완전한 종단 간 암호화를 유지하면서도 AI의 이점을 함께 누릴 수 있을까? 메타와 왓츠앱은 이 질문에 대한 해답을 찾기 위해 새로운 보안 아키텍처를 설계했다. 그것이 바로 ‘프라이빗 프로세싱(Private Processing)’이다.

AI와 프라이버시의 충돌, 그리고 메타의 해법

요즘 사람들은 메시지를 요약하거나, 이메일을 간단히 작성하거나, 업무를 자동화하는 데 AI를 자주 활용하고 있다. AI는 복잡한 작업을 단 몇 초 만에 처리해주기 때문에 매우 편리한 도구다. 그런데 이 AI 기능들이 대부분 어디에서 실행되는지 생각해 본 적 있는가? 많은 경우, AI는 클라우드 서버에서 작동한다. 즉, 사용자의 요청이 서버로 전송되어 처리된다는 의미다.

이 구조는 많은 서비스에서는 큰 문제가 되지 않는다. 하지만 ‘종단 간 암호화(end-to-end encryption)’를 핵심 원칙으로 삼아온 왓츠앱 입장에서는 상황이 다르다. 종단 간 암호화란 사용자가 주고받는 메시지를 오직 그 당사자들만 읽을 수 있도록 설계하는 기술이다. 서비스 제공자조차 메시지를 볼 수 없어야 한다.

하지만 AI 기능을 도입하면서 문제가 생겼다. 메시지를 요약하려면 AI가 내용을 알아야 한다. 그런데 메시지를 들여다볼 수 없으니, AI가 어떻게 요약할 수 있을까? 바로 이 딜레마를 풀기 위해 메타는 ‘프라이빗 프로세싱’이라는 기술을 고안했다.

프라이빗 프로세싱의 핵심은 이렇다. 사용자가 AI 기능을 이용하더라도, 그 메시지 내용은 메타도, 왓츠앱도, 그 누구도 볼 수 없도록 만든다는 것이다. 사용자의 메시지를 AI가 처리하되, 누구도 그 내용을 들여다볼 수 없는 완전히 독립된 보안 환경에서 실행되도록 설계한 기술이다.

쉽게 말해, 사용자는 왓츠앱 안에서 AI에게 "이 메시지들 좀 요약해줘"라고 요청할 수 있지만, 그 과정에서 메타조차도 내용을 알 수 없도록 만들어 놓은 것이다. AI의 편리함은 그대로 누리되, 나의 프라이버시는 침해당하지 않게 하는 방식이다.

이제 AI를 쓸 때마다 “내 데이터는 안전할까?” 하는 고민을 덜 수 있는 가능성이 열린 셈이다. 메타와 왓츠앱은 이 기술이 앞으로 AI 서비스의 새로운 기준이 될 수 있다고 보고 있다.

‘프라이빗 프로세싱’의 핵심은 신뢰 실행 환경, TEE

프라이빗 프로세싱이라는 기술의 핵심에는 '신뢰 실행 환경(Trusted Execution Environment)', 줄여서 TEE라 불리는 특별한 보안 공간이 있다. 이 TEE는 말 그대로 신뢰할 수 있는 독립된 실행 공간으로, 컴퓨터나 서버 안에서도 외부의 접근으로부터 철저히 격리되어 있는 안전지대다.

메타와 왓츠앱은 이 TEE를 기반으로, 사용자의 메시지를 AI가 분석하고 처리하더라도 그 내용이 외부에 노출되지 않도록 만들었다. 예를 들어 사용자가 “이 메시지 스레드 좀 요약해줘”라고 AI에게 요청할 경우, 그 요청은 보통 서버로 전송되며, 그 과정에서 서비스 제공자가 내용을 볼 수 있다. 하지만 프라이빗 프로세싱에서는 그렇지 않다.

사용자의 기기와 TEE 사이에 아주 강력한 보안 연결이 형성되고, 메시지 요약 같은 AI 작업은 오직 그 내부에서만 처리된다. 메타도, 왓츠앱도, 네트워크를 거치는 누구도 이 내용을 알 수 없다. 사용자의 요청은 암호화된 채널을 통해 전달되며, 그 암호는 오직 TEE만이 풀 수 있다. 작업이 끝나면, 그 결과만 사용자에게 안전하게 돌아간다.

조금 더 기술적으로 살펴보면, 다음과 같은 흐름을 따른다.

1. 익명 인증(Anonymous Authentication): 먼저, 왓츠앱은 사용자가 진짜 왓츠앱을 사용 중임을 확인하지만, 누군지는 알 수 없도록 익명 인증을 수행한다.
2. 공개키 수신(Public Key Fetch): 이후, 공개키를 제3의 콘텐츠 전송망(CDN)에서 받아온다. 이 공개키는 데이터를 암호화하는 데 사용된다.
3. OHTTP 경로 설정: 사용자의 요청이 왓츠앱 서버를 거치지 않고도 안전하게 전달될 수 있도록, 'Oblivious HTTP'라는 방식으로 경로를 설정한다. 이 과정을 통해 메타와 왓츠앱은 사용자의 IP 주소조차 알 수 없다.
4. TEE 보안 세션 설정(RA-TLS): 사용자의 기기와 TEE 사이에 신뢰할 수 있는 보안 세션을 만든다. 여기에는 제3자가 검증한 장치만이 연결되도록 하는 인증 절차가 포함된다.
5. AI 요청 전송: 사용자가 원하는 AI 요청(예: 메시지 요약)을 암호화해 TEE에 보낸다. 이 암호는 오직 TEE만 풀 수 있다.
6. CVM에서 처리: TEE 안에 있는 '기밀 가상 머신(CVM)'이 실제로 메시지를 분석하고 AI 결과를 만든다.
7. 결과 회신: 결과는 다시 암호화되어 사용자에게 전달되며, 이 암호는 사용자 기기만이 풀 수 있다.

이 모든 과정은 설계 단계에서부터 철저하게 프라이버시 중심으로 구성됐다. 사용자의 요청은 익명으로 처리되고, 메타나 왓츠앱은 어떤 식으로도 메시지의 내용이나 사용자의 정체를 알 수 없다.

다시 말해, AI는 당신을 돕되, 당신을 감시하지 않는다. 프라이빗 프로세싱은 바로 이 원칙을 기술로 구현한 것이다.

보안 원칙: ‘보이지 않고, 추적할 수 없으며, 확인 가능한’ 구조

프라이빗 프로세싱은 단지 보안 기술이 아니다. 메타는 이 시스템을 설계하면서 프라이버시 보호를 하나의 철학이자 원칙으로 삼았다. 이를 위해 프라이빗 프로세싱은 다섯 가지 핵심 원칙을 중심에 두고 있다. 바로 ‘보이지 않고, 추적할 수 없으며, 확인 가능한 구조’다.

첫째, 기밀성(Confidentiality)이다. 프라이빗 프로세싱을 통해 사용자의 메시지를 분석하더라도, 메타를 포함한 그 누구도 그 내용에 접근할 수 없도록 설계되었다. AI가 요청을 처리하는 동안에도, 심지어 AI를 만든 회사조차 그 안을 들여다볼 수 없는 것이다.

둘째, 옵션성(Optionality)이다. 프라이빗 프로세싱 기능은 강제되지 않는다. 사용자가 원할 때만 사용할 수 있는 ‘선택형 기능’이다. 다시 말해, 사용자는 AI 기능을 사용할지 말지 언제든지 직접 결정할 수 있다.

셋째, 비식별성(Non-targetability)이다. 특정 사용자가 어떤 서버에서 처리되는지 메타조차 알 수 없도록 세션을 완전히 익명으로 구성한다. 어떤 사용자의 요청인지, 어떤 기기에서 보냈는지조차 추적할 수 없는 구조다. 따라서 누군가를 특정해 공격하거나 감시하는 것이 불가능하다.

넷째, 검증 가능성(Verifiable Transparency)이다. 프라이빗 프로세싱이 정말 이 원칙들을 잘 지키는지, 외부의 독립된 보안 연구자들도 직접 검토하고 확인할 수 있도록 구성되어 있다. 일부 코드와 보안 로그는 외부에 공개되고, 메타는 이를 통해 자사의 보안 시스템을 투명하게 검증받고자 한다.

다섯째, 무상태 처리(Stateless Processing)다. 사용자가 AI 기능을 통해 메시지를 처리하더라도, 그 내용은 서버에 저장되지 않는다. 작업이 끝나면 즉시 사라지고, 남지 않는다. 이 말은 곧, 누군가가 나중에 서버를 털어도 이미 아무것도 없다는 뜻이다.

이를 통해 메타는 AI 기능 도입으로 인한 보안 우려를 사전에 차단하고, 프라이버시를 최우선 가치로 삼고 있음을 강조하고 있다.

어떤 위협도 상정한 ‘디펜스 인 뎁스(Defense-in-Depth)’ 설계

프라이버시를 보호하려면 단단한 기술 하나만으로는 부족하다. 어떤 기술이든 완벽할 수 없기 때문이다. 왓츠앱은 이 점을 인정하고, 프라이빗 프로세싱의 설계 초기 단계부터 다양한 위험 요소를 철저하게 분석하고 대응책을 마련했다. 이를 ‘디펜스 인 뎁스(Defense-in-Depth)’, 즉 다중 방어 전략이라 부른다.

왓츠앱이 상정한 위협 시나리오는 현실적이고 구체적이다. 단순한 해킹이 아니라, 다음과 같은 복합적이고 정교한 공격까지 모두 포함한다.

• 제로데이 취약점: 아직 공개되지 않은 보안 결함을 이용해 시스템을 공격하는 방식이다. 특히 AI 시스템에서는 ‘프롬프트 인젝션’이라 불리는 새로운 공격 방식이 주목받고 있다. 이는 AI가 잘못된 응답을 하도록 입력을 교묘하게 조작하는 것이다.
• TEE 우회 시도: 신뢰 실행 환경(TEE)도 하드웨어인 만큼, 이 자체를 공격하려는 시도도 존재한다. 예를 들어 부팅 과정이나 물리적인 접속을 통해 내부 데이터를 훔치려는 경우다.
• 시스템 변조: 내부 직원이나 외부 공급업체가 시스템을 은밀히 조작해 정보를 탈취하려는 경우도 있다. 최근 글로벌 IT 업계에서 문제가 되고 있는 ‘공급망 공격’이 대표적이다.
• 로그 유출: 고도로 보안화된 시스템이라도, 시스템이 남기는 로그에서 정보가 유출될 가능성은 항상 존재한다. 특히 AI 서비스에서는 처리 결과나 오류 정보가 로그에 남을 수 있어 위험하다.

왓츠앱은 이러한 위협을 막기 위해 다음과 같은 조치를 도입했다.

1. 컨테이너화된 실행 환경: AI 처리는 격리된 컨테이너 안에서만 이루어지도록 했다. 즉, 침입자가 한 부분을 뚫더라도 다른 영역에는 영향을 미치지 못한다.
2. 원격 셸 접속 차단: 서버나 TEE 내부에 원격으로 접근하는 것은 아예 불가능하게 설계했다. 메타 직원조차 시스템 내부를 들여다볼 수 없는 구조다.
3. 로그 필터링 시스템: 에러 로그 등 꼭 필요한 정보 외에는 로그로 외부에 유출되지 않도록 제한을 걸었다. 단순한 실패 기록만 남기고, 메시지 내용은 일절 기록하지 않는다.
4. 제3자 인증 저장소와의 연결: 사용자의 기기가 TEE와 연결되기 전에, 신뢰할 수 있는 제3의 기관에서 인증된 코드인지 확인하도록 했다. 이를 통해 변조된 코드와는 연결 자체가 되지 않도록 차단한다.
5. 일부 오픈소스 공개: 핵심 기술 중 일부는 외부 연구자들이 직접 들여다볼 수 있도록 오픈소스로 공개했다. 시스템이 안전한지, 실제로 설계된 대로 작동하는지를 누구든지 검증할 수 있도록 한 것이다.

이처럼 프라이빗 프로세싱은 다양한 위협을 막기 위해 ‘겹겹이 보호막’을 두른 구조다. 하나의 방어선이 뚫리더라도, 다음 단계에서 막을 수 있도록 설계되어 있다. 

첫 적용 사례: 메시지 요약과 문장 추천

프라이빗 프로세싱 기술은 앞으로 왓츠앱 곳곳에서 다양한 방식으로 활용될 예정이다. 그 첫 번째 시작점은 ‘메시지 요약’과 ‘문장 작성 추천’ 기능이다. 예를 들어, 오랜만에 앱을 열었더니 미확인 메시지가 수십 개 쌓여 있을 경우, 사용자는 AI에게 “요약해줘”라고 요청할 수 있다. 그러면 AI가 핵심 내용을 깔끔하게 정리해주는 방식이다.

또한 문장을 쓰다 말고 멈췄을 때, AI가 다음 문장을 추천해주는 기능도 함께 제공된다. 중요한 점은 이 모든 과정이 ‘프라이빗 프로세싱’을 통해 이뤄진다는 것이다. 즉, 사용자의 메시지는 철저히 보호되면서도 AI의 편리함을 그대로 누릴 수 있게 된다.

하지만 메타는 여기서 멈추지 않겠다는 계획이다. 향후 이 기술은 훨씬 더 다양한 AI 기능에도 적용될 수 있다.

예를 들어:

• 자동 응답 기능: 사용자의 스타일을 학습해 대화에 적절한 답변을 자동으로 생성
• 음성-텍스트 변환: 민감한 음성 메시지를 글로 바꾸되, 외부 노출 없이 처리
• 개인화된 일정 요약 및 업무 지원: 프라이버시를 해치지 않는 AI 비서 기능

이처럼 프라이빗 프로세싱은 단지 몇 가지 기능을 위한 기술이 아니라, 앞으로 왓츠앱의 AI 기반 개인화 기능의 기본 인프라가 될 가능성이 높다.

많은 사람들이 AI의 편리함을 원하면서도 한편으로는 자신의 정보가 노출될까 봐 걱정한다. 특히 개인적인 대화가 오가는 메신저에서는 그 불안감이 더 커진다. 이런 상황에서

프라이빗 프로세싱은 단지 기술적 기능 이상의 의미를 가진다. 이는 메타가 사용자 프라이버시를 포기하지 않고도 AI의 잠재력을 활용할 수 있다는 기술적 메시지이자, AI와 보안의 양립 가능성을 보여주는 상징적인 시도다.

메타는 이를 통해 향후 AI 인프라의 새로운 표준을 제시하겠다는 의지를 드러냈다. 프라이빗 프로세싱은 곧 정식 출시될 예정이며, 이에 대한 상세 기술 백서와 보안 연구 참여 프로그램도 함께 공개될 예정이다.

[저작권자ⓒ META-X. 무단전재-재배포 금지]