“Private Cloud Compute? 그게 도대체 뭔데, 정말 Private한 거야?”
AI가 화두가 되면서 개인정보 보호에 대한 관심사도 높아지고 있다. ChatGPT나 Gemini 없이 이제 살 수 없는 시대지만 그만큼 내 개인정보가 일반적인 Cloud에 노출되고 있는 것은 아닐까? 하는 생각이 든다면, Apple이 출시한 Private Cloud Compute(PCC)에 주목할 필요가 있다.
PCC 등장의 이유
Apple Intelligence는 대부분의 AI 처리를 기기 자체에서 한다. 간단한 텍스트 요약이나 사진 정리 같은 작업은 iPhone 안에서 끝난다. 그런데 문제는 더 복잡한 작업이다.
긴 문서를 정교하게 분석하거나, 여러 맥락을 이해해야 하는 복잡한 질문에는 더 큰 AI 모델이 필요하다. 하지만 그런 모델은 iPhone에 담기엔 너무 크다. 배터리도 금방 닳고 기기도 뜨거워진다.
그래서 클라우드를 쓸 수밖에 없다. 하지만 일반 클라우드에 데이터를 보내면 개인정보 보호라는 Apple의 핵심 가치가 무너진다. 바로 이 지점에서 PCC가 등장한다.
PCC의 5가지 핵심 원칙
1. 무상태 컴퓨팅 (Stateless Computation)
- 데이터는 요청 처리 순간에만 사용
- 처리 완료 후 즉시 삭제
- 저장, 기록, 재사용 일체 불가능
데이터는 요청을 처리하는 그 순간에만 쓰인다. 처리가 끝나면 즉시 삭제된다. 저장도, 기록도, 재사용도 없다는 것이 핵심이다.
2. 강제 가능한 보장 (Enforceable Guarantees)
- 단순한 ‘약속’이 아닌 코드 레벨에서 강제
- SSH 접속 자체가 불가능하도록 설계
- 데이터 저장용 디스크 자체를 제거
3. 비표적성 (Non-targetability)
- 공격자가 특정 사용자를 노릴 수 없는 구조
- 개인 해킹을 위해선 모든 사용자 데이터를 전부 뒤져야 함
- 개인 특정이 구조적으로 불가능
4. 실행 중 특권 접근 불가 (No Privileged Runtime Access)
- 운영 중인 서버에 Apple 직원도 접근 불가
- 백도어 없음
- 관리자 권한 없음
5. 검증 가능한 투명성 (Verifiable Transparency)
- 외부 전문가가 모든 보안 주장을 검증 가능
- Apple의 일방적 주장이 아닌 증명 가능한 시스템
- 투명성 로그를 통한 지속적 검증
PCC 동작 방법
1. Oblivious HTTP
- 요청이 Cloudflare 같은 제3자를 거쳐 익명화
- Apple은 사용자의 IP 주소를 알 수 없음
- 누가 보낸 요청인지 식별 불가능
2. Blind Signatures (블라인드 서명)
- 아케이드에서 돈을 넣고 익명의 코인을 받는 것과 유사
- 인증은 수행하되 신원과는 연결되지 않음
- 사용자 식별 없이 정당한 요청임을 증명
3. Secure Enclave (보안 인클레이브)
- 하드웨어에 내장된 별도의 보안 칩
- 개인 키 저장 및 보호
- 키가 하드웨어 외부로 절대 유출 불가능
4. 보안 부팅 및 강화된 OS
- 제한된 버전의 iOS 실행
- 해킹이나 수정이 거의 불가능
- 최소한의 기능만 탑재하여 공격 표면 축소
5. Remote Attestation (원격 증명)
- iPhone이 서버에 실행 중인 소프트웨어 확인
- 서버는 서명된 증명서로 응답
- 검증 완료 후에만 암호화된 데이터 전송
6. Transparency Log (투명성 로그)
- 서버에 배포되는 모든 소프트웨어를 공개 로그에 기록
- 보안 전문가의 오프라인 검증 가능
- 변조 불가능한 추가 전용 방식
하드웨어부터 다르다
PCC의 보안은 소프트웨어에서 끝나지 않는다. 하드웨어 레벨부터 철저하다.
모든 칩은 제조 시점부터 고유한 암호화 ID를 갖는다. 서버 기판은 광학 및 X-레이 검사를 거쳐 모든 부품이 Apple 사양에 맞는지 확인된다. 섀시를 열면 전원이 리셋되는 탬퍼 스위치가 있어서 물리적 침입 시도를 즉시 감지한다.
하드웨어가 서비스에 투입되기 전에는 ‘인증 의식(Certificate Ceremony)’을 거친다. Apple 직원 3명과 외부 감사관이 모여서 하드웨어 상태를 확인한다. 내부자 공모를 막기 위한 장치다.
완벽하지는 않다
PCC도 한계는 있다. Apple을 신뢰해야 한다는 점은 여전하다. 인증서를 안전하게 생성하고 관리한다는 믿음이 필요하다.
데이터 센터까지의 지연 시간 문제도 있다. 실시간 음성 처리 같은 데서는 약간의 지연이 느껴질 수 있다.
여러 겹의 암호화와 검증 과정 때문에 컴퓨팅 비용도 높다. 운영도 복잡하다. SSH 접속이 안 되고 로깅도 못 하니 문제가 생기면 디버깅이 어렵다.
사용자 식별이 불가능하니 사용량 추적도 안 된다. 기업 입장에선 고객별 비용 청구가 어려운 구조다.
업계 전체가 따라가고 있다
흥미로운 건 Apple만 이 길을 가는 게 아니라는 점이다. Google도 Private AI Compute를 발표했다. 원격 증명, 종단 간 암호화, TPU 기반 다층 보안을 쓴다. Apple과 비슷한 접근이다.
Microsoft Azure AI도 2024년 9월부터 프라이빗 추론을 시작했고, Meta도 프라이빗 처리를 추가했다. 프라이버시 중심 AI가 이제 선택이 아닌 기본이 되어가고 있다.
PCC 앞으로는?
먼저, 프라이버시와 성능의 양립 가능성이다. 지금까지 우리는 둘 중 하나를 선택해야 한다고 생각했다. 빠르고 강력한 AI를 원하면 프라이버시를 포기하거나, 프라이버시를 지키려면 성능을 포기해야 한다고. 하지만 PCC는 기술적으로 충분히 복잡하고 비용이 들지만, 두가지 목표를 달성 할 수 있다.
그리고, AI의 미래 방향성이다. 중앙화된 거대 서버가 모든 걸 처리하는 게 아니라, 기기와 프라이빗 클라우드의 조합이 표준이 될 수 있을 것 같다. 간단한 작업은 기기에서, 복잡한 작업은 안전한 클라우드에서. 이게 앞으로의 방향이 되지 않을까 한다.
앞으로 몇 년 내에 프라이빗 클라우드 컴퓨팅은 더 발전할 것 같다. Apple 의 PCC가 의미가 있는 것은 직원들이 아닌 사용자가 사용하는 PCC라는 점이다. 개인정보를 보호하면서 고성능의 AI를 활용 할 수 있게 되고 그를 통해서 사용자 가치를 창출 할 수 있을 것이다.