[Paper] 클라우드에서 신뢰할 수 있는 AI 에이전트

Source: arXiv - 2512.05951v1

개요

이 논문은 Omega라는 플랫폼을 소개한다. 이 플랫폼은 클라우드 제공자가 대규모 언어 모델(LLM) 기반 AI 에이전트를 증명 가능한 보안성과 감사 가능성을 갖춘 방식으로 실행할 수 있게 한다. 기밀 가상 머신(CVM)과 기밀 GPU를 확장함으로써, Omega는 에이전트가 데이터를 유출하거나 변조되거나 정의된 정책을 벗어나 행동하지 못하도록 보장한다—여러 신뢰할 수 없는 파티가 동일한 하드웨어를 공유하더라도 마찬가지이다.

주요 기여

• AI 에이전트를 위한 종단‑간 격리 – AMD SEV‑SNP 기밀 VM과 NVIDIA H100 기밀 GPU를 결합해 CPU와 가속기 상태를 모두 보호한다.
• 중첩 다중‑에이전트 샌드박싱 – 하나의 CVM 안에 다수의 에이전트를 호스팅하면서 각 에이전트의 메모리와 GPU 컨텍스트를 격리한다.
• 차등 인증 – 각 주체(예: 데이터 소유자, 툴 제공자, 클라우드 운영자)가 자신이 관심 있는 시스템 부분이 정확히 기대한 코드로 실행되고 있음을 검증할 수 있게 하는 경량 프로토콜.
• 정책‑기반 감독 – 데이터 접근, 툴 사용, 에이전트 간 통신 규칙을 선언형 언어로 지정하고, 런타임이 이러한 정책을 강제하며 모든 외부 호출에 대한 출처를 로그로 남긴다.
• 고밀도, 클라우드‑스케일 배포 – 수십 개의 에이전트가 단일 기밀 GPU를 공유하면서도 오버헤드가 적어 경제적으로 실현 가능함을 보여준다.

방법론

1. 신뢰 실행 기반 – 저자들은 AMD의 SEV‑SNP(VM 메모리를 암호화하고 하드웨어‑루트 인증을 제공)와 NVIDIA의 기밀 GPU 기능( GPU 메모리를 암호화하고 커널을 격리)을 출발점으로 삼는다.
2. 중첩 격리 레이어 – CVM 내부에서 경량 하이퍼바이저가 “에이전트 컨테이너”를 생성하고, 각 컨테이너는 자체 가상 주소 공간과 전용 GPU 컨텍스트를 갖는다. 하이퍼바이저는 페이지 테이블 격리와 GPU 메모리 파티셔닝을 이용해 엄격한 분리를 강제한다.
3. 차등 인증 프로토콜 – 에이전트가 시작될 때 플랫폼은 에이전트 코드 해시, 정책 번들, 사용되는 특정 하드웨어 엔클레이브를 포함한 암호학적 증명을 생성한다. 각 이해관계자는 자신에게 관련된 부분만 검증할 수 있어, 다른 파티의 비밀을 노출하는 단일 거대한 인증을 피한다.
4. 정책 엔진 및 출처 로그 – 정책 인터프리터가 CVM 내부에서 실행되어 모든 I/O(파일 읽기, 네트워크 호출, GPU 커널 실행)를 가로챈다. 작업이 진행되기 전에 엔진이 정책을 확인하고, 허용될 경우 해당 작업을 특정 에이전트와 데이터 항목에 연결한 서명 로그를 기록한다.
5. 평가 설정 – 프로토타입은 AMD EPYC 프로세서(SEV‑SNP)와 NVIDIA H100 GPU(기밀 모드)를 장착한 서버에서 실행된다. 벤치마크에는 LLM 추론(예: Llama‑2‑70B), 툴 호출 워크로드, 다중 에이전트 오케스트레이션 시나리오가 포함된다.

결과 및 발견

• 성능 영향은 제한적: 완전한 기밀성 및 정책 검사를 추가해도 LLM 추론 지연이 20 % 미만 증가하므로 많은 SaaS 사용 사례에 충분히 수용 가능하다.
• 확장성: 중첩 샌드박싱을 통해 동일 GPU를 공유하는 에이전트 수가 기존 VM 격리 방식에 비해 3배 늘어나며, 이는 효율적인 메모리 파티셔닝 덕분이다.
• 보안 보장: 논문의 부록에 제시된 형식적 분석에 따르면 데이터 유출이나 무단 툴 사용은 정책 엔진에 의해 탐지·차단되며, 인증 로그는 감사자를 위한 암호학적 증거를 제공한다.

실용적 함의

• 보안 AI‑as‑a‑Service: 클라우드 제공자는 이제 공유 하드웨어 위에서 고객이 데이터 유출이나 제공자 자체에 대한 우려 없이 “신뢰된 AI 에이전트”를 실행할 수 있다.
• 규제 준수: 정책 언어는 GDPR, HIPAA, 혹은 산업별 제약(예: “PHI를 EU 외부로 내보내지 않음”)을 인코딩할 수 있으며, 불변의 출처 로그는 감사 요구사항을 충족한다.
• AI 툴 마켓플레이스: 제3자 툴 벤더는 에이전트에게 유틸리티(예: 코드 생성 플러그인)를 제공하면서도 제어권을 유지할 수 있다—Omega의 차등 인증은 벤더에게 허가된 에이전트만이 자신의 코드를 호출한다는 증명을 제공한다.
• 비용 효율적 배포: 다수의 에이전트를 단일 기밀 GPU에 집약함으로써 운영자는 활용률을 높이고, 보안 AI 서비스의 가격을 낮출 수 있다.
• 개발자 워크플로: 팀은 익숙한 언어(Python, Rust)로 에이전트를 작성하고 정책 파일만 추가하면 된다. Omega 런타임이 격리와 인증의 무거운 작업을 담당한다.

제한 사항 및 향후 연구

• 하드웨어 의존성: Omega는 AMD SEV‑SNP와 NVIDIA H100 기밀 GPU에 의존하므로, 이러한 기능을 제공하는 클라우드에만 적용 가능하다.
• 정책 표현력 vs. 성능: 매우 복잡한 정책(예: 깊은 데이터 흐름 제약)은 시행 지연을 증가시킬 수 있다. 저자들은 이를 완화하기 위한 정책 컴파일 기법을 탐색할 계획이다.
• 사이드채널 고려: 메모리와 GPU 상태는 암호화되지만, 논문은 마이크로아키텍처 사이드채널(예: 캐시 타이밍)이 완전히 해결되지 않았으며 향후 연구 과제로 남겨두었다.
• 동적 코드 로딩: 현재 구현은 에이전트가 정적 바이너리라고 가정한다. JIT 모델 업데이트나 플러그인 로딩을 지원하려면 인증 프로토콜에 추가 확장이 필요하다.

Omega는 클라우드에서 신뢰할 수 있는 AI 서비스를 제공하기 위한 경계를 넓히며, 하드웨어‑루트 보안, 세밀한 정책 제어, 그리고 실용적인 성능을 결합한 실용적인 접근법을 제시한다. 이는 차세대 클라우드 AI 플랫폼에서 “기밀 AI 에이전트”가 주류가 되는 데 기여할 수 있다.

저자

• Teofil Bodea
• Masanori Misono
• Julian Pritzi
• Patrick Sabanic
• Thore Sommer
• Harshavardhan Unnibhavi
• David Schall
• Nuno Santos
• Dimitrios Stavrakakis
• Pramod Bhatotia

논문 정보

• arXiv ID: 2512.05951v1
• Categories: cs.CR, cs.AI, cs.MA
• Published: December 5, 2025
• PDF: Download PDF