최근 수정 시각 : 2026-06-10 22:50:35

Private Cloud Compute



[[Apple|
#!wiki
[[파일:Apple 로고 화이트.svg|height=40]]
Apple
]]
[ 펼치기 · 접기 ]
||<-4><tablewidth=100%><tablebgcolor=transparent><bgcolor=#333>하드웨어 제품
#!wiki class="element"
[[Mac(컴퓨터)|[[파일:Mac 심볼.svg|width=80&theme=light]][[파일:Mac 심볼 다크.svg|width=80&theme=dark]][br]{{{#333,#ddd Mac}}}]]
#!wiki class="element"
[[iPhone|[[파일:iPhone 15 Pro 심볼.svg|width=25&theme=light]][[파일:iPhone 15 Pro 심볼 화이트.svg|width=25&theme=dark]][br]{{{#333,#ddd iPhone}}}]]
#!wiki class="element"
[[iPad|[[파일:iPad Pro 아이콘 라이트.svg|width=40&theme=light]][[파일:iPad Pro 아이콘 다크.svg|width=40&theme=dark]][br]{{{#333,#ddd iPad}}}]]
#!wiki class="element"
[[틀:Apple 디스플레이 라인업|[[파일:Pro Display XDR 심볼(1).svg|width=55&theme=light]][[파일:Pro Display XDR 심볼 화이트.svg|width=55&theme=dark]][br]{{{#333,#ddd Display}}}]]
#!wiki class="element"
[[Apple Watch|[[파일:Apple Watch 심볼.svg|width=22&theme=light]][[파일:Apple Watch 심볼 다크.svg|width=22&theme=dark]][br]{{{#333,#ddd Watch}}}]]
#!wiki class="element"
[[AirPods|[[파일:AirPods Pro 심볼.svg|width=45&theme=light]][[파일:AirPods Pro 심볼 화이트.svg|width=45&theme=dark]][br]{{{#333,#ddd AirPods}}}]]
#!wiki class="element"
[[Apple TV|[[파일:Apple TV 4K 3rd 심볼.svg|width=42&theme=light]][[파일:Apple TV 심볼 다크.svg|width=42&theme=dark]][br]{{{#333,#ddd TV}}}]]
#!wiki class="element"
[[HomePod|[[파일:HomePod 2세대 심볼.svg|width=60&theme=light]][[파일:HomePod 2세대 심볼 화이트.svg|width=60&theme=dark]][br]{{{#333,#ddd HomePod}}}]]
#!wiki class="element"
[[Apple Vision|[[파일:Vision 심볼.svg|width=60&theme=light]][[파일:Vision 심볼 화이트.svg|width=60&theme=dark]] [br]{{{#333,#ddd Vision}}}]]
#!wiki class="element"
[[AirTag|[[파일:AirTag 심볼.svg|width=50&theme=light]][[파일:AirTag 심볼 다크.svg|width=50&theme=dark]][br]{{{#333,#ddd AirTag}}}]]
#!wiki class="element"
[[Apple/액세서리|[[파일:Magic Keyboard 심볼.svg|width=63&theme=light]][[파일:Magic Keyboard 심볼 화이트.svg|width=63&theme=dark]][br]{{{#333,#ddd 액세서리}}}]]
#!wiki class="element"
[[Apple Silicon|[[파일:Apple Silicon 심볼.svg|width=35&theme=light]][[파일:Apple Silicon 심볼 화이트.svg|width=35&theme=dark]][br]{{{#333,#ddd Silicon}}}]]
기타 단종 제품군Apple Car스티커
소프트웨어
<colbgcolor=#333><colcolor=#fff>OSiOSiPadOSwatchOSmacOStvOS(audioOS)visionOS
AppiOS 앱Watch 페이스
AIMLXApple IntelligenceApple Foundation ModelsOpenELM
디자인 시스템AquaLiquid Glass
서비스
프로그램Apple Trade InAppleCare+Apple 베타 소프트웨어 프로그램
이벤트Apple 이벤트WWDC
Apple Store한국미국일본영국싱가포르태국인도대만
결제 및 구독Apple OneApple PayApple Gift Card
캠퍼스
쿠퍼티노CampusApple Park
오스틴Riata Vista CircleAustin Campus
관계사
자회사BeatsShazam
인물
창업주CEO이사회 의장
경영진이사진기타
#!style
.element {
    display: flex;
    width: min(calc(100% / 4), 100px);
    height: 95px;
    padding-bottom: 5px;
    border-radius: min(10px, 1.5vw);
    background: #f5f5f7;
    flex-grow: 1;
    justify-content: center;
    align-items: flex-end;
}
@theseed-dark-mode {
    .element {
        background: #272829;
    }
}

[include(틀:Apple의 소프트웨어
,이름=Private Cloud Compute
,아이콘=Private Cloud Compute 아이콘.png
,출시일=2024년 10월 28일
,유형링크1=클라우드 컴퓨팅
,유형텍스트1=인공지능 서버 추론 인프라
,T4제목=공개
,T4내용=2024년 6월 10일
,T4꼬리말=Apple Intelligence에서 온디바이스로 처리하기 어려운 요청을 서버 모델로 처리하는 데 사용됩니다.
,링크1URL=https://security.apple.com/blog/private-cloud-compute/
,링크1텍스트=Apple Security Research
,링크2URL=https://security.apple.com/documentation/private-cloud-compute
,링크2텍스트=PCC Security Guide
)]

1. 개요2. 역사
2.1. 2024년 공개2.2. 정식 서비스 적용2.3. Google Cloud로 확장
3. 작동 방식4. 아키텍처
4.1. PCC 노드4.2. 신뢰 경계4.3. Secure Boot와 코드 서명4.4. 원격 증명4.5. 무상태 연산
5. 보안 설계
5.1. 운영자 접근 제한5.2. 공격 표면 축소5.3. 특정 사용자 표적화 방지
6. 네트워크 개인정보 보호7. 투명성과 외부 검증
7.1. Virtual Research Environment
8. Apple Foundation Models와의 관계9. Google Cloud 및 NVIDIA GPU 확장10. 사용자 확인 기능11. 보안 위협 모델12. 평가
12.1. 한계
13. 기타14. 관련 문서

1. 개요

[include(틀:Apple 스타일 인용문, 굵기=bold
,L1=On-device first. Private Cloud Compute when needed.
,L2=가능한 작업은 기기에서. 더 큰 연산이 필요할 때만 클라우드에서.
)]
Private Cloud Compute(비공개 클라우드 컴퓨팅)는 기기 안에서 처리하기 어려운 Apple Intelligence 요청을 더 큰 서버 모델로 처리하기 위해 Apple이 구축한 클라우드 추론 인프라이다. 약칭은 PCC이다.

Apple Intelligence의 모든 요청이 PCC로 전달되는 것은 아니다. 먼저 기기에서 처리할 수 있는지 판단하고, 더 많은 연산 능력이 필요한 요청에 PCC를 사용할 수 있다. 서버에는 해당 요청과 관련된 정보만 전달되며, Apple은 이를 요청 처리 이외의 목적으로 사용하거나 처리 후 보존하지 않는다고 설명한다. Apple Intelligence와 개인정보 보호

일반적인 클라우드 서비스에서는 관리자 권한이나 디버깅 도구를 통해 처리 중인 데이터에 접근하거나, 문제 해결 과정에서 요청 내용이 로그에 포함될 가능성이 있다. PCC는 원격 셸과 범용 관찰 도구를 제외하고, 승인된 소프트웨어만 실행되도록 제한하는 방식으로 이러한 위험을 줄인다.

다만 요청이 서버에 전송되지 않는 구조는 아니다. 서버 모델이 응답을 생성하려면 검증된 PCC 노드 안에서 요청을 복호화하고 처리해야 한다. PCC는 이 과정에 접근할 수 있는 코드와 권한을 제한하고, 처리가 끝난 데이터가 남지 않도록 하는 데 초점을 맞춘다.

2. 역사

2.1. 2024년 공개

Apple은 2024년 6월 10일 WWDC24에서 Apple Intelligence와 함께 Private Cloud Compute를 공개했다. 기기에서 처리하기 어려운 요청에는 서버 모델을 사용하되, 클라우드로 넘어간 데이터에도 기기 안에서 처리할 때에 가까운 보호 수준을 적용하겠다는 취지였다.

초기 PCC는 Apple이 설계한 Apple Silicon 서버를 중심으로 구축됐다. 서버 운영체제에는 iOS와 macOS에서 사용해 온 Secure Boot, 코드 서명, Secure Enclave 등의 보안 기술이 반영됐으며, 원격 셸이나 범용 디버깅 도구처럼 사용자 데이터에 접근하는 통로가 될 수 있는 기능은 제외됐다.

Apple은 PCC의 설계 방향을 다섯 가지 요구사항으로 설명했다.
무상태 연산 요청을 처리하는 동안에만 개인 데이터를 사용하며, 작업이 끝난 뒤에는 이를 보관하지 않는다.
강제 가능한 보장 개인정보 보호를 내부 규정에만 맡기지 않고 시스템의 하드웨어와 소프트웨어에 반영한다.
특권 접근 차단 운영자에게도 처리 중인 요청을 들여다볼 수 있는 일반적인 관리자 도구를 제공하지 않는다.
비표적성 특정 사용자의 요청만 골라 공격자가 통제하는 노드로 보내기 어렵게 한다.
검증 가능한 투명성 생산 환경에서 실행되는 소프트웨어를 공개해 사용자 기기와 외부 연구자가 확인할 수 있도록 한다.

이 요구사항은 이후 공개된 원격 증명, 투명성 로그, 요청 중계 방식과 Virtual Research Environment의 바탕이 됐다. Apple Security Research

2.2. 정식 서비스 적용

Apple Intelligence의 첫 기능은 2024년 10월 28일 iOS 18.1, iPadOS 18.1, macOS 15.1과 함께 정식 배포됐다.

Apple은 같은 달 PCC Security Guide와 생산 소프트웨어 이미지, 투명성 로그, 일부 보안 구성 요소의 소스 코드 및 Virtual Research Environment를 공개했다. 정식 서비스에서 사용하는 소프트웨어를 외부 연구자가 내려받아 분석할 수 있도록 한 것이다.

Security research on Private Cloud Compute

2.3. Google Cloud로 확장

Apple은 2026년 6월 8일 PCC를 Google Cloud의 NVIDIA GPU 환경으로 확장한다고 발표했다. 에이전트형 도구 사용과 복잡한 추론처럼 연산량이 큰 작업을 처리하는 AFM 3 Cloud Pro가 이 환경에 맞춰 개발됐다.

Google Cloud 기반 PCC에는 NVIDIA Confidential Computing, Intel TDX와 Google Titan이 사용된다. Apple은 기존 PCC의 다섯 가지 원칙을 그대로 적용한다고 밝혔지만, 공개 당시에는 전체 보호 기능을 여름 프리뷰 기간에 걸쳐 순차적으로 적용하는 단계였다.

Expanding Private Cloud Compute

3. 작동 방식

Apple Intelligence는 가능한 요청을 기기에서 먼저 처리한다. PCC가 필요한 경우에는 요청과 모델 설정을 준비하고, 공개된 소프트웨어를 실행하는 것으로 확인된 노드에만 암호화해 전송한다.
1
판단
온디바이스 처리 가능 여부 확인
Apple Intelligence가 요청을 기기 안에서 처리할 수 있는지 확인한다.
2
준비
서버 요청 구성
추가 연산이 필요하면 프롬프트와 사용할 모델, 추론 설정 및 요청에 필요한 정보를 준비한다.
3
검증
PCC 노드의 소프트웨어 확인
기기는 원격 증명과 공개 투명성 로그를 이용해 노드의 측정값이 승인된 소프트웨어 릴리스와 일치하는지 확인한다.
4
전송·처리
암호화된 요청을 서버 모델로 처리
요청은 OHTTP 중계를 거쳐 전달된다. 검증된 노드는 요청을 복호화하고 서버 기반 Apple Foundation Model로 추론을 수행한다.
5
반환
결과 전송과 데이터 제거
생성된 결과를 기기로 반환한 뒤 요청 데이터를 제거한다. 노드가 재부팅되면 데이터 볼륨의 이전 암호화 키도 보존되지 않는다.

[ 암호화와 노드 선택 과정 ]
* 사용자 기기는 투명성 로그에 등록된 승인 소프트웨어와 측정값이 일치하는 PCC 노드만 선택한다.
  • 요청을 여는 데 필요한 페이로드 키는 검증된 노드의 공개 키에만 결합된다.
  • 데이터센터의 로드 밸런서와 Privacy Gateway는 요청 본문을 복호화할 키를 갖지 않는다.
  • 공개되지 않았거나 측정값이 일치하지 않는 소프트웨어를 실행하는 노드에는 개인 요청이 전달되지 않는다.

어떤 기능이 PCC를 사용하게 되는지 결정하는 세부 기준과 서버로 전달되는 개인 문맥의 정확한 범위는 공개되지 않았다.

4. 아키텍처

파일:Apple Private Cloud Compute Architecture.png
Private Cloud Compute의 전체 구조. 사용자 기기는 PCC 노드의 소프트웨어와 인증 상태를 확인한 뒤 요청을 암호화해 전송한다.

4.1. PCC 노드

초기 PCC 노드는 Apple Silicon과 Secure Enclave, Secure Boot 및 전용 운영체제로 구성됐다. 운영체제는 iOS와 macOS의 보안 기술을 공유하지만, 대규모 모델 추론에 필요한 구성 요소만 남겨 공격 표면을 줄였다.

노드 안에서는 전용 Machine Learning 스택이 서버 기반 Apple Foundation Models를 실행한다. Secure Enclave는 노드 인증과 암호화 키 보호에 사용되며, Trusted Execution Monitor는 서명되고 검증된 코드만 실행되도록 통제한다.

4.2. 신뢰 경계

요청 내용을 평문으로 처리할 수 있는 영역은 검증된 PCC 노드 내부로 제한된다. 로드 밸런서와 Privacy Gateway를 비롯한 외부 구성 요소는 요청을 전달하는 역할을 하지만, 본문을 복호화하는 데 필요한 키를 갖지 않는다.

사용자 기기에서 검증된 노드까지의 요청은 암호화된다. 그러나 서버 모델이 연산하려면 노드 안에서는 요청을 복호화해야 하므로, PCC 전체를 iMessage와 같은 의미의 완전한 종단간 암호화라고 설명하기는 어렵다.

정확히는 기기에서 검증된 노드까지 요청을 암호화하고, 노드 내부에서는 승인된 코드만 평문 데이터를 처리하도록 제한하는 구조이다.

4.3. Secure Boot와 코드 서명

PCC 노드는 Secure Boot와 코드 서명을 이용해 Apple이 승인하고 암호학적으로 측정한 코드만 실행하도록 한다.

실행 가능한 코드는 해당 노드용으로 승인된 신뢰 캐시에 포함돼야 하며, 운영 중 임의의 소프트웨어를 추가해 권한 범위를 넓힐 수 없도록 설계됐다. 이 구조는 장애 대응이나 유지보수 과정에서도 별도의 관리자 코드를 노드에 올리기 어렵게 한다.

4.4. 원격 증명

원격 증명은 노드가 현재 어떤 하드웨어와 소프트웨어를 실행하고 있는지를 사용자 기기에 암호학적으로 증명하는 절차이다.

노드는 운영체제와 로드된 소프트웨어의 측정값을 제시한다. 사용자 기기는 이 값이 공개 투명성 로그에 등록된 릴리스와 일치할 때만 해당 노드가 요청을 복호화할 수 있도록 페이로드 키를 암호화한다.

4.5. 무상태 연산

PCC로 전달된 데이터는 사용자의 요청을 처리하는 동안 노드 안에 존재한다. 응답이 반환되면 해당 요청 데이터는 제거되며, 로그나 디버깅 정보의 형태로 보존하지 않도록 설계됐다.

노드가 다시 시작될 때에는 Secure Enclave가 데이터 볼륨의 암호화 키를 새로 생성한다. 이전 키를 저장하지 않기 때문에 저장장치에 데이터가 남더라도 재부팅 이후에는 이를 복호화할 수 없도록 한다.

5. 보안 설계

5.1. 운영자 접근 제한

PCC에는 일반적인 서버에서 사용하는 원격 셸과 대화형 디버깅 인터페이스, 광범위한 시스템 관찰 도구가 포함되지 않는다.

운영 담당자에게 제공되는 정보는 사전에 정의되고 검토된 제한적인 지표와 로그로 한정된다. 이를 통해 서비스 상태를 확인하면서도 사용자 데이터나 추론 내용을 운영 정보에 포함시키지 않도록 한다.

이 구조는 직원이 내부 규칙에 따라 데이터를 열람하지 않는 수준을 넘어, 정상적인 관리자 권한으로도 처리 중인 요청에 접근하기 어렵게 만드는 데 목적이 있다.

5.2. 공격 표면 축소

네트워크 입력 처리와 추론 제어, 모델 실행은 서로 다른 프로세스와 주소 공간으로 분리된다. 일부 제어 계층은 메모리 안전성을 고려해 Swift로 작성됐으며, 샌드박스와 Pointer Authentication Code 등의 보호 기술도 적용됐다.

PCC는 범용 클라우드 운영체제에 보안 기능을 덧붙이는 방식보다, 추론에 필요한 기능만 남겨 전체 시스템의 범위를 줄이는 방식을 택했다.

5.3. 특정 사용자 표적화 방지

PCC는 공격자가 특정 사용자의 요청만 침해된 노드로 유도하기 어렵게 설계됐다. Apple은 이를 비표적성target diffusion이라는 개념으로 설명한다.

요청 인증에는 특정 Apple 계정과 직접 연결되지 않는 일회용 자격 증명이 사용된다. 로드 밸런서는 사용자의 신원을 알지 못한 상태에서 후보 노드를 제시하고, 기기는 그중 검증을 통과한 제한된 노드 집합만 요청을 열 수 있도록 한다.

이 과정은 일부 노드가 침해되더라도 특정 사용자의 요청을 지속적으로 해당 노드로 보내는 일을 어렵게 한다.

6. 네트워크 개인정보 보호

PCC 요청은 제3자가 운영하는 OHTTP 중계를 거친다. 중계는 사용자 기기의 출발 IP 주소를 확인할 수 있지만 요청 본문은 읽을 수 없다. PCC 인프라는 암호화된 요청을 받지만, 원래 출발 IP 주소는 직접 전달받지 않는다.

로드 밸런서 역시 요청 본문을 복호화하지 않는다. 사용할 모델과 후보 노드를 결정하는 데 필요한 제한적인 라우팅 정보만 처리한다.

이 구조는 한 주체가 사용자의 네트워크 주소와 요청 내용을 동시에 확보할 가능성을 낮춘다. 다만 모든 메타데이터가 사라지거나 모든 형태의 트래픽 분석이 불가능해지는 것은 아니다.

7. 투명성과 외부 검증

파일:Private Cloud Compute Transparency and VRE.png
PCC 노드는 실행 중인 소프트웨어의 측정값을 제시하고, 사용자 기기는 이를 공개 투명성 로그의 승인된 릴리스와 대조한다. 연구자는 같은 릴리스를 내려받아 VRE에서 분석할 수 있다.

Apple은 생산 PCC 서버에서 실행되는 운영체제와 애플리케이션, 로드된 소프트웨어의 예상 측정값을 공개 투명성 로그에 기록한다.

이 로그는 새로운 기록을 덧붙일 수는 있지만, 이미 등록된 릴리스를 흔적 없이 삭제하거나 변경하기 어렵도록 설계됐다. 사용자 기기는 노드의 측정값이 공개된 릴리스와 일치하지 않으면 요청을 보내지 않는다.

각 생산 릴리스의 바이너리 이미지도 외부 분석을 위해 공개된다. 이를 통해 연구자는 공개된 이미지의 측정값을 계산하고, 투명성 로그에 등록된 값 및 노드의 원격 증명과 비교할 수 있다.

7.1. Virtual Research Environment

Virtual Research Environment는 Apple Silicon Mac에서 PCC 노드 소프트웨어를 실행하고 분석할 수 있는 연구 환경이다. 약칭은 VRE이다.

연구자는 VRE를 이용해 PCC 릴리스와 관련 바이너리를 내려받고, 투명성 로그의 일관성을 검사할 수 있다. 공개된 PCC 소프트웨어를 부팅하거나 시범 모델로 추론을 실행하고, 코드를 수정해 디버깅하는 것도 가능하다.

사용자 공간 소프트웨어는 생산 PCC 노드와 대부분 동일하지만, 부팅 과정과 커널 일부는 가상화에 맞게 수정돼 있다. VRE가 실제 데이터센터의 물리적 환경이나 운영 중인 사용자 요청에 접근하는 것은 아니다.

Apple은 CloudAttestation, Thimble의 privatecloudcomputed, splunkloggingd와 VRE 도구 등 일부 보안 관련 구성 요소의 소스 코드도 제한된 이용 조건으로 공개했다.

Security research on Private Cloud Compute

8. Apple Foundation Models와의 관계

PCC는 인공지능 모델이 아니라, Apple의 서버 기반 Foundation Model을 실행하는 인프라이다.
모델 실행 환경 하드웨어 구조 주요 용도
2024년 서버 Foundation Model Apple PCC Apple Silicon 서버 기반 Foundation Model 초기 Apple Intelligence 서버 추론
2025년 서버 Foundation Model Apple PCC Apple Silicon PT-MoE 멀티모달 서버 추론
AFM 3 Cloud Apple PCC Apple Silicon 개선된 PT-MoE 범용 서버 추론
ADM 3 Cloud Apple PCC Apple Silicon 이미지 생성·편집 모델 Image Playground, Genmoji, 사진 편집
AFM 3 Cloud Pro Google Cloud 기반 PCC NVIDIA GPU·Intel TDX·Google Titan 세부 구조 비공개 복잡한 추론, 에이전트형 도구 사용

서버 모델의 총 파라미터 수와 활성 파라미터 수는 공개되지 않았다. 요청마다 어떤 모델이 선택되는지에 대한 구체적인 라우팅 기준도 알려지지 않았다.

3세대 Apple Foundation Models 공식 소개

9. Google Cloud 및 NVIDIA GPU 확장

Google Cloud 기반 PCC는 기존 Apple Silicon PCC와 같은 설계 원칙을 적용하지만, 이를 구현하는 하드웨어와 신뢰 기반은 다르다.

Google Cloud 환경에는 NVIDIA Confidential Computing 지원 GPU, Intel CPU의 TDX와 Google Titan이 사용된다. 펌웨어부터 호스트·게스트 운영체제와 애플리케이션까지 전체 스택을 검증 대상에 포함한다.

PCC에 편입된 Google Cloud 하드웨어는 암호학적으로 확인할 수 있는 추가 전용 원장에 기록된다. 데이터 유출에 악용될 수 있는 주요 구성 요소는 서로 다른 제조사가 제공하는 둘 이상의 독립적인 신뢰 기반을 이용해 증명한다.

요청의 초기 네트워크 파싱은 별도의 프로세스와 네임스페이스에서 수행한다. 공유 추론 소프트웨어는 짧은 수명 주기로 재생성되며, 증명에 사용하는 키는 외부 입력에서 격리된 별도의 기밀 가상머신에 보관한다.

PCC 소프트웨어는 Apple이 계속 통제한다. 사용자 기기는 Apple이 암호학적으로 승인한 소프트웨어만 신뢰하며, Google Cloud PCC의 바이너리와 연구 도구도 외부에 공개될 예정이다.

다만 2026년 6월 발표 당시에는 전체 보호 기능이 한꺼번에 적용된 상태가 아니었다. Apple은 여름 프리뷰 기간에 걸쳐 이를 순차적으로 확대한다고 밝혔다.

Expanding Private Cloud Compute

10. 사용자 확인 기능

사용자는 기기의 개인정보 보호 및 보안 설정에서 Apple Intelligence 보고서를 생성할 수 있다.

보고서에는 최근 15분 또는 7일 동안 기기가 PCC로 보낸 요청에 관한 활동 내역이 JSON 형식으로 기록된다. 해당 기간에 PCC 요청이 없었다면 보고서가 비어 있을 수 있다.

이 보고서는 PCC 서버가 보관하는 사용자 요청 기록이 아니라, 사용자 기기가 자신이 보낸 활동을 기록한 것이다.

11. 보안 위협 모델

PCC는 외부에서 통신을 가로채는 공격뿐 아니라, 서버를 운영하는 사람이나 데이터센터 내부자가 권한을 악용하는 상황도 고려해 설계됐다. Apple은 여기에 악성 소프트웨어 업데이트, 서버의 물리적 탈취, 공급망 공격, 특정 사용자를 겨냥한 요청 유도까지 위협 범위에 포함하고 있다.
위협 PCC의 대응 방식
네트워크 도청 요청을 검증된 PCC 노드의 공개 키로 암호화하고, OHTTP 중계를 이용해 출발 IP 주소와 요청 내용을 분리한다.
운영자 권한 악용 원격 셸과 범용 디버깅 기능을 제거하고, 운영자가 확인할 수 있는 로그와 지표를 제한한다.
악성 소프트웨어 실행 Secure Boot와 코드 서명, 원격 증명을 이용해 승인된 소프트웨어만 실행되도록 한다.
물리적·공급망 공격 서버 구성 요소를 검사·봉인하고, Secure Enclave와 하드웨어 기반 증명을 이용해 노드의 상태를 확인한다.
특정 사용자 표적화 사용자를 직접 식별하지 않는 라우팅과 target diffusion을 이용해 특정 요청을 원하는 노드로 계속 보내기 어렵게 한다.

이러한 장치가 모든 공격을 막아 주는 것은 아니다. 사용자 기기나 실제 요청을 처리하는 노드 자체가 침해되면 보호 범위가 줄어들 수 있고, 아직 알려지지 않은 하드웨어 취약점이나 잘못 승인된 소프트웨어까지 완전히 배제할 수도 없다. PCC의 목표는 공격 가능성을 없애는 데 있다기보다, 사용자 데이터를 몰래 들여다보려면 여러 보안 계층을 함께 뚫어야 하도록 만들고 그 과정이 외부 검증에서 드러날 가능성을 높이는 데 있다.

12. 평가

PCC의 특징은 개인정보 보호를 서비스 운영 방침에만 맡기지 않고 서버 구조에 반영했다는 데 있다. 원격 셸과 범용 디버깅 기능을 제외하고, 사용자 기기가 공개된 소프트웨어를 실행하는 노드만 선택하도록 만든 점은 일반적인 클라우드 추론 서비스와 구별된다.

생산 소프트웨어 이미지와 측정값을 공개하고, 외부 연구자가 VRE에서 이를 실행할 수 있게 한 점도 이례적이다. 공개된 바이너리와 투명성 로그, 노드의 원격 증명을 서로 비교할 수 있으므로 Apple이 공개한 설계를 일정 부분 독립적으로 점검할 수 있다.

OHTTP와 비표적성 설계는 사용자의 IP 주소와 요청 내용이 한 구성 요소에 함께 모이는 것을 피하고, 특정 사용자의 요청을 침해된 서버로 계속 유도하는 공격을 어렵게 한다. 단일 노드가 침해되더라도 원하는 사용자의 요청을 자유롭게 골라 받을 수 없도록 하려는 것이다.

12.1. 한계

PCC는 온디바이스 처리와 달리 데이터를 기기 안에만 두는 방식은 아니다. 서버 모델이 응답을 만들려면 검증된 노드 내부에서 요청을 복호화해야 하고, 처리하는 동안에는 요청 내용이 메모리에 존재한다.

전체 보안은 Apple의 코드 서명과 원격 증명, Secure Enclave를 비롯한 하드웨어 신뢰 기반이 의도대로 작동한다는 전제에 놓여 있다. 소프트웨어 이미지와 일부 소스 코드는 공개되지만, 데이터센터의 물리적 운영 환경과 모든 하드웨어·펌웨어 및 운영 절차가 공개된 것은 아니다.

VRE 역시 생산 환경을 완전히 복제하지는 않는다. 사용자 공간 코드는 대부분 동일하지만, 커널과 부팅 과정 일부는 가상화를 위해 수정된다. 알려지지 않은 소프트웨어 취약점과 하드웨어 사이드 채널, 공급망 공격의 가능성도 완전히 배제할 수 없다.

Google Cloud로 범위가 넓어지면서 더 큰 모델을 실행할 수 있게 됐지만, Intel과 NVIDIA, Google의 하드웨어 및 보안 기술이 신뢰 기반에 추가됐다. Apple은 기존 PCC와 같은 요구사항을 적용한다고 밝혔으나, 공개 시점에는 전체 보호 기능을 순차적으로 적용하는 프리뷰 단계였다.

따라서 PCC는 완전한 종단간 암호화나 침해가 불가능한 시스템이라기보다, 클라우드 추론에 필요한 데이터 접근을 제한하고 그 구조를 외부에서 확인할 수 있도록 만든 시스템으로 보는 편이 정확하다.

13. 기타

Private Cloud Compute는 iCloud Private Relay와 이름은 비슷하지만 용도는 전혀 다르다. Private Relay는 Safari 통신 과정에서 IP 주소와 DNS 정보를 서로 다른 중계 사업자가 나누어 처리하도록 하는 네트워크 개인정보 보호 기능이다. 반면 PCC는 Apple Intelligence의 서버 모델이 사용자 요청을 처리하는 연산 환경이다. 다만 PCC도 요청의 출발 IP 주소와 내용을 한곳에서 함께 파악하기 어렵게 하기 위해 OHTTP 중계를 이용한다는 공통점은 있다.

Secure Enclave는 PCC 전체를 가리키는 이름이 아니라, 노드 내부에서 암호화 키와 보안 상태를 보호하는 구성 요소 가운데 하나이다. PCC는 여기에 Apple Silicon 서버, 전용 운영체제, 코드 서명, 원격 증명, 네트워크 중계와 투명성 로그를 함께 결합한 시스템이다.

PCC는 기밀 컴퓨팅과 TEE의 개념도 활용한다. 그러나 하나의 격리된 실행 영역만으로 보호하는 일반적인 구조와 달리, 기기 측 검증과 공개 소프트웨어 측정값, 비표적성 라우팅, 외부 연구 환경까지 보안 체계에 포함한다.

Apple Foundation Models와 PCC 역시 구분된다. Apple Foundation Models는 텍스트·이미지·음성 등을 처리하는 인공지능 모델 제품군이고, PCC는 이 가운데 서버 모델을 실행하기 위한 기반 시설이다. Apple Intelligence는 모델과 운영체제 기능, 앱 연동, 온디바이스 처리와 PCC를 모두 아우르는 상위 개념이다.

2026년부터 일부 PCC 모델은 Google Cloud의 하드웨어에서도 실행되지만, 일반적인 Google Cloud AI API를 그대로 사용하는 것은 아니다. Apple이 승인한 소프트웨어와 별도의 원격 증명·투명성 체계를 적용한 PCC 전용 환경으로 구성된다.

ChatGPT 연동은 PCC와 별개의 처리 경로이다. 사용자가 요청을 외부 모델로 보내는 경우에는 해당 서비스의 이용 약관과 개인정보 보호 정책이 적용되며, PCC의 보안 구조가 그대로 적용되는 것은 아니다.

14. 관련 문서