AWS, 데이터 암호화한 채로 머신러닝 추론하는 SageMaker FHE 기법 공개

AWS가 데이터를 처음부터 끝까지 암호화한 상태로 머신러닝(ML) 추론을 수행하는 방법을 자사 ML 블로그에 공개했다. 완전동형암호(FHE)를 아마존 세이지메이커 AI에 적용하면, 쿼리와 응답은 물론 중간 계산값까지 암호화된 채로 유지돼 세이지메이커 AI 자신을 포함한 관찰자가 데이터를 읽을 수 없다는 것이 핵심이다.

FHE는 암호화된 데이터를 복호화하지 않고 암호화된 상태 그대로 처리할 수 있게 하는 암호 방식이다. ML 추론에서는 암호화된 쿼리에 복호화 없이 모델을 적용해 암호화된 예측 결과를 만들어낸다.

AWS는 이런 기능이 가치를 갖는 사례로 세 가지를 들었다. 건강보험사가 진단 데이터로 시술 결과를 예측하는 모델을 의사에게 제공하려 하지만 개인정보 규제 탓에 환자 의료정보를 제3자에 노출할 수 없는 의료 분야, 잠재적 시추 후보지의 위성사진을 ML로 평가하되 정치적으로 민감한 위치의 사진을 외부에 드러낼 수 없는 석유·가스 분야, 그리고 고객 이메일에서 스팸과 피싱을 탐지하되 데이터 보호 규제상 고객 메시지를 암호화 상태로 유지해야 하는 통신 분야다.

이 블로그는 과거에도 FHE 기반 ML 추론을 다룬 적이 있지만, 당시에는 SEAL이라는 저수준 라이브러리로 선형회귀 알고리즘을 직접 손으로 구현하는 방식이었다. 이번 글은 FHE 추론을 위해 만들어진 고수준 라이브러리 concrete-ml을 사용한다. concrete-ml은 여러 일반적인 모델 유형을 기본 지원하며 널리 쓰이는 ML 라이브러리 scikit-learn과 API 호환된다.

동작 방식은 다음과 같다. 모델 소유자는 모든 특성을 같은 척도(예: -1에서 1 사이)로 정규화한 데이터로 FHE를 지원하는 버전의 모델을 학습시킨다. 학습 자체는 평문 데이터 위에서 이뤄진다. 이 모델을 세이지메이커 AI에 올려 두면, 클라이언트는 자신의 쿼리를 모델이 지원하는 FHE 방식으로 암호화해 보낸다. 모델은 계산 도중 값을 복호화하지 않고 암호화된 쿼리를 암호화된 예측으로 변환해 돌려주며, 클라이언트가 이를 복호화해 결과를 얻는다.

AWS는 이 방식이 AWS 나이트로 시스템 같은 신뢰 컴퓨팅 환경과 다르면서 상호 보완적이라고 설명했다. 나이트로 엔클레이브는 CPU·메모리를 격리한 강화된 환경 안에서 쿼리를 복호화해 평문으로 처리하지만, FHE는 쿼리가 처음부터 끝까지 암호화된 채로 유지되며 보안이 하드웨어나 소프트웨어가 아니라 수학에 기반한다는 점이 다르다.

구현에는 파이썬 3.12와 도커가 설치된 로컬 개발 환경, 그리고 학습·추론 컨테이너 이미지를 담을 아마존 ECR 저장소와 모델·학습 코드·키·암호문을 담을 아마존 S3 위치, 모델 생성자·추론 엔드포인트 생성자·엔드포인트 자체·클라이언트를 위한 IAM 역할을 갖춘 AWS 계정이 필요하다. AWS는 손글씨 숫자 데이터셋 MNIST를 이용한 실습 예제를 샘플 코드 저장소에서 제공한다.

한 가지 유의점으로, 글 작성 시점 기준 concrete-ml은 제공사인 Zama로부터 프로토타이핑이나 비상업적 용도로는 유료 라이선스 없이 쓸 수 있지만 상업적 사용에는 별도의 상업용 라이선스가 필요할 수 있다. 또한 concrete-ml은 파이썬, concrete-ml 패키지, concrete-python 패키지의 버전이 시스템 전반에서 일치해야 한다.