 라우팅 규칙으로 전환하는 방식으로, 아무런 효력이 없는 환경설정 체크박스보다 훨씬 나은 접근법입니다.

3. 삭제 요청 처리 체계가 정확하게 갖춰져 있어야 합니다. 삭제 의무(GDPR 제17조, CPRA 삭제 조항 및 이에 상응하는 규정)는 처리자에게도 적용됩니다. 30일 이내에 자동 삭제되는 제한된 보존 기간은 일반적으로 처리자로서 방어 가능한 입장이지만, DSAR 처리 절차서에 이를 명확히 기재해야 하며, 실행 불가능한 즉각적인 하위 처리자 삭제를 약속해서는 안 됩니다.

국제적 차원이 이를 더욱 복잡하게 만듭니다. 동일한 공개 및 처리자 논리가 영국 GDPR, 브라질 LGPD, 그리고 확산되고 있는 미국 주 개인정보보호법에도 적용됩니다. 중국 사용자의 경우, PIPL은 두 가지 더 엄격한 요건을 추가합니다. 개인정보를 다른 처리자에게 제공하려면 일반적으로 별도의 동의가 필요하며, 중국 사용자의 콘텐츠를 해외 LLM 엔드포인트로 라우팅하는 것은 인정된 메커니즘(보안 평가, 표준 계약 또는 인증)이 필요한 국경 간 이전에 해당합니다. 누가 무엇을, 어디서, 얼마나 오래 보존하는지를 변경하는 모델 업그레이드는 바로 이러한 프레임워크가 재검토를 요구하는 변경 사항에 해당합니다.

민감 데이터 산업: 30일 보존이 가장 큰 타격을 주는 곳

대부분의 제품에서 공급자의 보존 기간은 문서화 문제에 불과합니다. 그러나 데이터 자체가 규제 대상인 산업에서는 아키텍처 문제가 됩니다. 보존된 사본이 벤더에 저장된 규제 데이터이며, 해당 분야의 규정이 바로 그 부분을 관장하기 때문입니다.

의료 (HIPAA)

HIPAA는 보존 자체를 금지하지 않습니다. 다만 보호 건강 정보(PHI)를 보유하는 모든 벤더가 적절한 안전장치를 갖춘 사업 제휴 계약(BAA) 하에 이를 처리하도록 요구합니다. 30일간 보존된 프롬프트 사본은 사업 제휴자에게 저장된 PHI이며, 핵심 질문은 해당 BAA가 이를 포괄하는지 여부입니다. 두 주요 API 벤더는 이를 서로 다른 방식으로 구성하며, 그 차이가 이제 중요해졌습니다. Anthropic의 HIPAA 지원 API 액세스는 명시적으로 ZDR을 요구하지 않으며, 보존과 안전장치(암호화, 접근 제어, 감사 로깅, 기능 제한 적용)를 결합한 방식으로 구축되어 있습니다. OpenAI의 API BAA는 제로 데이터 보존(ZDR) 적격 엔드포인트를 포괄하며, ZDR 엔드포인트로 범위가 한정된 BAA는 구조적으로 보존을 의무화하는 모델을 포괄할 수 없습니다.

모델의 보존 등급은 이제 BAA 적격성 문제입니다. PHI를 라우팅하기 전에 해당 BAA가 특정 모델을 포괄하는지 서면으로 확인하십시오. 그리고 클라우드에 따라 책임 구조가 달라진다는 점을 기억하십시오. Bedrock에서는 플랫폼이 사업 제휴자이고, Foundry에서는 Anthropic이 직접 데이터를 처리합니다. 한 가지 주의할 점: PHI는 구조화된 출력을 위한 JSON 스키마 정의에 절대 포함되어서는 안 됩니다. 캐시된 스키마는 메시지 콘텐츠와 동일한 보호를 받지 못합니다.

아동 대상 제품 (COPPA)

시기가 좋지 않습니다. FTC의 개정 COPPA 규칙은 2025년 6월 23일에 발효되었으며, 대부분의 조항에 대한 준수 기한은 2026년 4월 22일입니다. 공급자 측 보존을 의무화하는 첫 번째 모델은 운영자들이 새로운 보존 의무 이행을 막 마무리하던 시점에 등장했습니다. 그 중 두 가지 조항이 30일 기간과 직접적으로 상호작용합니다. 서면으로 된 공개 데이터 보존 정책이 이제 의무화되었으며(§312.10), 아동 데이터가 수집되는 이유와 삭제 시점을 명시해야 합니다. 또한 무기한 보존이 금지되며, 보존은 수집 목적에 합리적으로 필요한 범위로 제한됩니다.

자동 삭제가 포함된 30일의 제한된 기간은 호환 가능한 형태입니다. 그러나 공급자는 귀사가 아동 데이터를 수집한 목적이 아닌 자체적인 신뢰 및 안전 목적으로 보존하며, 귀사의 고지는 처리자 관계를 정확하게 설명해야 합니다. 데이터 흔적을 최소화하기 위해 ZDR을 채택한 아동 대상 제품의 경우, 라우팅 결정이 더 높은 위험을 수반합니다. 아동 트래픽은 ZDR 적격 모델에 유지하거나, 해당 모델의 보존 기간을 §312.10 정책에 먼저 포함시켜야 합니다.

동일한 패턴, 다른 분야들

규제 데이터, 벤더에 보존된 사본, 보존을 규율하는 분야별 규정이라는 구조를 파악하면, 이 패턴이 반복적으로 나타납니다.

생체 정보 (일리노이주 BIPA): 운영자는 생체 데이터에 대한 서면으로 된 공개 보존 일정과 파기 지침이 필요합니다. 생체 식별자가 포함된 프롬프트의 공급자 측 30일 사본은 해당 일정에 포함되어야 합니다.
결제 (PCI DSS / GLBA): PCI DSS는 승인 후 민감한 인증 데이터를 어디에도 저장하는 것을 금지합니다. 프롬프트에 붙여넣은 카드 데이터는 공급자에게 30일간 보존되는 카드 데이터가 됩니다. 명확한 해결책은 다운스트림 서류 작업이 아닌 업스트림 마스킹입니다.
교육 (FERPA): 학교 공무원 예외 조항에 따라 학생 기록을 처리하는 벤더는 학교의 직접적인 통제 하에 있어야 합니다. 학교가 접근하거나 조기 삭제할 수 없는 안전 보존 사본은 해당 기준과 충돌할 수 있습니다. EdTech 트래픽이 해당 모델에 도달하기 전에 법률 자문을 구해야 할 사안입니다.
금융 서비스 — 역전 사례 (SEC/FINRA): 브로커-딜러는 장부 및 기록 규정에 따라 비즈니스 커뮤니케이션을 보존해야 합니다. 이들에게 공급자의 보존 기간은 문제가 아니며, 자체적인 규정 준수 사본을 확보하는 것이 과제입니다. 동일한 보존 문제이지만, 방향이 반대입니다.

공통된 핵심: 분야별 규정은 양방향으로 보존을 규율하며, 귀사가 통제할 수 없는 공급자 측 보존 기간은 귀사의 분야가 가리키는 방향에 맞게 매핑되어야 합니다.

의사결정 체크리스트

✅ 트래픽이 실제로 어떤 모델을 거치는지 파악하십시오. 보존 등급은 이제 공급자 단위가 아닌 모델 단위 속성입니다.
✅ ZDR을 보유하고 있다면: 의도적으로 결정하십시오 — 해당 모델을 건너뛰거나, 워크스페이스/프로젝트/구독으로 분리하거나, 조직 전체에 보존을 허용하십시오. 암묵적으로 처리되도록 방치하지 마십시오.
✅ 인프라에서 정책을 강제하십시오 — Bedrock SCP, 워크스페이스 개인정보 보호 제어, 별도의 클라우드 프로젝트 등을 활용하고, 위키 페이지에만 의존하지 마십시오.
✅ B2C: 개인정보 고지와 DSAR 플레이북을 업데이트하고, 동의하지 않은 사용자를 작동할 수 없는 옵트아웃 구조를 만드는 대신 ZDR 적격 모델로 라우팅하십시오.
✅ 규제 데이터: 모델별로 서면 적용 범위를 확인하십시오 — PHI에 대한 BAA, 아동 데이터에 대한 §312.10 정책, 생체 정보에 대한 보존 일정 — 해당 데이터를 보존 의무 모델로 라우팅하기 전에 확인하십시오.
✅ 자체 로깅을 감사하십시오. 귀사의 게이트웨이가 프롬프트를 무기한 로깅한다면 공급자의 30일 기간은 무의미합니다.

결론

Fable 5에 적용되는 30일 보존 기간은 데이터 수집을 위한 것이 아닙니다. 이는 범위가 한정되고 목적이 제한된 남용 모니터링으로, 대부분의 업계가 이미 기본적으로 시행하고 있는 방식과 일치합니다. 삭제된 데이터로는 요청 간 오용 탐지가 작동하지 않기 때문에, 특정 모델 클래스에 한해 의무화된 것입니다. 대부분의 팀에게 엔지니어링 측면의 영향은 전혀 없으며, 거버넌스 측면의 영향은 벤더 검토 문서에 한 단락을 추가하는 수준입니다.

그러나 컴플라이언스 입장이 완전한 무보존(zero retention)을 전제로 했던 조직, 즉 ZDR 범위의 BAA를 체결했거나, 아무것도 저장되지 않는다고 명시한 개인정보 처리방침을 운영하거나, 데이터 최소화 원칙을 기반으로 구축된 아동용 제품을 운영하는 경우, Fable 5는 그 전제가 모든 모델에 걸쳐 균일하게 적용되지 않게 된 전환점입니다. 해결책은 해당 모델을 피하는 것이 아닙니다. 가격이나 컨텍스트 윈도우를 이미 처리하는 방식과 동일하게, 보존 클래스를 라우팅 결정의 명시적인 모델별 입력값으로 만드는 것입니다.

FAQ

제로 데이터 보존(ZDR) 계약 하에서 Claude Fable 5를 사용할 수 있나요? 아니요. Fable 5와 Mythos 5는 30일 보존이 요구되는 Covered Model입니다. ZDR 조직은 워크스페이스에서 30일 보존을 활성화하고 Fable 5 트래픽을 해당 워크스페이스를 통해 라우팅하지 않는 한 400 invalid_request_error가 반환됩니다.

AWS Bedrock, Vertex AI, 또는 Microsoft Foundry를 통하면 이 요건을 피할 수 있나요? 아니요. 각 플랫폼은 자체적인 보존 동의 절차를 통해 모델 접근을 제한합니다. Bedrock에서는 provider_data_share, Vertex에서는 Anthropic 데이터 공유 및 Model Garden 약관, Foundry에서는 배포 시 Anthropic 약관(Foundry에서는 Microsoft가 아닌 Anthropic이 데이터 처리자)이 적용됩니다. 기존 ZDR 계약은 어느 플랫폼에서도 그대로 이전되지 않습니다.

최종 사용자가 데이터 보존을 거부할 수 있나요? 아니요. 옵트아웃 메커니즘은 존재하지 않습니다. 여러분이 가진 수단은 라우팅입니다. 데이터 공유를 거부하는 사용자는 ZDR 지원 모델로 라우팅하세요. 실제로 아무것도 변경하지 않는 환경설정 토글을 출시하지 마세요.

보존된 데이터가 모델 학습에 사용되나요? Anthropic은 명시적인 허가 없이는 보존된 데이터를 학습에 절대 사용하지 않는다고 밝히고 있습니다. 목적은 신뢰 및 안전 검토입니다. 자동화된 스크리닝을 수행하며, 플래그가 지정된 대화는 데이터를 내보낼 수 없고 변조 방지 접근 로그가 적용된 승인된 담당자만 검토할 수 있습니다.

30일 보존이 프롬프트 캐싱 방식에 영향을 주나요? 아니요. 캐시 항목은 자체적인 짧은 TTL(5분 또는 1시간)을 따르며, Fable 5의 캐싱 계약은 변경되지 않습니다. 자세한 내용은 측정 평가를 참조하세요. 30일 보존 기간은 안전 검토를 위한 별도의 병렬 보존입니다.

출처

모두 2026-06-12에 확인되었습니다. 정책은 변경될 수 있으므로 최신 문서 및 자체 계약을 기준으로 확인하시기 바랍니다. 법률 자문이 아닙니다.

← 블로그로 돌아가기