이 문서는 자라는 중인 질문입니다. 아직 증거를 모으고 있으며, 내용이 바뀔 수 있습니다.
클라우드에 일을 맡길 때 가장 불편한 질문은 단순해. 서버를 빌려준 사업자가 실행 중인 내 데이터까지 볼 수 있느냐는 거야. 기밀 컴퓨팅은 그 질문의 범위를 실행 중인 코드와 메모리까지 넓혀, 인프라 운영자도 내용을 쉽게 읽지 못하게 하려는 하드웨어 보안 방식이야.
한 줄로 말하면
기밀 컴퓨팅은 실행 중인 워크로드를 일반 클라우드 운영 환경과 분리하고, attestation은 그 분리가 실제로 기대한 하드웨어와 시작 상태에서 이뤄졌는지 확인하는 증명 절차야.1
비유로 이해하기
평범한 클라우드 VM을 남의 건물 안에 둔 사무실이라고 생각해 보자. 문을 잠가도 건물 주인이 열쇠나 배관, 전기 설비를 쥔다는 찜찜함이 남아.
기밀 컴퓨팅은 사무실 안에 잠긴 금고를 하나 더 두는 쪽에 가까워. 건물 주인이 건물을 운영해도 금고 안의 문서에는 바로 손이 닿지 않아. 다만 금고가 진짜 약속한 모델이고, 처음 넣은 문서가 바뀌지 않았는지는 별도로 확인해야 해. 그 확인에 쓰는 영수증이 attestation이야.
여기까지가 이해를 돕는 비유야. 실제로는 CPU의 메모리 보호, 부팅 상태의 측정값, 칩이 만든 서명, 그 서명을 검증하는 인증서가 함께 움직여.
정확한 정의
기밀 컴퓨팅에서는 VM이나 격리된 실행 환경이 실행 중인 메모리를 보호하고, 검증자는 attestation 보고서로 그 환경의 상태와 정체성을 확인해. AWS의 AMD SEV-SNP 문서에서 이 보고서는 CPU에 요청할 수 있으며, 초기 메모리 내용과 vCPU 상태를 요약한 launch measurement와 AMD 신뢰 사슬로 검증할 수 있는 서명을 담는다고 설명해.1
중요한 건 암호화만이 아니야. 암호화 기능이 켜졌다는 클라우드 콘솔의 표시만으로는 검증자가 사업자를 믿어야 해. attestation은 허용한 초기 상태의 측정값과 실제 보고서의 측정값을 비교하고, 칩 서명이 신뢰할 수 있는 인증서 사슬로 이어지는지 확인할 길을 만들어.
flowchart LR A[허용한 시작 상태] --> E[측정값과 서명 검증] B[기밀 실행 환경] --> C[attestation 보고서] C --> E E --> F{정책과 일치하나?} F -->|예| G[복호화 키·비밀값 전달] F -->|아니오| H[전달하지 않음]
이 그림에서 핵심은 마지막 단계야. 보고서를 받아 보는 것만으로 보호가 완성되지는 않아. 검증 결과가 맞을 때에만 키나 비밀값을 전달하도록 연결해야, 검증이 실제 신뢰 결정이 돼.
왜 중요한가
기밀 컴퓨팅은 클라우드를 신뢰할지 말지의 문제를 조금 더 잘게 나눠. 사업자의 건물·네트워크·운영 도구는 계속 쓰되, 특정 워크로드의 실행 중 메모리와 시작 상태는 별도의 하드웨어 경계와 검증 절차에 맡기는 방식이야.
그래서 개인정보나 민감한 모델 입력처럼 노출 비용이 큰 데이터를 다루는 조직에서는 이 경계가 특히 중요해질 수 있어. 하지만 이것이 애플리케이션의 모든 취약점이나 잘못된 권한 설정을 자동으로 없애 준다는 뜻은 아니야. attestation이 직접 말해 주는 것은 측정된 시작 상태와 보고서 서명의 유효성이지, 그 위에서 돌아가는 모든 코드가 안전하다는 보증은 아니야.1
실제 예시
AWS는 2026년 7월 AMD SEV-SNP를 전용 호스트에서도 쓸 수 있게 했어. 고객은 한 물리 서버를 전용으로 할당하고, 인스턴스 배치와 host affinity를 통제하면서 기밀 컴퓨팅 환경을 구성할 수 있어.2
이 사례에서 보이는 구조는 AWS의 SEV-SNP 전용 호스트 정리에 더 자세히 나와 있어. 전용 호스트의 보고서는 칩별 VCEK 서명으로, 공용 환경의 보고서는 버전 단위 VLEK 서명으로 검증할 수 있다는 차이도 확인할 수 있어.1
Amazon을 읽을 때도 이 개념이 한 축이 돼. AI 인프라와 클라우드 서비스가 규제가 센 업무까지 넓어질 때, 컴퓨트 가격이나 성능만큼 “사업자도 내용을 못 본다”는 신뢰 경계가 어떤 방식으로 구현되는지 봐야 하기 때문이야.
헷갈리지 말아야 할 점
- 저장된 데이터 암호화와 같지 않아. 저장 데이터나 네트워크 구간의 암호화는 중요하지만, 기밀 컴퓨팅은 실행 중인 메모리와 실행 환경의 경계를 더 직접 다뤄.
- attestation은 안전 인증서가 아니야. 보고서는 특정 환경의 상태·정체성·서명을 검증하는 재료야. 허용할 측정값을 정하고, 결과에 따라 키를 줄지 말지 정하는 정책은 따로 필요해.
- 전용 서버와 같은 뜻이 아니야. 전용 호스트는 물리 서버를 한 고객에게 배정하는 방식이고, 기밀 컴퓨팅은 그 안의 실행 환경을 하드웨어적으로 보호하고 검증하는 방식이야. AWS의 이번 발표가 둘을 함께 제공한 것뿐이야.2
관련 문서
남은 질문들
- 검증된 환경에만 키를 전달하는 구조는 실제 서비스에서 어떤 정책과 운영 절차로 구현될까?
- AMD SEV-SNP와 Intel TDX는 측정값과 인증서 검증에서 어떤 차이를 보일까?
- 기밀 컴퓨팅은 애플리케이션 취약점, 관리자 권한, 네트워크 공격과 각각 어디에서 경계가 끝날까?
댓글