# 애플 Private Cloud Compute - 클라우드 내 AI 프라이버시의 새로운 경계

> Clean Markdown view of GeekNews topic #15288. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=15288](https://news.hada.io/topic?id=15288)
- GeekNews Markdown: [https://news.hada.io/topic/15288.md](https://news.hada.io/topic/15288.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2024-06-11T13:33:34+09:00
- Updated: 2024-06-11T13:33:34+09:00
- Original source: [security.apple.com](https://security.apple.com/blog/private-cloud-compute/)
- Points: 1
- Comments: 1

## Topic Body

- **Private Cloud Compute(PCC)** 는 Apple이 개발한 클라우드 기반 AI 처리 시스템으로, 개인 데이터가 **Apple조차 접근할 수 없는 상태**에서 처리되도록 설계된 **프라이버시 중심 아키텍처**  
- **Apple Silicon**과 **강화된 운영체제**를 기반으로, 사용자 데이터가 요청 처리 후 **즉시 삭제**되고 로그나 디버깅 데이터로도 남지 않는 **무상태(stateless) 연산 구조** 구현  
- **원격 셸, 디버깅 도구, 일반 로그 시스템**을 제거해 **운영 중 관리자 접근을 원천 차단**, 오직 사전에 승인된 코드만 실행 가능  
- **하드웨어 공급망 검증**, **OHTTP 릴레이**, **RSA Blind Signature** 기반 인증 등으로 특정 사용자를 겨냥한 공격을 방지하는 **비표적성(non-targetability)** 확보  
- 모든 **PCC 소프트웨어 이미지와 측정값을 공개**하고, 연구자가 이를 검증할 수 있도록 **투명성 로그와 가상 연구 환경**을 제공해 **검증 가능한 투명성(verifiable transparency)** 보장  
  
---  
  
### Private Cloud Compute 개요  
- PCC는 **Apple Intelligence**의 고급 기능을 지원하기 위해 설계된 클라우드 AI 시스템으로, **개인 데이터 보호를 전제로 한 대규모 AI 연산**을 가능하게 함  
- Apple 기기 수준의 **보안·프라이버시 모델을 클라우드로 확장**한 최초의 시도이며, Apple조차 사용자 데이터에 접근할 수 없음  
- **Apple Silicon 기반 서버 하드웨어**와 **iOS·macOS의 보안 기술을 재구성한 운영체제**로 구성되어, **코드 서명(Code Signing)** , **샌드박싱**, **Secure Enclave** 등을 활용  
  
### 기존 클라우드 AI의 한계  
- 일반 클라우드 AI는 **암호화되지 않은 사용자 데이터 접근**이 필요해 **종단간 암호화 불가**  
- **보안·프라이버시 검증의 어려움**, **운영 중 관리자 특권 접근**, **소프트웨어 투명성 부족** 등의 문제가 존재  
- PCC는 이러한 한계를 극복하기 위해 **기술적으로 강제 가능한 보안 보장(enforceable guarantees)** 을 핵심 설계 원칙으로 채택  
  
### 핵심 설계 요구사항  
- **무상태 데이터 처리**: 사용자 데이터는 요청 처리 후 즉시 삭제, 로그나 디버깅 데이터로 남지 않음  
- **기술적 강제성**: 외부 구성요소에 의존하지 않고, 보안 보장이 시스템 내부에서 완전하게 검증 가능해야 함  
- **운영 중 특권 접근 금지**: 관리자나 엔지니어가 시스템 장애 시에도 사용자 데이터에 접근할 수 없음  
- **비표적성(non-targetability)** : 특정 사용자를 겨냥한 공격이 불가능하도록 설계  
- **검증 가능한 투명성**: 연구자가 실제 운영 중인 소프트웨어를 **공개 이미지와 대조 검증**할 수 있어야 함  
  
### PCC 노드 구조  
- **Apple Silicon 기반 맞춤형 서버 하드웨어**가 신뢰의 근간으로, iPhone의 **Secure Boot** 및 **Secure Enclave** 기술을 포함  
- 운영체제는 iOS·macOS의 핵심을 축소·강화한 형태로, **LLM 추론용 워크로드**에 최적화  
- **Swift on Server** 기반의 머신러닝 스택을 사용해 **Apple Foundation Model**을 클라우드에서 실행  
  
### 무상태 연산과 보안 보장  
- 사용자 기기가 **PCC 노드의 공개키로 요청을 암호화**해 전송, 중간 구성요소는 복호화 불가  
- **Secure Boot**와 **Code Signing**으로 승인된 코드만 실행 가능, **JIT 코드 삽입 차단**  
- **Secure Enclave**가 복호화 키를 보호하며, **재부팅 시 암호화 키 무작위화**로 데이터 잔존 방지  
- **Pointer Authentication Codes**, **샌드박싱**, **메모리 안전성 확보**로 공격면 최소화  
  
### 특권 접근 차단  
- **원격 셸, 디버깅 도구, 개발자 모드**를 완전히 제거  
- **일반 로그 시스템 미포함**, 사전 정의된 **구조화된 감사 로그**만 외부 전송 가능  
- 이러한 설계로 **운영 중에도 사용자 데이터 유출 불가** 구조 확립  
  
### 비표적성(Non-targetability)  
- 공격자가 특정 사용자를 노릴 수 없도록 **하드웨어 공급망 검증**과 **요청 분산(target diffusion)** 적용  
  - 제조 단계에서 **고해상도 이미지 검사 및 봉인**, **제3자 감시자 검증** 수행  
  - 요청 메타데이터에는 **개인 식별 정보 미포함**, **RSA Blind Signature**로 인증  
  - **OHTTP 릴레이**를 통해 IP 주소 익명화  
- **로드 밸런서가 사용자 정보를 알 수 없도록 설계**, 특정 노드로의 편향적 라우팅 방지  
  
### 검증 가능한 투명성(Verifiable Transparency)  
- 모든 **PCC 운영 빌드의 소프트웨어 이미지와 측정값을 공개**  
- **투명성 로그**에 기록된 코드 측정값을 누구나 검증 가능  
- **연구자용 도구 및 가상 연구 환경(PCC Virtual Research Environment)** 제공  
- **일부 보안 핵심 소스 코드 공개**, **sepOS 및 iBoot 부트로더를 평문으로 제공**  
- **Apple Security Bounty** 프로그램을 통해 취약점 제보에 보상  
  
### 향후 계획  
- PCC는 **클라우드 AI 보안 아키텍처의 새로운 기준**으로 제시됨  
- 향후 **베타 버전 공개 후 기술 심층 분석** 및 **보안 연구자 참여 확대** 예정  
- Apple은 PCC를 통해 **사용자 프라이버시 중심의 AI 인프라 확립**을 목표로 함

## Comments



### Comment 26129

- Author: neo
- Created: 2024-06-11T13:33:34+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=40639606) 
- **암호학자 Matt Green의 의견**: Matt Green의 의견을 참고할 만함. [트윗 링크](https://x.com/matthew_d_green/status/1800291897245835616?t=CcBMWojQZYI0RnnS_gVWzA&s=19) 제공됨.

- **트윗 접근성 문제**: Matt가 X 계정 없이 트윗을 읽을 수 없다는 점을 인식했는지 궁금함. BlueSky나 Masto를 사용하라는 제안.

- **Apple의 신뢰 문제**: Apple이 언제든지 업데이트를 통해 백도어를 만들 수 있으며, 정부가 이를 강제할 수 있다는 점에서 신뢰 문제가 발생함. 투명성이 부족하면 신뢰 메시지가 손상됨.

- **미국 내 프라이버시 문제**: 미국에서는 정부가 Apple에게 데이터를 공개하도록 강제할 수 있으며, 이를 공개하지 못하게 할 수도 있음. 이는 Apple이 해결할 수 없는 한계임.

- **연구자들을 위한 개선**: Apple 플랫폼에서 처음으로 sepOS 펌웨어와 iBoot 부트로더가 평문으로 제공되어 연구자들이 중요한 구성 요소를 더 쉽게 연구할 수 있게 됨.

- **90일의 격차**: 취약한 소프트웨어가 공개되고 발견될 때까지 최대 90일의 격차가 있을 수 있음. 실제 이미지의 가용성이 최대한 빠르기를 희망함.

- **누구를 위한 것인가**: 이 기능이 누구를 위한 것인지 궁금함. 개인적으로는 "calls home" 기능을 끄고 싶음. Apple이 가장 안전한 옵션이라고 말하고 싶지 않음.

- **서버에서의 Swift 사용**: 서버에서 Swift를 사용하여 새로운 머신 러닝 스택을 구축한 것이 흥미로움. [Swift 서버 문서](https://www.swift.org/documentation/server/) 링크 제공됨.

- **감사 가능한 보안 보장**: Apple이 감사 가능한 보안 보장을 제공할 수 있을지에 대한 신중한 낙관론. 클라우드 OS가 오픈 소스로 제공된다면 매우 가치 있을 것임.

- **우회 가능성**: Apple이 마음을 바꾸면 가짜 PCC 노드에 키를 반환하여 모든 보호 장치를 우회할 수 있음. 특정 사용자에 대해 이를 수행할 가능성도 있음.

- **프라이빗 클라우드의 네트워크 접근성**: 프라이빗 클라우드가 외부 네트워크에 접근할 수 있는지 여부에 대한 정보가 부족함. 네트워크 접근이 보장되지 않으면 요청이 클라우드 내에 머무른다는 보장이 무의미해짐.

- **긍정적인 방향**: 민감한 데이터를 보내지는 않겠지만, 현재 업계의 추세와 비교했을 때 Apple의 노력과 방향성을 높이 평가함.