데이터 복호화 없이 AI 추론 완료, AWS SageMaker의 동형암호(FHE) 적용

SageMaker AI와 concrete-ml이 구현한 '끝단 암호화' 추론

기존의 클라우드 AI 추론은 데이터를 처리하기 위해 서버에서 암호화된 정보를 복호화하는 과정을 거치지만, 이번 방식은 복호화 단계 자체를 없앴다. Amazon SageMaker AI에 완전동형암호(FHE, Fully Homomorphic Encryption)를 적용해 데이터가 암호화된 상태 그대로 연산을 수행하는 체계다. 의료 기록이나 기업 기밀, 개인 간 통신 내용처럼 민감한 데이터를 처리할 때 클라우드 사업자에게 데이터를 노출하지 않고도 추론 결과를 얻을 수 있다. 사용자가 제출하는 쿼리는 물론, 모델 내부에서 발생하는 중간 계산값과 최종 응답까지 전체 과정이 암호화되어 유지되므로 인프라를 운영하는 SageMaker AI 자체도 데이터의 실제 내용을 읽을 수 없다.

이러한 끝단 암호화를 가능하게 하는 기술적 도구는 Zama의 concrete-ml 라이브러리다. 이전에는 SEAL과 같은 저수준 라이브러리를 이용해 선형 회귀 알고리즘을 수동으로 설계하고 구현해야 했으나, concrete-ml은 고수준 라이브러리로서 업계 표준인 scikit-learn과 API 호환성을 갖췄다. 개발자는 scikit-learn 기반의 기존 작업 흐름을 크게 바꾸지 않고도 모델을 FHE 형태로 변환하여 배포할 수 있다.

S3 기반의 암호화 쿼리-응답 워크플로우

SageMaker AI의 FHE 워크플로우는 평문 학습과 암호화 추론을 분리하는 구조를 취한다. 먼저 일반적인 평문 데이터로 모델을 학습시킨 뒤, concrete-ml 라이브러리를 통해 이를 FHE 모델로 변환한다. 이 과정에서 추론 엔드포인트 구동에 필요한 server.zip과 클라이언트가 쿼리를 암호화하는 데 필요한 client.zip 파일이 각각 생성되어 모델 버킷에 저장된다.

실제 추론 단계에서는 데이터가 API 호출 시 직접 전송되지 않고 Amazon S3를 매개체로 이동한다. 클라이언트는 client.zip을 이용해 쿼리를 암호화한 뒤 S3에 저장하고, 서버에는 해당 S3 경로만을 쿼리로 제출한다. 서버는 제출된 경로를 통해 암호화된 쿼리와 평가 키를 S3에서 다운로드하여 연산을 수행하며, 최종 도출된 암호화된 예측값을 다시 S3의 지정된 경로에 기록한다.

S3 기반 우회 경로를 택한 이유는 데이터 전송 시 발생하는 인코딩 오버헤드를 제거하기 위해서다. 클라이언트 쿼리는 평가 키 위치를 포함한 복잡한 JSON 구조를 가지므로, 이를 API 요청 JSON 내부에 직접 포함하려면 Base64와 같은 추가 인코딩 과정이 필수적이다. S3 경로를 주고받는 방식을 통해 이러한 인코딩 단계를 생략해 처리 시간과 네트워크 부하를 줄였다.

python

predictor.py 내 S3 경로 기반 쿼리/키 다운로드 및 결과 쓰기 로직

def predict(self, input_data):

입력 데이터에서 S3 경로 추출

query_path = input_data['query_s3_path']

key_path = input_data['key_s3_path']

result_path = input_data['result_s3_path']

S3에서 암호화된 쿼리와 평가 키 다운로드

encrypted_query = self.s3_client.get_object(Bucket=self.bucket, Key=query_path)

evaluation_key = self.s3_client.get_object(Bucket=self.bucket, Key=key_path)

FHE 모델을 이용한 암호화 상태 추론 수행

encrypted_prediction = self.fhe_model.evaluate(encrypted_query, evaluation_key)

암호화된 예측값을 S3에 기록

self.s3_client.put_object(Bucket=self.bucket, Key=result_path, Body=encrypted_prediction)

return {"status": "completed", "output_path": result_path}

수학적 보안(FHE)과 하드웨어 격리(Nitro Enclaves)의 차이

S3를 통한 데이터 흐름을 확보했다면, 다음은 어떤 보안 계층을 사용할지 결정해야 한다. AWS Nitro Enclaves는 하드웨어적으로 격리된 신뢰 실행 환경(TEE)을 제공한다. Amazon EC2 내에서 CPU와 메모리를 물리적으로 분리하여 시스템 관리자조차 접근할 수 없는 독립된 영역을 구축하며, 데이터는 이 격리된 환경 내부로 진입한 직후 복호화되어 평문 상태로 처리된다. 보안의 근거가 하드웨어와 소프트웨어의 물리적 격리벽과 엄격한 접근 제어 권한에 의존하는 구조다.

반면 완전동형암호(FHE)는 복호화 과정 자체를 완전히 생략한다. 데이터를 암호화된 상태 그대로 연산하며 결과값 역시 암호화된 형태로 도출하는 수학적 기법이다. 사용자가 보낸 암호화 쿼리부터 추론 과정의 중간값, 최종 응답에 이르기까지 모든 단계에서 데이터가 평문으로 노출되는 순간이 없다. 보안의 근거를 하드웨어의 격리 성능이 아니라 암호학의 수학적 난제에 둔다.

양자화와 자원 확장을 통한 성능 오버헤드 최적화

FHE의 수학적 보안성을 얻는 대신 감수해야 하는 비용은 막대한 연산 오버헤드다. 평문 상태의 추론과 비교하면 FHE 기반 추론은 최대 100,000배까지 느려진다. 이를 해결하기 위해 우선적으로 적용된 기법은 양자화(Quantization)다. concrete-ml 라이브러리는 수치 정밀도가 낮을수록 실행 시간이 단축되는 특성이 있다. 실제로 ml.m5.xlarge 인스턴스에서 평문 추론 시 67ms였던 처리 시간은 양자화를 적용했을 때 187초로 기록되어, 오버헤드를 2,800배 수준으로 낮췄으며 모델의 정확도 손실은 발생하지 않았다.

컴퓨팅 자원을 물리적으로 확장하면 지연 시간은 더 줄어든다. vCPU 수를 늘린 ml.m5.24xlarge 인스턴스를 투입하면 추론 시간은 46초까지 단축되며, 평문 대비 오버헤드는 500배까지 떨어진다. 이는 밀리초 단위의 실시간 응답이 필요 없는 배치성 민감 데이터 처리나 비동기 추론 작업에서 FHE가 실질적인 대안이 될 수 있음을 보여준다.

기술적 구현의 핵심인 concrete-ml 라이브러리는 사용 목적에 따라 이용 조건이 구분된다. 초기 프로토타이핑이나 비상업적 연구 용도로는 무료로 제공되지만, 실제 제품에 통합하여 수익을 창출하는 상업적 이용 단계에서는 별도의 유료 라이선스를 취득해야 한다.

규제 산업의 클라우드 전환을 위한 기술적 적용 방안

국내 의료 및 금융 분야처럼 복호화가 엄격히 금지된 규제 산업에서는 데이터 외부 유출 위험 때문에 효율성이 떨어지는 온프레미스 환경에 AI 모델을 유지해 왔다. 기존 클라우드 AI 추론은 연산을 위해 데이터를 평문으로 푸는 복호화 단계가 필수적이었고, 이 과정에서 클라우드 사업자에게 데이터가 노출될 가능성이 있었기 때문이다.

Amazon SageMaker AI의 FHE 적용은 이 복호화 단계를 제거함으로써 규제 산업 내 AI 모델의 클라우드 마이그레이션을 가능하게 한다. 쿼리와 응답, 중간값까지 모두 암호화된 상태로 유지하므로 AWS조차 데이터 내용을 읽을 수 없다. 다만 500배에서 100,000배에 달하는 성능 저하라는 명확한 비용이 존재하므로, 즉각적인 응답이 필요 없는 배치 추론이나 극도의 보안이 요구되는 특수 목적 서비스에 우선 적용하는 것이 현실적이다.

결국 도입의 핵심은 하드웨어 격리에 의존하는 Nitro Enclaves의 성능과 수학적 알고리즘 기반인 FHE의 절대적 보안성 사이에서, 요구되는 보안 수준과 성능 저하 수용 가능 여부를 기준으로 기술 스택을 선택하는 것이다.

의료 기록이나 기업 기밀처럼 클라우드 전송 시 복호화가 필수적이었던 민감 데이터 처리의 전제가 바뀐다. SageMaker AI는 scikit-learn과 호환되는 concrete-ml 라이브러리를 통해 쿼리와 응답, 중간값까지 모두 암호화된 상태로 유지하며 추론을 수행하는 구조를 구현했다.

이제 판단 기준은 하드웨어 격리 방식인 Nitro Enclaves의 보안성과 수학적 알고리즘 기반인 FHE의 절대적 보안성 사이의 선택으로 좁혀진다. 500배에서 100,000배에 달하는 성능 저하를 감수하고서라도 데이터 제어권을 완전히 확보해야 하는가라는 실무적 비용 계산이 도입의 최종 결정권을 쥔다.