AI VIDEO BRIEFING

AI 에이전트가 만든 코드를 안전하게 실행하는 샌드박스 설계와 마이크로VM 원리, 오픈AI 엔지니어의 발표

오픈AI 인프라 엔지니어가 AI 에이전트가 생성한 신뢰할 수 없는 코드를 대규모로 안전하게 실행하는 샌드박스 설계를, fork에서 컨테이너와 지비저, 마이크로VM으로 이어지는 격리 원리와 영속성 체크포인트까지 첫 원리부터 설명한다.

AI 에이전트가 만든 코드를 안전하게 실행하는 법 — 오픈AI 엔지니어의 샌드박스 설계 영상 대표 이미지

핵심 메시지

  • 코드 실행 능력을 얻은 AI 모델은 수학·코딩처럼 정답을 검증할 수 있는 문제에서 크게 강해졌고, 이 코드를 안전하게 돌릴 공간이 샌드박스다.
  • 격리 수준은 fork·컨테이너·지비저·마이크로VM 순으로 강해지며, 앞의 방식들은 결국 같은 호스트 커널을 공격할 여지를 남긴다.
  • 하드웨어 가상화 기반 마이크로VM은 게스트에서 루트를 얻어도 호스트가 보호되지만, 문맥 전환에 따른 성능 비용을 치른다.
  • 에이전트에 사라지지 않는 디스크(영속성)를 주면 체크포인트로 장애 복구와 장기 실행, 탐색적 재시도가 가능해진다.
  • 발표자는 성능 문제는 시스템 기법으로 덮을 수 있지만 보안 사고는 되돌릴 수 없다며, 처음부터 마이크로VM을 쓸 것을 권한다.

쉽게 이해하기

오픈AI에서 강화학습·에이전트 인프라를 맡고 있는 아비셱 바르드와지는 AI 엔지니어 콘퍼런스에서 'fork에서 함대로: 에이전트 샌드박스 클라우드 설계'라는 제목으로 발표했다. 그는 챗GPT 코덱스 웹처럼 신뢰할 수 없는 코드를 대규모로 안전하게 실행하는 인프라를, 운영체제 개념을 첫 원리부터 풀어 설명했다.

출발점은 모델에게 코드 실행 능력을 준 순간이다. '스트로베리에 r이 몇 개냐' 같은 질문은 자주 틀리지만, 코드를 직접 짜서 검증하게 하자 수학·코딩처럼 정답을 확인할 수 있는 영역에서 성능이 크게 올랐다. 문제는 이 코드가 악의적이거나 과도하게 열성적일 때 시스템의 루트를 노리거나 커널을 공격할 수 있다는 점이고, 이를 막는 격리 공간이 바로 샌드박스다.

발표는 격리 방식을 단계적으로 비교한다. fork/exec는 가장 빠르지만 격리가 없어 이웃 작업을 망가뜨리고 커널을 공격할 수 있다. 컨테이너는 네임스페이스(자원 격리)와 c그룹(자원 제한)에 seccomp로 시스템 콜을 걸러 방어를 더하지만, 결국 같은 호스트 커널을 공유한다. 지비저는 사용자 공간에 커널을 구현해 시스템 콜을 가로채지만, 여전히 호스트 커널 위에 있어 두 단계 연쇄 공격의 여지가 남는다.

해답으로 제시된 것은 하드웨어 가상화 기반의 마이크로VM이다. CPU가 게스트와 호스트를 분리된 실행 문맥으로 다루기 때문에, 게스트 안에서 루트를 얻거나 커널을 장악해도 호스트는 보호된다. 러스트로 작성된 경량 가상 머신 모니터(크로스VM에서 파생된 파이어크래커, 클라우드 하이퍼바이저)와 virtio 준가상화, 장치별 격리가 이 방식을 실용적으로 만들었다. 대신 게스트와 호스트를 오갈 때마다 성능 비용이 든다.

발표 후반은 영속성과 오케스트레이션을 다룬다. 에이전트에 사라지지 않는 디스크를 주면 단순한 연산 도구를 넘어 진짜 '지식 노동자'가 된다. 증분 스냅숏으로 상태를 저장해 두면 노드가 죽어도 다른 노드에서 복원하고, 며칠씩 이어지는 장기 작업이나 체크포인트를 되짚는 탐색적 재시도가 가능해진다. 규모 확장은 지역·부하를 고려해 클러스터와 노드를 고르고, 메모리 스냅숏으로 밀리초 단위에 시작하거나 스냅숏 계층이 이미 내려받아진 노드로 라우팅하는 식으로 지연을 줄인다.

주요 인사이트

  • 리눅스의 두 가지 공격 경로는 여전히 링3에 있으면서 최고 권한을 얻는 '루트 획득'과 링0에서 실행되는 '커널 익스플로잇'이며, 후자는 곧바로 심각한 사고로 이어진다.
  • '마이크로'라는 이름은 게스트 내용이 아니라 가상 머신 모니터 자체가 지원 장치가 적어 메모리 사용이 작고 부팅이 빠르다는 데서 나왔다.
  • 발표자는 '샌드박싱의 일곱 단계 슬픔'을 말하며, 컨테이너·지비저를 거쳐 결국 모두가 완전한 VM을 원하게 되니 스타트업은 처음부터 마이크로VM으로 시작하라고 조언한다.
  • 영속성은 신뢰성·확장성과 직결된다. 주기적 체크포인트가 장애 복구를 가능케 하고, 코덱스의 장기 실행(3일 기록)이나 몬테카를로식 탐색을 뒷받침한다.
  • 스냅숏은 파일 단위보다 블록 단위가 효율적이며, XFS 카피온라이트로 즉시 복제하고 fiemap으로 바뀐 블록만 압축해 클라우드에 올리는 증분 방식이 핵심이다.

자주 묻는 질문

AI 에이전트에 왜 샌드박스가 필요한가?

모델은 코드를 실행해 정답을 검증하며 문제를 푸는데, 이 코드가 의도적이든 아니든 시스템의 루트를 노리거나 커널을 공격하고 다른 사용자의 데이터를 빼낼 수 있다. 샌드박스는 이 신뢰할 수 없는 코드를 안전하게 실행하는 격리 공간이다.

컨테이너와 마이크로VM의 보안 차이는 무엇인가?

컨테이너는 네임스페이스와 c그룹, seccomp로 방어하지만 결국 같은 호스트 커널을 공유해 공격 여지가 남는다. 마이크로VM은 하드웨어 가상화로 게스트와 호스트를 분리해, 게스트에서 루트를 얻어도 호스트가 보호된다.

에이전트에 영속적인 디스크가 왜 중요한가?

디스크가 없으면 노드가 죽을 때 만들던 저장소나 문서가 사라진다. 증분 스냅숏으로 상태를 저장해 두면 다른 노드에서 복원하고, 장기 실행 작업과 체크포인트를 되짚는 탐색적 재시도가 가능해진다.

원문과 출처

이 글은 원본 영상의 자막을 바탕으로 한국어 독자를 위해 요약했습니다. 전체 맥락과 최신 정보는 원문에서 확인하세요.

YouTube 원본 영상 보기 ↗

관련 AI 소식

#AI에이전트#샌드박스#마이크로VM#오픈AI#인프라보안