컨피덴셜 컴퓨팅(Confidential Computing)은 데이터가 메모리에서 처리되는 순간, 즉 사용 중 데이터(data-in-use)를 하드웨어 기반 신뢰 실행 환경(TEE, Trusted Execution Environment)으로 암호화하는 기술입니다. 저장 중(at-rest)·전송 중(in-transit) 암호화가 채우지 못한 마지막 빈틈을 막죠. Intel TDX, AMD SEV-SNP, NVIDIA 컨피덴셜 컴퓨팅, AWS 나이트로 엔클레이브(Nitro Enclaves), Azure 컨피덴셜 VM이 대표 구현입니다. 2026년 가트너가 10대 전략 기술로 꼽을 만큼 금융·의료 규제 산업의 AI 도입 핵심 인프라로 자리잡았습니다.
목차
- 어느 금융사 데이터팀의 새벽, 그날의 회의
- 왜 지금 컨피덴셜 컴퓨팅인가: 사용 중 데이터라는 사각지대
- 컨피덴셜 컴퓨팅이란 무엇인가: TEE와 어테스테이션
- 벤더 지형도: Intel·AMD·NVIDIA·클라우드 3사
- AI 시대의 컨피덴셜 컴퓨팅: 모델 보호와 프라이버시 학습
- 기존 방식은 무엇이 달랐나: 세 가지 활용 사례
- 기업 도입 실전 가이드: 4단계로 시작하기
- FAQ
- 같이 읽으면 좋은 것들
어느 금융사 데이터팀의 새벽, 그날의 회의
한 중견 카드사의 데이터 플랫폼팀 회의를 떠올려 봅니다. 화이트보드에는 "다른 은행 두 곳과 공동으로 사기 탐지 모델을 학습시키자"는 안건이 적혀 있었는데요. 문제는 단 하나, 세 회사 모두 고객의 거래 데이터를 상대에게 보여줄 수 없다는 것. 법무팀은 "데이터가 한 번이라도 평문으로 메모리에 올라가면 통제할 수 없다"고 못 박았고, 인프라팀장은 "그럼 운영자도 못 보게 해야 한다는 거냐"고 되물었습니다.
이 장면이 컨피덴셜 컴퓨팅이 풀려는 정확한 문제입니다. 디스크에 저장할 때도, 네트워크로 보낼 때도 암호화합니다. 그런데 CPU가 연산하려면 메모리에서 한번은 평문으로 풀어야 하죠. 바로 이 찰나가 수십 년간 보안의 빈틈이었어요. 악성코드, 권한을 탈취한 관리자, 심지어 클라우드 사업자까지 메모리만 들여다보면 모든 게 노출됩니다.
그날 회의의 결론은 의외로 단순했습니다. AWS 나이트로 엔클레이브(Nitro Enclaves) 위에 암호화된 격리 환경을 만들고, 세 회사가 각자 암호화한 데이터를 그 안에서만 합치기로 한 거죠. 누구도 원본을 보지 못한 채 결과 모델만 공유합니다. AWS가 드는 다자간 협업(multi-party collaboration)의 대표 용례입니다.
왜 지금 컨피덴셜 컴퓨팅인가: 사용 중 데이터라는 사각지대
데이터 보호는 보통 세 상태로 나눕니다. 저장 중(at-rest), 전송 중(in-transit), 사용 중(in-use)인데요. 앞의 둘은 디스크 암호화와 TLS로 이미 표준이 자리잡았습니다. 정작 비어있던 칸이 세 번째, 사용 중 데이터였습니다.
기존 방식의 비효율은 여기서 나옵니다. 민감한 연산을 하려면 데이터를 평문으로 메모리에 올려야 하는데, 그 순간만큼은 운영체제·하이퍼바이저·관리자가 이론상 모두 들여다볼 수 있었습니다. 규제가 강한 업종이 민감 워크로드를 퍼블릭 클라우드에 못 올린 이유죠.
상황을 바꾼 건 세 가지입니다. 메모리 단 위협이 현실이 됐고, 데이터 주권(sovereign cloud)과 개인정보 규제가 강해지며 "운영자도 못 보는 환경" 수요가 커졌어요. 암호화 연산의 성능 손실도 부담 없는 수준까지 떨어졌고요.
시장도 빠르게 반응합니다. 리눅스 재단(Linux Foundation) 산하 기밀 컴퓨팅 컨소시엄(CCC, Confidential Computing Consortium)이 IDC에 의뢰한 2025년 12월 조사에서, 15개 산업의 IT 리더 600여 명 중 75%가 이 기술을 도입 중이라 답했고, 가트너도 이를 2026년 10대 전략 기술에 넣었어요.
컨피덴셜 컴퓨팅이란 무엇인가: TEE와 어테스테이션
컨피덴셜 컴퓨팅의 심장은 신뢰 실행 환경(TEE)입니다. TEE는 CPU 안에 하드웨어로 격리된 보호 영역을 만들어 그 안의 코드와 데이터를 외부로부터 차단합니다. 메모리는 CPU 내장 키로 암호화되고, 이 키는 운영체제도 하이퍼바이저도 꺼낼 수 없죠. 평문으로 처리되는 순간에도 격리 영역 바깥에서는 암호화된 잡음으로만 보입니다.
여기서 꼭 짚어야 할 개념이 원격 어테스테이션(remote attestation)입니다. 내가 보낸 데이터가 진짜 정품 TEE 안에서, 내가 의도한 코드로 처리되는지 어떻게 믿느냐는 문제죠. 어테스테이션은 하드웨어가 서명한 증명서를 발급해 "이 환경은 변조되지 않은 진짜 엔클레이브이고 실행 코드의 해시는 이것이다"를 검증해 줍니다. 이 절차를 통과해야 비로소 데이터를 풀어 처리합니다.
TEE는 크게 두 갈래입니다. 하나는 애플리케이션 일부만 격리하는 프로세스 단위로 Intel SGX(Software Guard Extensions)가 대표적인데, 보안 경계는 단단하지만 개발자가 코드를 다시 짜야 하죠. 다른 하나는 가상머신을 통째로 감싸는 VM 단위로, Intel TDX(Trust Domain Extensions)와 AMD SEV-SNP(Secure Encrypted Virtualization-Secure Nested Paging)가 여기 속합니다. 표준 VM을 거의 그대로 암호화된 메모리 안에서 돌릴 수 있어 기존 워크로드를 코드 수정없이 옮기기 쉽고, 그래서 최근 클라우드 컨피덴셜 VM 시장은 TDX와 SEV-SNP가 주도합니다.
성능은 어떨까요. 막상 수치를 보면 가볍습니다. 2025년 ACM SIGMETRICS에 발표된 AMD SEV-SNP와 Intel TDX 실측 분석에 따르면 연산 위주(compute-bound) 워크로드 오버헤드는 1~5%에 그쳤습니다. AES-NI 하드웨어 가속 덕분이죠. 다만 네트워크 입출력이 잦은 작업은 다릅니다. Memcached TCP는 설정에 따라 30~57%까지 치솟기도 했지만 폴링 최적화를 적용하면 10~14%대로 떨어졌어요. 워크로드 성격에 따라 손실 폭이 갈리니 도입 전 반드시 측정해야 합니다.
벤더 지형도: Intel·AMD·NVIDIA·클라우드 3사
이 시장은 칩 제조사와 클라우드 사업자가 층층이 얽혀 있습니다. 칩 단에서 Intel과 AMD가 CPU TEE를 양분하고 NVIDIA가 GPU 영역을 열었으며, 그 위에 AWS·Azure·구글 클라우드(Google Cloud)가 자사 서비스로 감싸 제공하는 구조죠.
| 구분 | 기술/서비스 | 격리 단위 | 특징 |
|---|---|---|---|
| Intel | SGX / TDX | 프로세스 / VM | SGX는 작은 보호 영역, TDX는 VM 통째 암호화 |
| AMD | SEV-SNP | VM | 표준 VM 이식 용이, 확장성 강점 |
| NVIDIA | 컨피덴셜 컴퓨팅 | GPU | Hopper(H100)부터, Blackwell은 TEE-I/O 지원 |
| AWS | 나이트로 엔클레이브 | VM 내부 격리 | EC2 안에 분리된 엔클레이브, 암호 어테스테이션 |
| Azure | 컨피덴셜 VM | VM | SEV-SNP·TDX 기반, 2025년 HSM 칩 확대 |
| Google Cloud | 컨피덴셜 VM | VM | C3D(SEV)·C3(TDX) 머신 제공 |
클라우드 3사의 움직임도 빠릅니다. 마이크로소프트(Microsoft)는 2025년 8월 Azure 전 서버에 통합 HSM 보안 칩을 배포했고, AWS는 나이트로 시스템(Nitro System)으로 제어 평면을 암호화한 뒤 엔클레이브로 민감 데이터를 격리합니다.
이 흐름을 묶는 곳이 기밀 컴퓨팅 컨소시엄(CCC)입니다. Intel, AMD, NVIDIA, IBM은 물론 Fortanix, Anjuna, 틱톡(TikTok) 같은 서비스 기업까지 참여하는데요. 벤더마다 어테스테이션 방식이 제각각이면 멀티클라우드 운영이 악몽이 되기에, 상호운용성(interoperability) 공통 규격이 핵심 과제로 떠올랐습니다.
AI 시대의 컨피덴셜 컴퓨팅: 모델 보호와 프라이버시 학습
컨피덴셜 컴퓨팅이 갑자기 주목받은 가장 큰 이유는 사실 AI입니다. 생성형 AI 모델을 학습시키려면 막대한 민감 데이터가 필요한데, 그 데이터를 가진 쪽과 모델을 가진 쪽이 다른 경우가 많거든요. 병원은 환자 데이터는 있어도 모델을 못 만들고, AI 기업은 모델은 있어도 데이터에 접근하면 규제에 걸립니다. 이 교착을 깨려면 "보지 않고도 연산하는" 환경이 필요했습니다.
NVIDIA가 GPU TEE를 들고 나온 배경이 여기 있습니다. Hopper 아키텍처의 H100이 컨피덴셜 컴퓨팅을 내장한 최초의 가속기였고, Blackwell은 업계 최초 TEE-I/O 지원 GPU가 됐습니다. CPU와 GPU 사이 전송까지 하드웨어 가속으로 암호화하고 NVLink 구간도 보호하죠. NVIDIA는 Blackwell의 컨피덴셜 모드가 비암호화 모드와 거의 같은 처리량을 낸다고 밝혔습니다. 암호화 때문에 속도를 포기하지 않아도 된다는 거예요.
보호 대상은 데이터와 모델 두 방향입니다. 연합학습(federated learning)에서는 모델 코드와 가중치(weights)를 클라이언트 측 컨피덴셜 VM에 넣어, 값비싼 사전학습 모델을 외부에 배포하면서도 도난을 막습니다.
실제 사례도 나옵니다. 개인 맞춤 의료 솔루션 기업 와이마 헬스(Yma Health)는 NVIDIA 컨피덴셜 컴퓨팅 기반 클라우드에서 익명화 플랫폼을 운영하며 진짜 의료 데이터로 규제 준수 AI를 돌립니다. 산업별 온도차도 뚜렷한데요. 같은 IDC 조사에서 전면 프로덕션 배포는 금융(37%)이 가장 높고 의료(29%)가 뒤를 이었습니다. 흥미롭게도 다자간 프라이버시 협업을 중요하게 본 비율은 의료(78%)가 금융(61%)보다 높았어요. 기관끼리 환자 데이터를 안전하게 합치려는 수요가 절실하다는 뜻이죠. 데이터를 주고받지 않고도 협업이 가능해진 게 규제 산업에서 특히 의미가 큰겁니다.
기존 방식은 무엇이 달랐나: 세 가지 활용 사례
개념만 들으면 추상적이라, 같은 일을 예전에는 어떻게 했고 지금은 어떻게 바뀌는지 나란히 놓고 보면 감이 잡힙니다.
첫째, 여러 기관의 공동 분석입니다. 예전에는 병원 세 곳이 환자 데이터를 합쳐 질병 모델을 만들려면, 한 곳이 데이터를 모아 받거나 비식별 처리를 거듭한 뒤 신뢰 가능한 제3의 기관에 위탁하는 식이었습니다. 비식별 과정에서 정보가 깎여 정확도가 떨어졌고, 위탁받은 쪽을 무조건 믿어야 하는 구조였죠. 컨피덴셜 컴퓨팅에서는 각 병원이 원본을 암호화해 TEE 안에 올리고, 누구도 남의 데이터를 평문으로 보지 못한 채 합산 결과만 받습니다. 데이터를 옮기지 않고도 협업이 성립하는 거예요.
둘째, 민감한 추론 서비스입니다. 금융사가 외부 AI API에 신용 데이터를 보내 평가받는 상황을 떠올려 보면, 종전에는 데이터를 넘기는 순간 통제권을 잃었습니다. 그래서 아예 내부망에 모델을 복제해 두는 비싼 우회를 택했죠. 지금은 추론 자체를 컨피덴셜 VM 안에서 돌려, 입력도 모델 가중치도 외부에 노출하지 않고 결과만 주고받습니다.
셋째, SaaS 사업자의 신뢰 확보입니다. 고객사가 "당신 회사 직원이 우리 데이터를 들여다볼 수 있지 않냐"고 물으면 예전에는 계약서와 감사 로그로 답할 수밖에 없었는데요. 어테스테이션 증명서를 제시하면 "운영자조차 평문에 접근 불가능한 환경"임을 기술적으로 입증할 수 있습니다. 신뢰를 약속이 아니라 증거로 바꾸는 셈이죠.
기업 도입 실전 가이드: 4단계로 시작하기
막상 시작하려면 막막한데요. 작게 검증하고 넓히는 순서를 권합니다.
1단계, 보호 대상 워크로드를 좁힙니다. PII 처리, 암호키 취급, 민감 데이터 추론처럼 위험이 집중된 곳부터 고릅니다.
2단계, TEE 방식을 정합니다. 기존 VM을 그대로 옮기려면 SEV-SNP나 TDX 기반 컨피덴셜 VM이 현실적이고, 격리 경계를 최소화하려면 SGX 같은 프로세스 단위가 맞습니다. 멀티클라우드라면 어테스테이션 호환성을 미리 확인하세요.
3단계, 어테스테이션과 키 관리를 설계합니다. 실무에서 가장 까다로운 대목이라 대충 넘기면 나중에 정책을 다시 손봐야 하는 경유가 잦습니다. IDC 조사에서도 도입 장벽 1위가 어테스테이션 검증(84%)이었어요. 어떤 조건에서 키를 풀어줄지, 증명서를 누가 검증할지 정책을 명확히 잡아야 합니다.
4단계, 성능을 실측하고 점진 확대합니다. 연산 위주면 손실이 미미하지만 I/O가 많으면 크게 뛸 수 있으니, 벤치마크한 뒤 범위를 넓히세요.
현실적 장애물도 알아두면 좋습니다. 같은 조사에서 응답자들은 틈새 기술로 오해하는 인식(77%)과 인력 부족(75%)을 큰 걸림돌로 꼽았습니다. 기술보다 조직의 이해와 역량이 더 큰 벽일 수 있다는 신호죠. 처음에는 관리형 컨피덴셜 VM부터 써보며 경험치를 쌓는 편이 안전합니다.