금융 보안 담당자가 구글의 최신 모델을 도입하라는 지시를 받았지만, 단 한 줄의 데이터도 외부 서버로 나갈 수 없다는 보안 규정 앞에서 멈춰 선 상황을 가정해 보자. 공공기관이나 국방 분야에서도 마찬가지다. 최첨단 AI의 성능은 필요하지만, 데이터가 Hyperscaler(대규모 클라우드 인프라를 운영하는 거대 기업)의 서버에 저장되거나 학습에 활용될 가능성이 있다면 도입 자체가 불가능하다. 지금까지의 기업용 AI 도입은 성능을 위해 보안을 일부 양보하거나, 보안을 위해 성능이 낮은 오픈소스 모델을 선택해야 하는 이분법적 선택지뿐이었다.

Cirrascale과 Google의 온프레미스 Gemini 패키지

Cirrascale Cloud Services(클라우드 인프라 제공 기업)는 Google Cloud와 파트너십을 확장하여 Gemini 모델을 온프레미스(자체 서버실에 직접 설치하는 방식)로 제공하는 Google Distributed Cloud(구글의 클라우드 서비스를 온프레미스로 확장하는 솔루션)를 발표했다. 이 서비스는 Dell이 제조하고 Google이 인증한 하드웨어 어플라이언스 형태로 제공된다. 해당 장비에는 8개의 Nvidia GPU가 탑재되어 있으며, Confidential Computing(데이터를 처리하는 동안에도 암호화하여 보호하는 기술) 보호 체계가 적용되었다.

기업이나 정부 기관은 이 시스템을 Cirrascale의 데이터 센터나 자체 시설 내부에 배치할 수 있으며, 인터넷 및 Google의 클라우드 인프라와 완전히 분리된 Air-gapped(외부 네트워크와 물리적으로 완전히 차단된 상태) 환경에서 운영할 수 있다. 현재 프리뷰 단계에 진입했으며, 정식 출시일은 6월 또는 7월로 예정되어 있다. Cirrascale의 CEO 데이브 드리거스는 이번 배포 버전이 기능을 축소한 버전이 아니라 전체 Gemini 모델이 그대로 탑재된 상태라고 밝혔다.

데이터 주권 확보를 위한 물리적 격리와 휘발성 메모리

이번 솔루션의 핵심은 모델의 Weights(모델이 학습한 지식이 저장된 수치 데이터)가 Google의 인프라가 아닌 고객이 소유하거나 관리하는 하드웨어에 직접 배치된다는 점이다. 이는 기존의 클라우드 확장 솔루션들이 API 형태로 모델에 접근하거나 일부 제어권만 제공하던 것과 근본적으로 다르다. 특히 보안을 위해 모델 전체를 Persistent Storage(전원이 꺼져도 데이터가 유지되는 저장 장치)가 아닌 Volatile Memory(전원이 꺼지면 데이터가 즉시 사라지는 휘발성 메모리)에만 상주시키는 방식을 채택했다. 전원 플러그를 뽑는 즉시 모델 데이터가 증발하도록 설계한 것이다.

사용자 세션 역시 캐시를 통해 운영되며, 세션이 종료되면 기본적으로 모든 입력값과 출력값이 자동으로 삭제된다. 만약 누군가 하드웨어를 물리적으로 뜯어내거나 Confidential Computing 설정을 위반하려는 시도를 하면, 시스템은 스스로 작동을 멈추는 일종의 시한폭탄 메커니즘을 작동시킨다. 위반 기록이 마커로 남게 되며, 해당 장비는 반드시 Dell이나 Google, Cirrascale로 회수되어야만 재사용이 가능하다. 이는 Google이 자사 최상위 모델의 가중치가 외부로 유출되는 것을 막기 위해 구축한 극단적인 보호 조치로 분석된다.

모델 업데이트 방식 또한 폐쇄망 환경에 최적화되었다. 일반적인 경우에는 전용 프라이빗 채널을 통해 잠시 연결하여 새 버전을 로드하지만, 단 1초의 외부 연결도 허용되지 않는 초고보안 환경을 위해 물리적 서버 교체 방식을 제공한다. 기존 서버를 뽑아 데이터를 완전히 소거한 뒤, 새 버전의 모델이 탑재된 서버로 통째로 교체하는 방식이다. 이러한 구조는 규제 준수가 필수적인 금융 서비스, 의료, 국방 분야에서 AI 도입의 가장 큰 걸림돌이었던 데이터 통제권 문제를 물리적 수준에서 해결한다.

이제 AI 모델의 경쟁력은 단순한 추론 성능을 넘어, 모델의 가중치를 얼마나 안전하게 고객의 물리적 공간에 가둘 수 있느냐는 통제권의 싸움으로 옮겨갔다.