메타는 왓츠앱 내 AI 기능을 ‘프라이빗 프로세싱’으로 구현
사용자 메시지를 TEE 기반의 비가시적 환경에서 AI가 처리
메타 포함 누구도 데이터에 접근할 수 없음

완전한 종단 간 암호화를 유지하면서도 AI의 이점을 함께 누릴 수 있을까? 메타와 왓츠앱은 이 질문에 대한 해답을 찾기 위해 새로운 보안 아키텍처를 설계했다. 그것이 바로 ‘프라이빗 프로세싱(Private Processing)’이다.

AI와 프라이버시의 충돌, 그리고 메타의 해법

요즘 사람들은 메시지를 요약하거나, 이메일을 간단히 작성하거나, 업무를 자동화하는 데 AI를 자주 활용하고 있다. AI는 복잡한 작업을 단 몇 초 만에 처리해주기 때문에 매우 편리한 도구다. 그런데 이 AI 기능들이 대부분 어디에서 실행되는지 생각해 본 적 있는가? 많은 경우, AI는 클라우드 서버에서 작동한다. 즉, 사용자의 요청이 서버로 전송되어 처리된다는 의미다.

이 구조는 많은 서비스에서는 큰 문제가 되지 않는다. 하지만 ‘종단 간 암호화(end-to-end encryption)’를 핵심 원칙으로 삼아온 왓츠앱 입장에서는 상황이 다르다. 종단 간 암호화란 사용자가 주고받는 메시지를 오직 그 당사자들만 읽을 수 있도록 설계하는 기술이다. 서비스 제공자조차 메시지를 볼 수 없어야 한다.

하지만 AI 기능을 도입하면서 문제가 생겼다. 메시지를 요약하려면 AI가 내용을 알아야 한다. 그런데 메시지를 들여다볼 수 없으니, AI가 어떻게 요약할 수 있을까? 바로 이 딜레마를 풀기 위해 메타는 ‘프라이빗 프로세싱’이라는 기술을 고안했다.

프라이빗 프로세싱의 핵심은 이렇다. 사용자가 AI 기능을 이용하더라도, 그 메시지 내용은 메타도, 왓츠앱도, 그 누구도 볼 수 없도록 만든다는 것이다. 사용자의 메시지를 AI가 처리하되, 누구도 그 내용을 들여다볼 수 없는 완전히 독립된 보안 환경에서 실행되도록 설계한 기술이다.

쉽게 말해, 사용자는 왓츠앱 안에서 AI에게 "이 메시지들 좀 요약해줘"라고 요청할 수 있지만, 그 과정에서 메타조차도 내용을 알 수 없도록 만들어 놓은 것이다. AI의 편리함은 그대로 누리되, 나의 프라이버시는 침해당하지 않게 하는 방식이다.

이제 AI를 쓸 때마다 “내 데이터는 안전할까?” 하는 고민을 덜 수 있는 가능성이 열린 셈이다. 메타와 왓츠앱은 이 기술이 앞으로 AI 서비스의 새로운 기준이 될 수 있다고 보고 있다.

‘프라이빗 프로세싱’의 핵심은 신뢰 실행 환경, TEE

프라이빗 프로세싱이라는 기술의 핵심에는 '신뢰 실행 환경(Trusted Execution Environment)', 줄여서 TEE라 불리는 특별한 보안 공간이 있다. 이 TEE는 말 그대로 신뢰할 수 있는 독립된 실행 공간으로, 컴퓨터나 서버 안에서도 외부의 접근으로부터 철저히 격리되어 있는 안전지대다.

메타와 왓츠앱은 이 TEE를 기반으로, 사용자의 메시지를 AI가 분석하고 처리하더라도 그 내용이 외부에 노출되지 않도록 만들었다. 예를 들어 사용자가 “이 메시지 스레드 좀 요약해줘”라고 AI에게 요청할 경우, 그 요청은 보통 서버로 전송되며, 그 과정에서 서비스 제공자가 내용을 볼 수 있다. 하지만 프라이빗 프로세싱에서는 그렇지 않다.

사용자의 기기와 TEE 사이에 아주 강력한 보안 연결이 형성되고, 메시지 요약 같은 AI 작업은 오직 그 내부에서만 처리된다. 메타도, 왓츠앱도, 네트워크를 거치는 누구도 이 내용을 알 수 없다. 사용자의 요청은 암호화된 채널을 통해 전달되며, 그 암호는 오직 TEE만이 풀 수 있다. 작업이 끝나면, 그 결과만 사용자에게 안전하게 돌아간다.

조금 더 기술적으로 살펴보면, 다음과 같은 흐름을 따른다.

익명 인증 → 타사 CDN을 통한 공개키 수신 → OHTTP 경로 설정 → TEE에 대한 인증 및 보안 세션 설정 → 메시지 처리 요청 전송 → TEE 내 CVM에서 처리 → 암호화된 결과 회신

익명 인증(Anonymous Authentication): 먼저, 왓츠앱은 사용자가 진짜 왓츠앱을 사용 중임을 확인하지만, 누군지는 알 수 없도록 익명 인증을 수행한다. 공개키 수신(Public Key Fetch): 이후, 공개키를 제3의 콘텐츠 전송망(CDN)에서 받아온다. 이 공개키는 데이터를 암호화하는 데 사용된다. OHTTP 경로 설정: 사용자의 요청이 왓츠앱 서버를 거치지 않고도 안전하게 전달될 수 있도록, 'Oblivious HTTP'라는 방식으로 경로를 설정한다. 이 과정을 통해 메타와 왓츠앱은 사용자의 IP 주소조차 알 수 없다. TEE 보안 세션 설정(RA-TLS): 사용자의 기기와 TEE 사이에 신뢰할 수 있는 보안 세션을 만든다. 여기에는 제3자가 검증한 장치만이 연결되도록 하는 인증 절차가 포함된다. AI 요청 전송: 사용자가 원하는 AI 요청(예: 메시지 요약)을 암호화해 TEE에 보낸다. 이 암호는 오직 TEE만 풀 수 있다. CVM에서 처리: TEE 안에 있는 '기밀 가상 머신(CVM)'이 실제로 메시지를 분석하고 AI 결과를 만든다. 결과 회신: 결과는 다시 암호화되어 사용자에게 전달되며, 이 암호는 사용자 기기만이 풀 수 있다.

이 모든 과정은 설계 단계에서부터 철저하게 프라이버시 중심으로 구성됐다. 사용자의 요청은 익명으로 처리되고, 메타나 왓츠앱은 어떤 식으로도 메시지의 내용이나 사용자의 정체를 알 수 없다.

다시 말해, AI는 당신을 돕되, 당신을 감시하지 않는다. 프라이빗 프로세싱은 바로 이 원칙을 기술로 구현한 것이다.

보안 원칙: ‘보이지 않고, 추적할 수 없으며, 확인 가능한’ 구조

프라이빗 프로세싱은 단지 보안 기술이 아니다. 메타는 이 시스템을 설계하면서 프라이버시 보호를 하나의 철학이자 원칙으로 삼았다. 이를 위해 프라이빗 프로세싱은 다섯 가지 핵심 원칙을 중심에 두고 있다. 바로 ‘보이지 않고, 추적할 수 없으며, 확인 가능한 구조’다.

첫째, 기밀성(Confidentiality)이다. 프라이빗 프로세싱을 통해 사용자의 메시지를 분석하더라도, 메타를 포함한 그 누구도 그 내용에 접근할 수 없도록 설계되었다. AI가 요청을 처리하는 동안에도, 심지어 AI를 만든 회사조차 그 안을 들여다볼 수 없는 것이다.

둘째, 옵션성(Optionality)이다. 프라이빗 프로세싱 기능은 강제되지 않는다. 사용자가 원할 때만 사용할 수 있는 ‘선택형 기능’이다. 다시 말해, 사용자는 AI 기능을 사용할지 말지 언제든지 직접 결정할 수 있다.

셋째, 비식별성(Non-targetability)이다. 특정 사용자가 어떤 서버에서 처리되는지 메타조차 알 수 없도록 세션을 완전히 익명으로 구성한다. 어떤 사용자의 요청인지, 어떤 기기에서 보냈는지조차 추적할 수 없는 구조다. 따라서 누군가를 특정해 공격하거나 감시하는 것이 불가능하다.

넷째, 검증 가능성(Verifiable Transparency)이다. 프라이빗 프로세싱이 정말 이 원칙들을 잘 지키는지, 외부의 독립된 보안 연구자들도 직접 검토하고 확인할 수 있도록 구성되어 있다. 일부 코드와 보안 로그는 외부에 공개되고, 메타는 이를 통해 자사의 보안 시스템을 투명하게 검증받고자 한다.

다섯째, 무상태 처리(Stateless Processing)다. 사용자가 AI 기능을 통해 메시지를 처리하더라도, 그 내용은 서버에 저장되지 않는다. 작업이 끝나면 즉시 사라지고, 남지 않는다. 이 말은 곧, 누군가가 나중에 서버를 털어도 이미 아무것도 없다는 뜻이다.

이를 통해 메타는 AI 기능 도입으로 인한 보안 우려를 사전에 차단하고, 프라이버시를 최우선 가치로 삼고 있음을 강조하고 있다.

어떤 위협도 상정한 ‘디펜스 인 뎁스(Defense-in-Depth)’ 설계

프라이버시를 보호하려면 단단한 기술 하나만으로는 부족하다. 어떤 기술이든 완벽할 수 없기 때문이다. 왓츠앱은 이 점을 인정하고, 프라이빗 프로세싱의 설계 초기 단계부터 다양한 위험 요소를 철저하게 분석하고 대응책을 마련했다. 이를 ‘디펜스 인 뎁스(Defense-in-Depth)’, 즉 다중 방어 전략이라 부른다.

왓츠앱이 상정한 위협 시나리오는 현실적이고 구체적이다. 단순한 해킹이 아니라, 다음과 같은 복합적이고 정교한 공격까지 모두 포함한다.

제로데이 취약점: 아직 공개되지 않은 보안 결함을 이용해 시스템을 공격하는 방식이다. 특히 AI 시스템에서는 ‘프롬프트 인젝션’이라 불리는 새로운 공격 방식이 주목받고 있다. 이는 AI가 잘못된 응답을 하도록 입력을 교묘하게 조작하는 것이다. TEE 우회 시도: 신뢰 실행 환경(TEE)도 하드웨어인 만큼, 이 자체를 공격하려는 시도도 존재한다. 예를 들어 부팅 과정이나 물리적인 접속을 통해 내부 데이터를 훔치려는 경우다. 시스템 변조: 내부 직원이나 외부 공급업체가 시스템을 은밀히 조작해 정보를 탈취하려는 경우도 있다. 최근 글로벌 IT 업계에서 문제가 되고 있는 ‘공급망 공격’이 대표적이다. 로그 유출: 고도로 보안화된 시스템이라도, 시스템이 남기는 로그에서 정보가 유출될 가능성은 항상 존재한다. 특히 AI 서비스에서는 처리 결과나 오류 정보가 로그에 남을 수 있어 위험하다.

왓츠앱은 이러한 위협을 막기 위해 다음과 같은 조치를 도입했다.

컨테이너화된 실행 환경: AI 처리는 격리된 컨테이너 안에서만 이루어지도록 했다. 즉, 침입자가 한 부분을 뚫더라도 다른 영역에는 영향을 미치지 못한다. 원격 셸 접속 차단: 서버나 TEE 내부에 원격으로 접근하는 것은 아예 불가능하게 설계했다. 메타 직원조차 시스템 내부를 들여다볼 수 없는 구조다. 로그 필터링 시스템: 에러 로그 등 꼭 필요한 정보 외에는 로그로 외부에 유출되지 않도록 제한을 걸었다. 단순한 실패 기록만 남기고, 메시지 내용은 일절 기록하지 않는다. 제3자 인증 저장소와의 연결: 사용자의 기기가 TEE와 연결되기 전에, 신뢰할 수 있는 제3의 기관에서 인증된 코드인지 확인하도록 했다. 이를 통해 변조된 코드와는 연결 자체가 되지 않도록 차단한다. 일부 오픈소스 공개: 핵심 기술 중 일부는 외부 연구자들이 직접 들여다볼 수 있도록 오픈소스로 공개했다. 시스템이 안전한지, 실제로 설계된 대로 작동하는지를 누구든지 검증할 수 있도록 한 것이다.

이처럼 프라이빗 프로세싱은 다양한 위협을 막기 위해 ‘겹겹이 보호막’을 두른 구조다. 하나의 방어선이 뚫리더라도, 다음 단계에서 막을 수 있도록 설계되어 있다. 

첫 적용 사례: 메시지 요약과 문장 추천

프라이빗 프로세싱 기술은 앞으로 왓츠앱 곳곳에서 다양한 방식으로 활용될 예정이다. 그 첫 번째 시작점은 ‘메시지 요약’과 ‘문장 작성 추천’ 기능이다. 예를 들어, 오랜만에 앱을 열었더니 미확인 메시지가 수십 개 쌓여 있을 경우, 사용자는 AI에게 “요약해줘”라고 요청할 수 있다. 그러면 AI가 핵심 내용을 깔끔하게 정리해주는 방식이다.

또한 문장을 쓰다 말고 멈췄을 때, AI가 다음 문장을 추천해주는 기능도 함께 제공된다. 중요한 점은 이 모든 과정이 ‘프라이빗 프로세싱’을 통해 이뤄진다는 것이다. 즉, 사용자의 메시지는 철저히 보호되면서도 AI의 편리함을 그대로 누릴 수 있게 된다.

하지만 메타는 여기서 멈추지 않겠다는 계획이다. 향후 이 기술은 훨씬 더 다양한 AI 기능에도 적용될 수 있다.

예를 들어:

자동 응답 기능: 사용자의 스타일을 학습해 대화에 적절한 답변을 자동으로 생성 음성-텍스트 변환: 민감한 음성 메시지를 글로 바꾸되, 외부 노출 없이 처리 개인화된 일정 요약 및 업무 지원: 프라이버시를 해치지 않는 AI 비서 기능

이처럼 프라이빗 프로세싱은 단지 몇 가지 기능을 위한 기술이 아니라, 앞으로 왓츠앱의 AI 기반 개인화 기능의 기본 인프라가 될 가능성이 높다.

많은 사람들이 AI의 편리함을 원하면서도 한편으로는 자신의 정보가 노출될까 봐 걱정한다. 특히 개인적인 대화가 오가는 메신저에서는 그 불안감이 더 커진다. 이런 상황에서

프라이빗 프로세싱은 단지 기술적 기능 이상의 의미를 가진다. 이는 메타가 사용자 프라이버시를 포기하지 않고도 AI의 잠재력을 활용할 수 있다는 기술적 메시지이자, AI와 보안의 양립 가능성을 보여주는 상징적인 시도다.

메타는 이를 통해 향후 AI 인프라의 새로운 표준을 제시하겠다는 의지를 드러냈다. 프라이빗 프로세싱은 곧 정식 출시될 예정이며, 이에 대한 상세 기술 백서와 보안 연구 참여 프로그램도 함께 공개될 예정이다.

[ⓒ META-X. 무단전재-재배포 금지]