컨피덴셜 컴퓨팅이란? — 30초 핵심 요약

컨피덴셜 컴퓨팅(Confidential Computing)은 데이터가 CPU 메모리에서 처리되는 순간, 즉 ‘사용 중(in-use)’ 상태에서도 암호화된 상태로 보호받는 기술입니다. 저장 중 암호화(at-rest)와 전송 중 암호화(in-transit)에 이어 마지막으로 닫히는 보안의 삼각형입니다.

가트너는 2026년 10대 전략 기술 트렌드 중 세 번째로 컨피덴셜 컴퓨팅을 선정하며, “2029년까지 신뢰할 수 없는 인프라에서 실행되는 업무의 75% 이상이 이 방식을 적용할 것”이라고 예측했습니다. 단순 보안 기능을 넘어, AI 클라우드 시대의 핵심 인프라로 자리매김하고 있습니다.

기밀 컴퓨팅 컨소시엄(CCC)의 공식 정의는 “하드웨어 기반의 신뢰 실행 환경(TEE: Trusted Execution Environment)에서 연산을 수행함으로써 사용 중인 데이터를 보호하는 것”입니다. Intel, AMD, ARM, Google, Microsoft, NVIDIA가 창립 멤버로 참여한 리눅스재단 산하 조직이 이 기술 표준을 주도하고 있습니다.

▲ 목차로 돌아가기

암호화의 사각지대: ‘사용 중 데이터’ 문제

삼성전자 사태가 드러낸 본질

2023년 초, 삼성전자 직원들이 내부 반도체 설계 코드와 회의 내용을 ChatGPT에 입력하며 데이터가 OpenAI 서버로 전송된 사실이 뒤늦게 알려졌습니다. 삼성은 즉각 생성형 AI 사용을 전면 금지했지만, 이 사건이 드러낸 본질은 단순한 실수가 아닙니다. 데이터를 외부 시스템에 넘기는 순간, 그것이 어떻게 처리되는지 아무도 통제할 수 없다는 구조적 문제입니다.

수십 년간 존재해온 암호화의 빈틈

데이터 보안의 기존 삼각형을 다시 봐야 합니다. 저장된 데이터(data at rest)는 디스크 암호화로 보호됩니다. 네트워크를 이동하는 데이터(data in transit)는 TLS/SSL로 보호됩니다. 그런데 CPU가 연산을 수행하는 그 순간만큼은 데이터가 반드시 평문(plain text) 상태로 메모리에 올라와야 합니다. 이 순간은 지난 수십 년간 암호화의 손이 닿지 않는 사각지대였습니다.

클라우드 제공업체 내부 직원이 메모리를 들여다볼 수 있고, 법원 명령이나 정부 요청으로 제3자에게 데이터가 넘어갈 수도 있습니다. 이 구조적 취약성이 금융기관·의료기관·공공기관이 가장 민감한 데이터를 온프레미스에 남겨두는 이유였습니다. 컨피덴셜 컴퓨팅은 바로 이 문제를 하드웨어 수준에서 해결합니다.

▲ 목차로 돌아가기

핵심 기술 TEE — CPU 안에 금고를 만드는 방법

엔클레이브(Enclave): 보이지 않는 금고

신뢰 실행 환경(TEE)의 핵심 개념은 ‘엔클레이브’입니다. CPU 내부에 격리된 메모리 영역을 만들어, 그 안에서 실행되는 코드와 데이터는 외부에서 읽거나 수정할 수 없습니다. 운영체제 커널도, 하이퍼바이저도, 클라우드 관리자도 이 영역을 들여다볼 수 없습니다. 데이터는 L3 캐시를 벗어나 DRAM으로 이동할 때 CPU 칩 레벨에서 자동 암호화되며, 복호화는 오직 CPU 내부에서만 이루어집니다.

두 가지 격리 방식: 프로세스 vs 가상머신

TEE 구현 방식은 크게 두 가지로 진화했습니다. 프로세스 기반 격리(Application Enclave)는 애플리케이션을 ‘신뢰하는 부분’과 ‘신뢰하지 않는 부분’으로 나눠 민감한 코드만 엔클레이브에서 실행하는 방식입니다. 공격 표면이 작아 보안성이 높지만, 기존 코드를 수정해야 하는 개발 부담이 있습니다. Intel SGX가 대표적입니다.

가상 머신 기반 격리(Confidential VM)는 VM 전체를 하나의 TEE로 간주해 보호합니다. 기존 애플리케이션을 코드 수정 없이 그대로 옮길 수 있는 ‘리프트 앤 시프트(Lift and Shift)’가 가능해, 기밀 컴퓨팅 대중화의 게임체인저로 평가받고 있습니다. Intel TDX, AMD SEV가 이 방식을 대표합니다.

원격 증명(Remote Attestation): 신뢰를 기술로 증명하다

TEE가 존재한다는 것만으로는 부족합니다. “이 TEE가 진짜이고, 기대하는 코드가 변조 없이 실행되고 있다”는 것을 원격에서 어떻게 확인하느냐가 핵심입니다. 원격 증명(Remote Attestation)은 TEE가 자신의 실행 상태를 CPU 제조사의 루트 키로 서명된 보고서로 만들어 외부에 제출하는 메커니즘입니다. “신뢰하지 않아도 된다, 검증하면 된다”는 컨피덴셜 컴퓨팅의 핵심 철학이 여기서 나옵니다. 이는 최근 보안 주류인 제로 트러스트(Zero Trust) 아키텍처와 정확히 맞닿습니다.

▲ 목차로 돌아가기

Intel TDX · AMD SEV · NVIDIA H100 최신 동향

Intel TDX — 2026년 2월 Azure에서 정식 출시

2026년 2월 26일, Microsoft Azure는 5세대 Intel Xeon 프로세서 기반 Intel TDX(Trust Domain Extensions) 컨피덴셜 VM의 정식 서비스(GA)를 발표했습니다. DCesv6·ECesv6 시리즈로 제공되며, 최대 128 vCPU·512 GiB 메모리를 지원합니다. 기존 SCSI 대비 NVMe를 채택해 처리량 5배 향상, 지연시간 16% 감소를 달성했습니다. 보쉬(Bosch)·탈레스(Thales)·TDC 에르베르우 등 글로벌 기업들이 즉시 도입을 선언했으며, 코드 수정 없이 기존 워크로드를 그대로 이전할 수 있다는 점이 핵심 경쟁력입니다.

AMD SEV-SNP — 세 번째 세대, 클라우드 표준이 되다

AMD SEV(Secure Encrypted Virtualization)의 세 번째 진화인 SEV-SNP는 VM 메모리 전체 암호화를 넘어 CPU 레지스터까지 암호화(SEV-ES)하고, 악의적 메모리 재매핑 공격까지 방어합니다. AWS, Azure, Google Cloud 모두 AMD SEV 기반 컨피덴셜 VM을 이미 상용 서비스로 제공 중이며, Intel TDX와 함께 클라우드 컨피덴셜 컴퓨팅의 양대 축을 형성하고 있습니다.

NVIDIA H100 — GPU 최초 TEE, AI 추론 보안의 혁신

AI 학습과 추론은 CPU가 아닌 GPU에서 이루어지고, 수십억 파라미터 모델 가중치가 GPU 메모리에 적재됩니다. NVIDIA H100은 GPU 최초로 하드웨어 기반 TEE를 지원하며, GPU 메모리 암호화와 CPU-GPU 간 PCIe 버스 통신 보호를 동시에 제공합니다. 기밀 컴퓨팅 모드에서의 성능 오버헤드는 대부분의 LLM 추론에서 5% 미만으로 측정됐습니다. 이는 보안과 성능을 동시에 포기하지 않아도 된다는 것을 의미합니다.

▲ 목차로 돌아가기

에이전트 AI 시대, 왜 필수 인프라인가

에이전트 AI = ‘자율성을 가진 내부자 위협’

에이전트 AI는 단순 질의응답을 넘어 이메일을 읽고, 일정을 수정하고, 코드를 작성하고, 금융 거래를 실행합니다. 세 가지 특성이 새로운 보안 위협을 만듭니다. 첫째 자율성: 인간 개입 없이 수십 개의 연속 결정을 실행합니다. 둘째 영속 메모리: 여러 세션에 걸쳐 민감한 사용자 정보를 기억합니다. 셋째 도구 접근: 데이터베이스·결제 시스템·외부 API와 연결됩니다. 보안 전문가들은 이를 “자율성을 가진 내부자 위협(autonomous insider threat)”으로 정의합니다.

OWASP가 경고한 3대 에이전트 보안 위협

OWASP GenAI 보안 프로젝트는 2025년 12월 에이전트 AI 10대 보안 위험을 발표했습니다. 핵심 세 가지는 다음과 같습니다. 메모리 오염(Memory Poisoning): 공격자가 에이전트의 장기 메모리에 잘못된 지시를 점진적으로 주입해 행동 패턴 자체를 변질시킵니다. 도구 남용(Tool Misuse): 합법적으로 부여된 권한을 공격자가 악용해 횡적 이동이나 원격 코드 실행 경로로 활용합니다. 신원 위장(Identity Spoofing): 다중 에이전트 시스템에서 신원을 위장해 신뢰를 획득하고 워크플로우를 조작합니다.

Anthropic의 기밀 추론 시스템 — 현실화된 사례

Anthropic(클로드 개발사)은 “기밀 추론(Confidential Inference)” 시스템 연구 보고서를 발표했습니다. 모델 가중치가 TEE 안에서만 복호화되고, 클라이언트 입력도 TEE의 공개키로 암호화해 전송됩니다. 결과적으로 AI 서비스 제공업체조차 사용자 입력 데이터를 볼 수 없다는 것을 기술적으로 보장합니다. 에이전트 AI가 기업 핵심 인프라가 되는 속도에 비례해, 컨피덴셜 컴퓨팅의 중요성도 기하급수적으로 커질 것입니다.

▲ 목차로 돌아가기

한국 기업에게 주는 실질적 시사점

마이데이터 플랫폼의 기술적 해답

마이데이터의 핵심 과제는 금융·의료 데이터 결합 과정에서 프라이버시를 어떻게 보장하느냐입니다. 컨피덴셜 컴퓨팅은 각 기관의 데이터를 TEE 안에서만 처리하고 결과(개인화 서비스)만 제공하는 구조를 가능하게 합니다. 마이데이터 플랫폼 운영자조차 개인의 원본 거래 내역을 볼 수 없는 아키텍처가 현실화됩니다.

AI 인공지능 기본법 대응의 핵심 카드

2026년 1월부터 시행된 한국의 인공지능 기본법은 고위험 AI 시스템의 데이터 처리 투명성 입증을 요구합니다. EU AI Act 역시 유사한 기술적 증명을 요구합니다. 컨피덴셜 컴퓨팅의 원격 증명 기능은 “이 AI가 어떤 데이터로, 어떻게 추론했는지”를 규제 기관에 암호학적으로 증명하는 가장 강력한 도구가 됩니다.

삼성·SK하이닉스의 숨겨진 기회

한국은 컨피덴셜 컴퓨팅 생태계에서 독특한 위치에 있습니다. CPU·GPU 레벨 TEE 기술은 Intel·AMD·NVIDIA가 주도하지만, 이를 구동하는 메모리 반도체는 삼성전자·SK하이닉스가 공급합니다. 나아가 기밀 AI 서비스 플랫폼, 의료·금융 특화 기밀 컴퓨팅 솔루션은 국내 기술력과 도메인 지식이 결합될 수 있는 영역입니다. 이 시장에서 단순 부품 공급을 넘어 소프트웨어 생태계 주도를 모색해야 할 시점입니다.

▲ 목차로 돌아가기

아직 남은 한계와 해결 과제

사이드 채널 공격: 보이지 않는 틈

TEE가 메모리와 레지스터를 완벽하게 보호해도, 간접적 정보 유출 경로는 여전히 존재합니다. 실행 시간, 전력 소비, 캐시 접근 패턴 같은 부수적 정보를 분석해 내부 비밀을 추론하는 사이드 채널 공격은 학계에서 꾸준히 연구되고 있습니다. Spectre, Meltdown 계열의 CPU 취약점은 이 위협이 현실임을 이미 증명했습니다. 다만 공격 난이도가 매우 높아 일반적인 위협 모델에서는 주요 리스크로 분류하지 않습니다.

신뢰의 마지막 경계: CPU 제조사를 믿어야 한다

컨피덴셜 컴퓨팅의 신뢰 사슬 마지막에는 CPU 제조사(Intel, AMD, ARM)가 있습니다. “CPU 제조사를 신뢰한다”는 전제가 보안의 근본 가정입니다. 이는 기술적 한계라기보다 신뢰의 범위를 클라우드 운영자에서 하드웨어 제조사로 이동시킨 것입니다. 지정학적 긴장이 높아지는 환경에서 어느 제조사를 신뢰할 것인가는 기업과 국가 모두의 전략적 결정 사항이 됩니다.

표준화 부재와 벤더 종속 위험

Intel TDX, AMD SEV, ARM TrustZone, NVIDIA TEE의 인터페이스와 원격 증명 방식이 각각 다릅니다. 하나의 TEE 플랫폼용 애플리케이션을 다른 플랫폼으로 이식하려면 상당한 재작업이 필요합니다. CCC가 Enarx, Gramine 같은 오픈소스 추상화 레이어를 통해 표준화를 추진 중이지만, 완전한 상호운용성까지는 아직 갈 길이 있습니다.

▲ 목차로 돌아가기

❓ Q&A — 자주 묻는 5가지 질문

▲ 목차로 돌아가기

마치며 — 총평

컨피덴셜 컴퓨팅은 화려하지 않습니다. 화면에 보이지도 않고, 로그에 남지도 않습니다. 하지만 정확히 그래서 중요합니다. 데이터 보안의 마지막 사각지대, 즉 ‘처리되는 순간’을 닫는 이 기술은 AI 시대의 신뢰 인프라 그 자체입니다.

삼성 데이터 유출 사태가 상징하듯, AI를 쓰면 쓸수록 더 많은 민감한 데이터가 더 많은 외부 시스템으로 흘러갑니다. 이 흐름을 막을 수는 없습니다. 하지만 흘러가더라도 누구도 볼 수 없게 만들 수는 있습니다. 그것이 컨피덴셜 컴퓨팅이 하는 일입니다.

가트너가 2026 TOP 3에 선정하고, Intel이 2월에 Azure GA를 발표하고, Anthropic이 클로드 추론에 이를 적용하는 것은 우연이 아닙니다. 에이전트 AI가 기업의 이메일·결제·의사결정에 개입하는 세상에서, 컨피덴셜 컴퓨팅은 “AI를 믿되, 기술로 검증하겠다”는 제로 트러스트의 완결판입니다.

▲ 목차로 돌아가기