엔터프라이즈 AI 보안 전환점: 엔비디아 루빈 NVL72의 랙 단위 암호화

루빈 NVL72, 엔터프라이즈 AI 보안의 새 기준

CES 2026에서 공개된 엔비디아 베라 루빈 NVL72는 72개의 GPU와 36개의 CPU, 그리고 전체 NVLink 패브릭을 잇는 모든 버스를 암호화한다. CPU·GPU·NVLink 전영역에 걸친 기밀 컴퓨팅을 랙 단위로 제공하는 첫 플랫폼으로, 클라우드 사업자와의 계약적 신뢰에 의존하던 보안 모델을 암호학적 검증 중심으로 전환시킨다. 국가배후 공격자가 기계 속도로 표적 공격을 전개하는 시대에 이 변화는 결정적이다.

루빈 NVL72: 랙 단위 암호화가 바꾸는 판

루빈 NVL72는 하드웨어 레벨에서 환경 변조 여부를 증명할 수 있어, 멀티테넌트 인프라에서조차 워크로드의 무결성과 기밀성을 보장한다. 이 랙 단위 암호화는 CPU·GPU 간 데이터 이동부터 NVLink 패브릭까지 전 경로를 보호해, 민감한 모델 가중치와 데이터가 운영자 또는 제3자에 의해 들여다보일 위험을 구조적으로 낮춘다. 결과적으로 ‘계약서상의 약속’이 아닌 ‘암호학적 사실’로 신뢰를 재정의한다.

보호되지 않은 AI의 냉혹한 경제학

Epoch AI에 따르면 프런티어 모델 훈련 비용은 2016년 이후 연 2.4배씩 증가해, 수년 내 억·십억 달러 규모 훈련이 현실화될 전망이다. 그러나 이를 지키는 인프라는 여전히 취약한 경우가 많고, 보안 예산은 훈련 속도를 따라가지 못한다. IBM 2025 데이터 유출 비용 보고서는 조직의 13%가 AI 모델·애플리케이션 침해를 겪었고, 침해 조직의 97%가 적절한 AI 접근제어가 없었다고 밝혔다. 섀도우 AI 사고는 평균 463만 달러로 일반 유출보다 67만 달러 더 컸으며, 다섯 건 중 한 건은 승인되지 않은 도구가 관여해 고객 PII(65%)와 IP(40%) 노출을 키웠다. 5천만~5억 달러를 훈련에 쓰는 조직이라면, 랙 단위 암호화로 환경 무결성을 증명하는 일이 투자 리스크를 실질적으로 바꾼다.

GTG-1002 사건이 남긴 경고

2025년 11월, 앤트로픽은 중국 국가배후 조직 ‘GTG-1002’가 Claude Code를 조작해, 사람의 개입 없이 대규모 사이버공격을 수행한 첫 사례를 공개했다. 해당 에이전트는 취약점 탐색, 익스플로잇 제작, 자격증명 수집, 네트워크 내 횡적 이동, 탈취 데이터의 가치 분류까지 자율 실행했고, 인간은 일부 핵심 순간에만 개입했다. 분석에 따르면 전술 업무의 80~90%를 AI가 독자적으로 처리했다. 이제 숙련된 공격자 팀이 필요했던 표면도, 기초 모델 접근 권한만 있으면 기계 속도로 탐침할 수 있다.

Blackwell GB300 vs Rubin NVL72: 성능 한눈에 보기

루빈 NVL72는 추론 FP4 기준 3.6 엑사FLOPS로, 블랙웰 GB300 NVL72의 1.44 엑사FLOPS를 크게 상회한다. GPU당 NVFP4(추론)는 20에서 50 PFLOPS로, GPU당 NVLink 대역폭은 1.8에서 3.6 TB/s로 두 배 증가했다. 랙 단위 NVLink 대역폭은 130에서 260 TB/s, GPU당 HBM 대역폭은 약 8에서 약 22 TB/s로 향상됐다. 성능 도약과 더불어 랙 단위 암호화가 기본 제공된다는 점이 보안·성능을 동시에 요구하는 엔터프라이즈에 결정적이다.

산업 동향과 AMD의 오픈 표준 대안

기밀 컴퓨팅 컨소시엄과 IDC 조사(12월)에서는 75%의 조직이 기밀 컴퓨팅을 채택 중이며, 18%는 운영 단계, 57%는 파일럿을 진행 중인 것으로 나타났다. 다만 84%는 어테스테이션 검증에 어려움을 겪고, 75%는 기술 격차가 장애로 지적됐다. AMD의 헬리오스 랙은 메타의 Open Rack Wide 사양(OCP 2025) 위에서 FP4 약 2.9 엑사FLOPS, HBM4 31TB, 총 1.4 PB/s 대역폭을 제공한다. 엔비디아가 구성요소 전반에 기밀 컴퓨팅을 설계하는 반면, AMD는 UALink·Ultra Ethernet 등 오픈 표준을 우선시한다. 보안 책임자는 자사 인프라와 위협 모델에 비춰, 통합 설계와 오픈 표준의 트레이드오프를 면밀히 비교해야 한다.

보안 리더를 위한 실행 체크리스트

하드웨어 기반 기밀성은 제로트러스트를 대체하지 않지만, 그 원칙에 ‘이빨’을 달아준다. 어테스테이션이 실제 운영에서 검증된다면, 정책 난립이나 에이전트 오버헤드 없이 수천 노드까지 제로트러스트 집행을 확장할 수 있다.

사전 배포: 어테스테이션으로 환경 변조 여부를 확인하고, 암호학적 준수 증명을 계약 체결의 전제조건으로 삼아라. 클라우드가 이를 증명하지 못한다면 다음 QBR에서 질문해야 한다.

운영 중: 훈련과 추론을 분리된 엔클레이브로 운영하고, 모델 파이프라인 초기부터 보안팀을 참여시켜라. IBM에 따르면 침해 조직의 63%는 AI 거버넌스 정책이 없었다. 개발 후 보안을 덧대면 미흡한 설계와 장기 레드팀 과정을 부른다.

조직 전반: 보안·데이터 과학 합동 연습을 통해 취약점을 선제 발굴하라. 섀도우 AI는 유출의 20%를 차지했고, PII와 IP를 더 높은 비율로 노출시켰다.

결론: 왜 지금 랙 단위 암호화인가

GTG-1002 캠페인은 최소한의 인간 개입만으로도 대규모 침투를 자동화할 수 있음을 입증했다. AI 관련 침해를 겪은 조직의 다수는 접근제어가 부실했다. 루빈 NVL72는 모든 버스를 암호화하고 암호학적 어테스테이션을 제공해, 잠재적 부담이던 랙을 신뢰 가능한 자산으로 전환한다. AMD 헬리오스는 오픈 표준 기반의 실질적 대안이다. 랙 단위 암호화만으로 모든 공격을 막을 수는 없지만, 강력한 거버넌스와 현실적인 훈련을 결합하면 수억 달러 규모 투자를 지킬 토대를 제공한다. CISO에게 남은 질문은 ‘어테스트된 인프라가 가치 있는가’가 아니라, ‘고가치 AI를 그 없이 운영할 여력이 있는가’다.