Private Cloud Compute (PCC)의 확장 - Apple Security Research

차세대 Apple Intelligence와 더불어, 오늘 우리는 Private Cloud Compute (PCC)를 Apple의 데이터 센터 너머로 확장합니다. Apple이 2024년에 Private Cloud Compute를 도입했을 때, 우리는 온디바이스 모델 (on-device models)이 처리할 수 있는 것보다 더 복잡한 AI 워크로드 (AI workloads)를 위해 Apple 기기의 보안과 개인정보 보호를 클라우드로 확장함으로써, 프라이빗 AI 추론 (private AI inference)의 새로운 지평을 열었습니다. 이제 우리는 Google 및 NVIDIA와 협력하여 Google Cloud에서 새로운 Apple Intelligence 워크로드를 실행하며, 업계 선도적인 PCC 개인정보 보호 약속을 사상 처음으로 제3자 데이터 센터까지 확장합니다.

올해 Apple은 Google과 협력하여 Gemini 모델 제품군의 기반 기술을 활용함으로써, Apple Intelligence 기능을 구동하는 차세대 Apple Foundation Models를 구축했습니다. 이 모델들은 온디바이스에서 클라우드에 이르기까지 폭넓게 적용됩니다. 에이전트 방식의 도구 사용 (agentic tool-use) 및 복잡한 추론 (complex reasoning)을 포함하여 가장 까다로운 작업을 위해, 우리는 Apple의 강력한 보안 및 개인정보 보호 기능을 유지하면서 NVIDIA GPU를 사용하는 Google Cloud 시스템으로 PCC 인프라를 확장하기 위해 Google 및 NVIDIA와 협력했습니다.

본래 세계 최고 수준의 소프트웨어 보안 기술과 Apple silicon을 기반으로 독점적으로 구축된 PCC는 클라우드 AI 개인정보 보호의 새로운 기준을 세웠으며, 가장 까다로운 Apple Intelligence 기능을 지속적으로 지원하고 있습니다. 그 이후로 업계 전반에서는 이론적으로 PCC의 보안 수준에 도달할 수 있도록 결합 가능한 일련의 기밀 추론 프리미티브 (confidential inference primitives)를 제공하기 위해 노력해 왔습니다. 하지만 오늘 전까지, 이러한 프리미티브들이 글로벌 규모로 운영될 수 있는 포괄적인 엔드 투 엔드 (end-to-end) 기밀 추론 파이프라인 (confidential inference pipeline)으로 통합된 적은 없었습니다. 이것이 바로 우리가 Google Cloud에서 PCC를 통해 해낸 일이며, 여기에는 외부 보안 연구자들이 우리의 개인정보 보호 약속을 검증할 수 있도록 하는 업계에서 가장 포괄적인 투명성 보장을 포함하여 모든 단계에 PCC의 탁월한 보안 및 개인정보 보호 특성이 통합되어 있습니다.

우리의 핵심 PCC 요구 사항은 동일하게 유지됩니다: 상태 비저장 연산 (stateless computation), 강제 가능한 보장 (enforceable guarantees), 특권 런타임 액세스 금지 (no privileged runtime access), 비대상성 (non-targetability), 그리고 검증 가능한 투명성 (verifiable transparency)입니다. Google Cloud 기반 PCC에서 새로워진 점은 구현 방식입니다: NVIDIA GPU를 활용한 NVIDIA Confidential Computing (기밀 컴퓨팅), Intel TDX가 적용된 Intel CPU, 그리고 Google의 Titan 칩이 도입되었습니다. 이러한 기반 위에서 Apple과 Google은 기존의 기밀 컴퓨팅 (confidential computing) 배포를 훨씬 뛰어넘는 역량을 구축하기 위해 협력했습니다:

• 우리는 사이드 채널 공격 (side-channel attacks)을 포함하여, 기밀 VM (confidential VM) 외부에서 특권 액세스를 활용하는 공격을 완화하기 위해 오직 기밀 컴퓨팅 기술에만 의존하지 않습니다. 우리는 펌웨어부터 호스트 및 게스트 OS 스택, 애플리케이션 코드에 이르기까지 모든 구성 요소를 우리의 검증 가능한 투명성 및 특권 액세스 금지 보장의 대상인 신뢰 컴퓨팅 기반 (trusted computing base)의 일부로 간주합니다.
• 공급망 공격 (supply chain attacks)의 위험을 완화하기 위해, 우리는 PCC 플릿 (fleet)의 일부인 모든 Google Cloud 하드웨어에 대해 암호학적으로 검증 가능하고 추가만 가능한 (append-only) 원장을 유지합니다. 침해될 경우 사용자 데이터를 유출하는 데 악용될 수 있는 구성 요소에 대해서는, 우리의 소프트웨어 증명 (software attestation)이 독립된 벤더로부터 제공되는 최소 두 개의 별도 신뢰 뿌리 (roots of trust)에 기반을 둡.
• 기밀 컴퓨팅과 함께 배포되더라도, 추론 스택 (inference stack)은 처음부터 개인정보 보호와 보안을 고려하여 설계되어야 한다고 믿습니다. Google Cloud 기반 PCC는 이러한 계층적 보호를 구현하기 위해 Apple 실리콘 기반 PCC와 동일한 많은 아키텍처 보안 패턴을 활용합니다: 각 요청에 대한 초기 네트워크 데이터 파싱은 자체 네임스페이스 (namespace) 내의 전용 프로세스에서 수행되며, 공유 추론 소프트웨어는 짧은 TTL (time-to-live) 기간과 함께 재사용되며, 증명된 키 (attested keys)는 외부 입력으로부터 격리된 별도의 전용 기밀 VM (confidential VM)에 보관됩니다.

이러한 기능들은 Apple의 하드웨어와 데이터 센터 외부에서도 사용자의 데이터가 PCC의 탁월한 보안 및 프라이버시 특성의 강력한 보호를 지속적으로 받을 수 있도록 보장하는 데 도움을 줍니다. 인프라가 어디에 호스팅되든 관계없이, Apple은 PCC 소프트웨어에 대한 완전한 제어권을 유지합니다. Apple 기기는 Apple에 의해 암호학적으로 승인된 PCC 소프트웨어만을 신뢰할 것입니다. Google Cloud 상의 PCC는 여름 프리뷰 기간 동안 전체 보호 기능 세트를 향해 점진적으로 확대될 예정입니다.

Apple silicon 기반의 PCC와 마찬가지로, 모든 바이너리(binaries)는 공개 검토를 위해 게시될 것입니다. 당사는 Apple Security Bounty Program을 통해 공개 연구용 도구와 연구 모드(research mode)의 라이브 PCC 노드에 대한 접근 권한을 제공하여, 보안 연구 커뮤니티에 동일한 수준의 접근 깊이를 유지할 것입니다. 당사는 이번 달 말에 열리는 Confidential Computing Summit에서 Google Cloud 상의 PCC에 대한 더 자세한 기술적 세부 정보를 공유할 예정이며, 올해 말 출시될 PCC 보안 가이드(Security Guide) 및 연구 프로그램 세부 정보 업데이트를 통해서도 내용을 공유할 것입니다.