Failover Correctover — 왜 당신의 AI Gateway에 검증된 Failover가 필요한가

당신의 AI 앱에는 failover (장애 조치) 기능이 있습니다. 하지만 그것을 정말로 신뢰하십니까?

오늘날 모든 주요 AI gateway (게이트웨이) 및 proxy (프록시)에 대한 불편한 진실은 다음과 같습니다: 그들은 HTTP 200 응답이 돌아오는 즉시 제공업체를 전환합니다. 응답이 올바른지 확인한 후가 아닙니다. 모델의 정체성을 확인한 후도 아닙니다. 비용을 검증한 후도 아닙니다.

HTTP 200 ≠ 올바른 출력. 만약 당신의 failover가 이 차이를 구분하지 못한다면, 당신은 failover를 가진 것이 아니라 **가짜 보안 의식 (a false sense of security)**을 가진 것입니다.

문제점: 전송 계층 수준의 Failover는 충분하지 않다

오늘날 모든 "멀티 프로바이더 (multi-provider)" AI gateway (LiteLLM, Portkey, OpenRouter, Cloudflare AI Gateway)는 동일한 원시적인 모델을 사용합니다:

1. Provider A로 요청 → 타임아웃/에러 발생
2. Provider B로 재시도 → HTTP 200
3. ✅ 완료

하지만 다음과 같은 상황에서는 어떻게 될까요:

• Provider B가 요청한 것과 다른 모델을 반환할 때?
• 응답이 유효해 보이지만 의미론적으로 틀렸을 때?
• Provider B가 예상보다 10배 더 많은 비용을 청구할 때?
• 지연 시간 (latency)은 허용 가능한 수준이지만 drift rate (표류율)가 치명적일 때?

전통적인 gateway에서는 이 중 어떤 것도 failover를 트리거하지 않습니다. 왜냐하면 응답이 성공적으로 전송되었기 때문입니다 — 단지 올바르지 않았을 뿐입니다.

Correctover가 차별화되는 점

Correctover는 새로운 카테고리를 도입합니다: Verified Failover (검증된 장애 조치). failover 응답을 수락하기 전에, Correctover는 우리가 CANON이라고 부르는 6차원 계약 검증 엔진(contract validation engine)을 통해 이를 실행합니다:

계약 검증의 6가지 차원

차원	확인 사항	중요한 이유
Structure (구조)	응답 형식이 예상된 schema (스키마)와 일치하는지	JSON 파싱 실패 ≠ 유효한 응답
...

6가지 항목이 모두 통과될 때에만 Correctover는 failover 응답을 수락합니다. 그렇지 않으면 롤백(rollback)하거나, 다음 제공업체를 시도하거나, 호출자에게 구조적 에러를 반환합니다 — 절대 조용히 틀린 답을 내놓지 않습니다.

자가 치유 루프: MAPE-K

Correctover는 단순히 검증만 하는 것이 아니라 학습합니다. MAPE-K 적응형 루프 (Monitor (감시) → Analyze (분석) → Plan (계획) → Execute (실행) → Knowledge (지식))를 기반으로 구축되었습니다:

• Monitor (감시): 모든 제공자(Provider) 호출에 대한 실시간 텔레메트리 (Telemetry)
• Analyze (분석): 마이크로초(microsecond) 단위 진단을 수행하는 9개 클래스 결함 분류기 (Fault classifier)
• Plan (계획): 신뢰도(Confidence) 순으로 정렬된 88개의 자가 치유 (Self-healing) 규칙
• Execute (실행): 전체 계약 검증 (Contract validation)을 포함한 자동 페일오버 (Auto-failover)
• Knowledge (지식): 규칙은 시간이 지남에 따라 진화합니다 — 한 번 실패했던 방식은 다시는 동일하게 실패하지 않습니다

4가지 복구 레벨 (Recovery Levels)

레벨	작업	설명
L1	Retry (재시도)	백오프 (Backoff)를 적용한 투명한 재시도
...

아키텍처: 게이트웨이가 아닌 임베디드 SDK (Embedded SDK)

Correctover는 프록시(Proxy)도, SaaS도, 사이드카(Sidecar)도 아닙니다. 이것은 **임베디드 SDK (Embedded SDK)**입니다 — 단 한 번의 pip install (또는 npm install)만으로 귀하의 자체 프로세스 내에서 실행할 수 있습니다.

귀하의 앱 → Correctover SDK → 제공자 A | 제공자 B | 제공자 C
           (0ms 오버헤드, BYOK, 마크업 없음)

이 설계가 중요한 이유는 세 가지입니다:

1. 네트워크 오버헤드 제로 (Zero network overhead) — 프록시 게이트웨이를 거치는 추가적인 홉(Hop)이 없으므로 데이터가 프로세스를 절대 벗어나지 않습니다.
2. 마크업 제로 (Zero markup) — 귀하의 API 키가 제공자에게 직접 연결됩니다. 토큰 재판매나 숨겨진 수수료가 없습니다.
3. 설정 제로 (Zero configuration) — 단일 임포트(Import)만으로 기존의 OpenAI/Anthropic 클라이언트와 함께 작동합니다.

게이트웨이 비교 (The Gateways Comparison)

	LiteLLM	Portkey	OpenRouter	Correctover
아키텍처	Proxy/SDK	Cloud SaaS	Cloud routing	Embedded SDK
...

이것이 지금 중요한 이유

AI가 프로토타이핑에서 프로덕션(Production) 단계로 넘어가면서, 신뢰성(Reliability)이 가장 큰 장애물이 되고 있습니다. 프로덕션에서 LLM을 실행하는 기업들을 대상으로 한 설문 조사에서 다음과 같은 사항들이 지속적으로 주요 우려 사항으로 꼽혔습니다:

• 침묵하는 실패 (Silent failures): 모델이 올바르게 보이는 듯하지만 실제로는 그렇지 않은 값을 반환함
• 모델 드리프트 (Model drift): 뚜렷한 징후 없이 시간이 지남에 따라 성능이 저하됨
• 제공자 파편화 (Provider fragmentation): 각기 다른 제공자마다 서로 다른 실패 모드(Failure modes)를 가짐
• 비용 예측 불가능성 (Cost unpredictability): 비용이 많이 드는 제공자로 페일오버될 경우 예산을 초과함

전송 계층(Transport-level) 페일오버는 2010년대의 문제(서버 다운)를 해결했습니다. 하지만 2020년대의 문제 — 즉, 서버는 작동하지만 답변이 틀린 문제 — 는 해결하지 못합니다.

실제 작동 예시

# 전통적인 페일오버 — 모든 HTTP 200 응답에서 전환
client = LiteLLM(providers=["openai", "deepseek"])
result = client.chat(prompt)  # HTTP 200 → 맹목적으로 수락
...

핵심 요약

페일오버는 기본 요건(table stakes)입니다. 검증된 (Verified) 페일오버가 차별화 요소입니다.

• 전통적인 페일오버: HTTP 200 → 수락
• Correctover: HTTP 200 → 구조 검증 (validate structure) → 스키마 검증 (validate schema) → 지연 시간 검증 (validate latency) → 비용 검증 (validate cost) → 신원 검증 (validate identity) → 무결성 검증 (validate integrity) → 수락

만약 당신의 AI 시스템이 민감한 결정, 고객 데이터, 또는 프로덕션 트래픽을 처리한다면 — 단순히 페일오버만 하지 마세요. Correctover 하세요.

Correctover可瑞沃 — 엔터프라이즈 AI 신뢰성 인프라 (Enterprise AI Reliability Infrastructure). 오픈 소스 (Apache 2.0, 상업적 제한 포함). 사용해 보세요: pip install correctover | npm install correctover

페일오버는 전환(switch)할 뿐이지만, Correctover는 검증(verify)합니다.