당신의 데이터는 실제로 절대 삭제되지 않습니다
Source: Dev.to
삭제 버튼이 실제로 데이터를 삭제하지 않는 이유
대부분의 사람들이 삭제 버튼을 누를 때 합리적으로 생각하는 가정은: 그 항목이 삭제된다는 것이다. 실제로는 그렇지 않으며, 이것은 비밀이 아니라 클라우드 인프라가 작동하는 방식이며, 집에 움직이고 듣는 로봇을 초대하기 전에 이해할 가치가 있다.
Google Drive에서 파일을 삭제하거나, 어떤 클라우드 서비스에서 메시지를 삭제할 때 실제로 일어나는 일은 해당 파일에 대한 포인터가 인터페이스에서 제거된다는 것이다. 데이터 자체는 서버에 남아 있다. 회사 입장에서는 이것이 타당하다: 정부 기관이 특정 데이터에 대한 법적 요청을 제시했을 때, 사용자가 이미 “삭제”했다고 말하고 싶지는 않다. 그래서 모든 것을 보관하고 단지 사용자에게는 보여주지 않을 뿐이다.
- 일부 회사는 수십 년 동안 유지되는 데이터 보존 정책을 가지고 있다.
- 다른 회사들은 저장 비용이 무시할 정도이고, 누군가 중요한 사람이 요청했을 때 데이터를 갖고 있지 못하는 비용이 높기 때문에 전혀 삭제하지 않는다.
클라우드 인프라가 데이터를 처리하는 방식
데이터는 거의 한 곳에 머물지 않습니다. 클라우드 인프라는 여러 계층으로 구성되어 있으며—원시 데이터가 들어오면 분할되고, 필터링되며, 다양한 목적을 위해 서로 다른 시스템으로 라우팅됩니다. 포렌식 분석을 위한 감사 로그, 다양한 데이터 유형을 위한 처리 큐가 있으며, 각 단계마다 데이터를 통과시키는 사람과 시스템이 존재합니다.
클라우드 제공업체의 서비스 약관에서 “우리는 귀하의 데이터를 서비스 개선에 사용할 수 있습니다”라는 문구를 본 적이 있다면, 그 조항이 많은 역할을 한다는 것을 알 수 있습니다. 모델 훈련 팀은 합성 데이터만으로는 한계가 있기 때문에 실제 대화가 필요합니다. 고객 지원은 사용자를 돕기 위해 사용자 계정에 접근해야 합니다. 서버 관리자는 서버를 관리하기 위해 파일 시스템에 루트 권한을 가집니다. 이 모든 것이 정당한 이유이며, 관련된 사람들은 잘못된 행동을 하고 있는 것이 아닙니다. 누적된 결과는 일상적인 비즈니스 과정에서 개인적인 대화가 수십 개의 시스템을 거쳐 대부분의 사용자가 예상하는 것보다 훨씬 많은 사람들에게 노출된다는 것입니다.
저는 내부에서 이 사실을 직접 경험했습니다. Syntheva를 시작하기 전에, 저는 대형 기술 기업 중 한 곳에서 청취 제품을 담당했습니다. 저를 놀라게 한 것은 데이터 보존 자체가 아니라—예상했던 부분이었죠—실제로 내부 접근 모델이 얼마나 허술한가였습니다. 이는 부주의 때문이 아니라, 대규모 조직이 시간이 지나면서 접근 권한을 계속 축적하기 때문입니다.
- 누군가가 문제를 디버깅해야 할 경우 → 해당 로그에 접근 권한을 부여받습니다.
- 누군가가 모델을 훈련시켜야 할 경우 → 해당 데이터셋에 접근 권한을 부여받습니다.
수년간, 이러한 기업들이 운영되는 규모를 고려하면, 여러분의 데이터는 수많은 사람에 의해, 수많은 정당한 이유로 접촉됩니다. 모두 방어 가능한 이유이지만, 여러분에게는 전혀 보이지 않는 상황이 됩니다.
클라우드 연결 로봇에 대한 시사점
대부분의 클라우드 서비스에서는 노출이 주로 수동적입니다 — 데이터가 한 방향으로 흐르고 저장된 뒤, 의도하지 않은 용도로 사용될 수 있습니다. 로봇의 경우는 중요한 차이가 있습니다. 클라우드에 연결된 로봇은 단순히 데이터를 외부로 보내는 것이 아니라, 다시 명령을 받아들이기도 합니다. 클라우드는 당신이 말한 내용을 기록하는 것에 그치지 않고, 로봇이 어떻게 반응하고, 무엇을 수행하며, 당신이 보지 않을 때 집 안에서 어떻게 행동할지를 결정합니다.
이러한 양방향 흐름은 클라우드 파이프라인을 제어하는 사람이 로봇을 제어한다는 의미입니다. 이론적인 이야기가 아니라 실제로, 내부 접근 권한을 가진 사람이 파이프라인에 필터를 삽입해 생성되는 응답을 조정함으로써 오후 한 번에 변화를 구현할 수 있습니다. 이는 정교한 공격이 아니라 구성 변경에 불과합니다.
Synthia와 우리의 접근 방식
우리는 경험을 통해 얻은 이해를 바탕으로 클라우드 연결 없이 Synthia를 만들었습니다. 내부에 무선 모듈이 전혀 없는 이유는 연결 자체가 없으면 손상될 것이 없기 때문입니다. 업데이트는 SD 카드를 꺼내 새로운 이미지를 굽는 방식으로 이루어지며, 이는 보안 전문가가 “에어갭(air‑gapped) 프로세스”라고 부르는 것으로, 실시간으로 무언가를 푸시하거나 가로챌 수 있는 연결이 전혀 없습니다.
이러한 아키텍처 덕분에 로봇에 문제가 발생했을 때 원격으로 접근해 도와줄 수 없습니다. 일부 사람들은 이를 제한점으로 보지만, 우리는 이 아키텍처가 의도대로 정확히 작동하고 있다고 봅니다. 어떤 회사든 장치에 접근하지 않는다고 말할 수 있지만, 우리는 물리적으로 접근할 수 없으며, 여러분도 직접 장치를 열어 확인할 수 있습니다.
Synthia 인터페이스의 삭제 버튼은 실제로 데이터를 삭제합니다. 왜냐하면 데이터가 처음부터 장치를 떠난 적이 없기 때문입니다.