클라우드에 서버를 하나 빌리면, 그 서버는 사실 남의 컴퓨터 위에서 돌아가는 가상 기계(VM)야. 그 남의 컴퓨터의 주인은 클라우드 사업자, 예를 들면 AWS지.
여기서 오래된 찜찜함이 하나 있어. 그 주인은 내 VM 안을 들여다볼 수 있을까? 메모리에 올라간 내 비밀번호나 개인정보를, 마음만 먹으면 볼 수 있을까? 은행이나 병원처럼 규제가 센 데는 이 질문이 진짜 걸림돌이야. “우리도 못 봅니다”를 기술로 증명하려는 게 **기밀 컴퓨팅(confidential computing)**이고, AWS가 2026년 7월 2일 그 조각 하나를 늘렸어.
무슨 발표였나
AWS가 발표한 건 한 줄로 이래: AMD SEV-SNP를 이제 “전용 호스트(Dedicated Host)“에서도 쓸 수 있다.
풀어보자. SEV-SNP는 AMD CPU 안에 들어 있는 기능이야. 두 가지를 해줘. 하나는 메모리 암호화 — VM의 메모리가 CPU 밖으로 나가는 순간 암호화돼서, 물리적으로 메모리를 뜯어봐도 내용을 읽을 수 없어. 다른 하나는 증명(attestation) — 이게 이 글의 핵심인데, 뒤에서 따로 볼게.
그럼 “전용 호스트”는 뭐가 새로운가? 원래 SEV-SNP는 여러 고객이 한 물리 서버를 나눠 쓰는 공용(shared) 환경에서도 됐어. 이번엔 한 고객이 물리 서버 한 대를 통째로 전용으로 쓰면서 그 위에 기밀 컴퓨팅을 얹을 수 있게 된 거야. 같은 물리 서버에 계속 배치되게 고정(host affinity)하거나, 배치를 직접 통제하고 싶은 규제 산업이 이걸 원해.
증명이 왜 심장인가
메모리 암호화만으로는 부족해. 암호화가 켜져 있다는 걸 내가 어떻게 믿지? 클라우드 콘솔에 “기밀 모드 ON”이라고 떠도, 그건 사업자의 말일 뿐이야. 사업자를 안 믿겠다는 게 애초의 출발점이었잖아.
그래서 증명이 필요해. 증명은 “이 VM이 진짜 정품 AMD 하드웨어 위에서, 위조되지 않은 상태로 켜졌다”는 걸 CPU가 직접 서명한 문서로 내주는 절차야. 그 문서(attestation report) 안에는 론치 측정값(launch measurement) — VM이 부팅된 초기 상태(메모리 내용, CPU 초기 상태)를 요약한 암호 해시 — 가 들어 있어. 이 서명은 AMD가 인증한 칩 고유 키로 되어 있고, 그 키는 결국 **AMD의 루트 신뢰(root of trust)**까지 사슬로 이어져. 그래서 검증하는 쪽은 AWS를 안 믿어도 돼 — AMD의 공개 인증서만 믿으면 되지.
이 손잡이가 실제로 어떻게 돌아가는지 그림으로 보면:
sequenceDiagram participant VM as 게스트 VM (내 워크로드) participant CPU as AMD 보안 프로세서 participant V as 검증자 (내 서버·고객) VM->>CPU: 증명 보고서 요청 CPU->>VM: 론치 측정값 + AMD 키로 서명한 보고서 VM->>V: 보고서 전달 V->>V: AMD 루트 신뢰로 서명·측정값 검증 Note over V: 통과해야만 비밀(키·데이터)을 넘김
서명 키가 두 종류라는 게 전용/공용의 차이를 드러내. 전용 호스트에서는 VCEK라는 칩마다 다른 고유 키로 서명하고, 공용에서는 VLEK라는 버전 단위 키로 서명해. 둘 다 AMD가 인증하고 AMD 인증서로 검증돼.
확인된 것과 대가
발표문은 “기밀 컴퓨팅 워크로드를 전용 물리 서버에서”라고 매끈하게 프레이밍했어. 사용자 가이드를 같이 읽으면 매끈함 밑의 실제 조건이 보여.
확인된 것. 이건 마케팅 용어가 아니라 CPU 하드웨어 기능이고, 증명 보고서라는 검증 가능한 산출물이 있어. AL2023·RHEL 9.3·Ubuntu 23.04 이후 같은 OS에서, uefi 부팅으로 지원돼. 전용 호스트에서 SEV-SNP를 쓰는 데 추가 요금은 없어 — 표준 전용 호스트 요금만 내면 돼.
대가와 제약. 공용(shared) 환경에서 SEV-SNP를 켜면 얘기가 달라져 — 해당 인스턴스 온디맨드 요금의 10%가 추가 요금으로 붙어. 그리고 SEV-SNP는 인스턴스를 켤 때만 활성화할 수 있고, 한 번 켜면 끌 수 없어. 최신 보안 펌웨어를 받으려면 전용 호스트를 반납하고 새로 할당해야 해. Nitro Enclaves나 하이버네이션과는 같이 못 써. 지원 인스턴스 타입도 m6a·c6a·r6a 계열로 한정돼. 기밀 컴퓨팅은 공짜로 얹히는 스위치가 아니라, 운영 방식을 바꾸는 결정이라는 뜻이야.
다음에 볼 것
이 조각이 큰 그림에서 어디에 놓이는지는 몇 가지로 갈려.
- 증명을 실제로 쓰는 사례. 발표는 기능을 켰다는 것까지야. 이게 의미를 가지려면, “우리는 증명 보고서를 검증한 VM에만 복호화 키를 넘긴다”는 식으로 증명을 실제 신뢰 결정에 엮는 서비스가 나와야 해. 기능 출시와 실사용은 다른 단계야.
- 규제 산업의 채택. 금융·의료가 “사업자도 못 본다”는 이 구조를 실제 준거로 받아들이는지.
- 경쟁 구도. 이건 AWS만의 얘기가 아니야. 다른 클라우드도 AMD SEV-SNP나 인텔 TDX 기반 기밀 컴퓨팅을 밀고 있어. “기밀 컴퓨팅”이 규제 워크로드의 기본값이 되는지, 특정 니치로 남는지가 앞으로의 질문이야.
클라우드를 안 믿고도 클라우드를 쓰는 법 — 그 조각 하나가 조용히 넓어졌어. 화려한 발표는 아니지만, “사업자조차 못 본다”를 하드웨어로 증명하려는 방향이 계속 굳어지고 있다는 신호야.