애플 Private Cloud Compute - 클라우드 내 AI 프라이버시의 새로운 경계

 (security.apple.com)
1P by GN⁺ 2024-06-11 | ★ favorite | 댓글 1개
  • Private Cloud Compute(PCC) 는 Apple이 개발한 클라우드 기반 AI 처리 시스템으로, 개인 데이터가 Apple조차 접근할 수 없는 상태에서 처리되도록 설계된 프라이버시 중심 아키텍처
  • Apple Silicon강화된 운영체제를 기반으로, 사용자 데이터가 요청 처리 후 즉시 삭제되고 로그나 디버깅 데이터로도 남지 않는 무상태(stateless) 연산 구조 구현
  • 원격 셸, 디버깅 도구, 일반 로그 시스템을 제거해 운영 중 관리자 접근을 원천 차단, 오직 사전에 승인된 코드만 실행 가능
  • 하드웨어 공급망 검증, OHTTP 릴레이, RSA Blind Signature 기반 인증 등으로 특정 사용자를 겨냥한 공격을 방지하는 비표적성(non-targetability) 확보
  • 모든 PCC 소프트웨어 이미지와 측정값을 공개하고, 연구자가 이를 검증할 수 있도록 투명성 로그와 가상 연구 환경을 제공해 검증 가능한 투명성(verifiable transparency) 보장

Private Cloud Compute 개요

  • PCC는 Apple Intelligence의 고급 기능을 지원하기 위해 설계된 클라우드 AI 시스템으로, 개인 데이터 보호를 전제로 한 대규모 AI 연산을 가능하게 함
  • Apple 기기 수준의 보안·프라이버시 모델을 클라우드로 확장한 최초의 시도이며, Apple조차 사용자 데이터에 접근할 수 없음
  • Apple Silicon 기반 서버 하드웨어iOS·macOS의 보안 기술을 재구성한 운영체제로 구성되어, 코드 서명(Code Signing) , 샌드박싱, Secure Enclave 등을 활용

기존 클라우드 AI의 한계

  • 일반 클라우드 AI는 암호화되지 않은 사용자 데이터 접근이 필요해 종단간 암호화 불가
  • 보안·프라이버시 검증의 어려움, 운영 중 관리자 특권 접근, 소프트웨어 투명성 부족 등의 문제가 존재
  • PCC는 이러한 한계를 극복하기 위해 기술적으로 강제 가능한 보안 보장(enforceable guarantees) 을 핵심 설계 원칙으로 채택

핵심 설계 요구사항

  • 무상태 데이터 처리: 사용자 데이터는 요청 처리 후 즉시 삭제, 로그나 디버깅 데이터로 남지 않음
  • 기술적 강제성: 외부 구성요소에 의존하지 않고, 보안 보장이 시스템 내부에서 완전하게 검증 가능해야 함
  • 운영 중 특권 접근 금지: 관리자나 엔지니어가 시스템 장애 시에도 사용자 데이터에 접근할 수 없음
  • 비표적성(non-targetability) : 특정 사용자를 겨냥한 공격이 불가능하도록 설계
  • 검증 가능한 투명성: 연구자가 실제 운영 중인 소프트웨어를 공개 이미지와 대조 검증할 수 있어야 함

PCC 노드 구조

  • Apple Silicon 기반 맞춤형 서버 하드웨어가 신뢰의 근간으로, iPhone의 Secure BootSecure Enclave 기술을 포함
  • 운영체제는 iOS·macOS의 핵심을 축소·강화한 형태로, LLM 추론용 워크로드에 최적화
  • Swift on Server 기반의 머신러닝 스택을 사용해 Apple Foundation Model을 클라우드에서 실행

무상태 연산과 보안 보장

  • 사용자 기기가 PCC 노드의 공개키로 요청을 암호화해 전송, 중간 구성요소는 복호화 불가
  • Secure BootCode Signing으로 승인된 코드만 실행 가능, JIT 코드 삽입 차단
  • Secure Enclave가 복호화 키를 보호하며, 재부팅 시 암호화 키 무작위화로 데이터 잔존 방지
  • Pointer Authentication Codes, 샌드박싱, 메모리 안전성 확보로 공격면 최소화

특권 접근 차단

  • 원격 셸, 디버깅 도구, 개발자 모드를 완전히 제거
  • 일반 로그 시스템 미포함, 사전 정의된 구조화된 감사 로그만 외부 전송 가능
  • 이러한 설계로 운영 중에도 사용자 데이터 유출 불가 구조 확립

비표적성(Non-targetability)

  • 공격자가 특정 사용자를 노릴 수 없도록 하드웨어 공급망 검증요청 분산(target diffusion) 적용
    • 제조 단계에서 고해상도 이미지 검사 및 봉인, 제3자 감시자 검증 수행
    • 요청 메타데이터에는 개인 식별 정보 미포함, RSA Blind Signature로 인증
    • OHTTP 릴레이를 통해 IP 주소 익명화
  • 로드 밸런서가 사용자 정보를 알 수 없도록 설계, 특정 노드로의 편향적 라우팅 방지

검증 가능한 투명성(Verifiable Transparency)

  • 모든 PCC 운영 빌드의 소프트웨어 이미지와 측정값을 공개
  • 투명성 로그에 기록된 코드 측정값을 누구나 검증 가능
  • 연구자용 도구 및 가상 연구 환경(PCC Virtual Research Environment) 제공
  • 일부 보안 핵심 소스 코드 공개, sepOS 및 iBoot 부트로더를 평문으로 제공
  • Apple Security Bounty 프로그램을 통해 취약점 제보에 보상

향후 계획

  • PCC는 클라우드 AI 보안 아키텍처의 새로운 기준으로 제시됨
  • 향후 베타 버전 공개 후 기술 심층 분석보안 연구자 참여 확대 예정
  • Apple은 PCC를 통해 사용자 프라이버시 중심의 AI 인프라 확립을 목표로 함
GN⁺ 2024-06-11  [-]
Hacker News 의견

  • 암호학자 Matt Green의 의견: Matt Green의 의견을 참고할 만함. 트윗 링크 제공됨.

  • 트윗 접근성 문제: Matt가 X 계정 없이 트윗을 읽을 수 없다는 점을 인식했는지 궁금함. BlueSky나 Masto를 사용하라는 제안.

  • Apple의 신뢰 문제: Apple이 언제든지 업데이트를 통해 백도어를 만들 수 있으며, 정부가 이를 강제할 수 있다는 점에서 신뢰 문제가 발생함. 투명성이 부족하면 신뢰 메시지가 손상됨.

  • 미국 내 프라이버시 문제: 미국에서는 정부가 Apple에게 데이터를 공개하도록 강제할 수 있으며, 이를 공개하지 못하게 할 수도 있음. 이는 Apple이 해결할 수 없는 한계임.

  • 연구자들을 위한 개선: Apple 플랫폼에서 처음으로 sepOS 펌웨어와 iBoot 부트로더가 평문으로 제공되어 연구자들이 중요한 구성 요소를 더 쉽게 연구할 수 있게 됨.

  • 90일의 격차: 취약한 소프트웨어가 공개되고 발견될 때까지 최대 90일의 격차가 있을 수 있음. 실제 이미지의 가용성이 최대한 빠르기를 희망함.

  • 누구를 위한 것인가: 이 기능이 누구를 위한 것인지 궁금함. 개인적으로는 "calls home" 기능을 끄고 싶음. Apple이 가장 안전한 옵션이라고 말하고 싶지 않음.

  • 서버에서의 Swift 사용: 서버에서 Swift를 사용하여 새로운 머신 러닝 스택을 구축한 것이 흥미로움. Swift 서버 문서 링크 제공됨.

  • 감사 가능한 보안 보장: Apple이 감사 가능한 보안 보장을 제공할 수 있을지에 대한 신중한 낙관론. 클라우드 OS가 오픈 소스로 제공된다면 매우 가치 있을 것임.

  • 우회 가능성: Apple이 마음을 바꾸면 가짜 PCC 노드에 키를 반환하여 모든 보호 장치를 우회할 수 있음. 특정 사용자에 대해 이를 수행할 가능성도 있음.

  • 프라이빗 클라우드의 네트워크 접근성: 프라이빗 클라우드가 외부 네트워크에 접근할 수 있는지 여부에 대한 정보가 부족함. 네트워크 접근이 보장되지 않으면 요청이 클라우드 내에 머무른다는 보장이 무의미해짐.

  • 긍정적인 방향: 민감한 데이터를 보내지는 않겠지만, 현재 업계의 추세와 비교했을 때 Apple의 노력과 방향성을 높이 평가함.

답변달기