AI에게 건강 문제나 재정 상황을 물어볼 때, 그 질문이 어딘가 서버에 남는다는 사실이 마음에 걸린 적 있으신가요? 시크릿 모드라고 해도 서비스 제공자는 내용을 볼 수 있습니다. Meta가 이 구조적 문제를 정면으로 건드렸습니다.

Meta가 2026년 5월 13일 WhatsApp과 Meta AI 앱에 ‘Incognito Chat(인코그니토 채팅)’ 기능을 출시했습니다. 기존 시크릿 모드와의 차이는 분명합니다. 다른 앱의 시크릿 모드는 사용자 기기에서 기록을 지울 뿐, 서비스 제공자는 여전히 대화 내용을 볼 수 있습니다. 인코그니토 채팅은 Meta조차 대화 내용을 볼 수 없도록 설계됐습니다.

출처: Introducing a Completely Private Way to Chat With AI – Meta Newsroom

핵심은 TEE, 신뢰 실행 환경

이 기능의 기반은 WhatsApp의 Private Processing 기술입니다. 핵심 개념은 TEE(Trusted Execution Environment, 신뢰 실행 환경)입니다. 마치 은행 금고처럼 외부에서 접근 자체가 차단된 격리된 공간에서 AI 처리가 이루어집니다. 이 공간 안에서는 Meta를 포함해 어느 누구도 처리 중인 데이터를 볼 수 없습니다.

Meta는 이를 CVM(Confidential Virtual Machine, 기밀 가상 머신)이라고 부릅니다. CPU 수준의 하드웨어 격리 기술을 활용해 호스트 운영체제조차 CVM 내부를 들여다볼 수 없게 설계됩니다. 원격 셸 접근도 차단되어 있어, Meta 내부 엔지니어도 CVM에 직접 접속하는 것이 불가능합니다.

요청이 처리되는 6단계 흐름

사용자가 인코그니토 채팅을 시작하면 다음과 같은 과정이 진행됩니다.

1. 익명 자격증명 발급 — WhatsApp 클라이언트의 진위를 확인하되, 누구인지는 식별하지 않습니다.
2. OHTTP 연결 수립 — 서드파티 릴레이를 통해 요청을 라우팅합니다. Meta와 WhatsApp은 어떤 사용자가 연결하는지 알 수 없습니다.
3. 원격 증명(RA-TLS) 세션 구성 — 클라이언트와 TEE 사이에 보안 채널이 만들어집니다. 서드파티 장부에 등록된 코드와 일치하는 경우에만 연결이 허용됩니다.
4. 엔드투엔드 암호화 요청 전송 — 요청은 사용자 기기와 TEE 사이에서만 복호화할 수 있는 임시 키로 암호화됩니다. 중간 어디에서도 내용을 열어볼 수 없습니다.
5. TEE 내부 처리 — AI 모델이 CVM 안에서 메시지를 처리합니다. 외부 스토리지에 기록하지 않으며, 세션이 끝나면 데이터 접근권이 사라집니다.
6. 암호화된 응답 반환 — 결과는 사용자 기기와 사전에 선택된 서버만 복호화할 수 있는 키로 돌아옵니다.

이 흐름에서 ‘비표적화(Non-targetability)’가 특히 중요합니다. OHTTP 릴레이 덕분에 Meta는 어떤 사용자가 어떤 하드웨어로 라우팅되는지 알 수 없습니다. 특정 사용자를 노리는 공격이 기술적으로 훨씬 어려워집니다.

검증 가능성 설계

Meta가 이번 설계에서 강조하는 또 하나의 축은 ‘검증 가능한 투명성(Verifiable Transparency)’입니다. 주장만으로는 충분하지 않다는 인식이 담겨 있습니다.

CVM을 구동하는 바이너리 이미지를 공개해 외부 연구자가 직접 분석할 수 있도록 합니다. 서드파티 장부에 허용된 바이너리 목록을 등록해 두어, 클라이언트가 연결 전에 해당 TEE가 신뢰할 수 있는 코드를 실행하는지 확인합니다. 버그 바운티 프로그램도 Private Processing으로 확장할 예정이고, 소스코드 일부도 공개합니다.

AI 프라이버시 설계의 새로운 기준

지금까지 AI 서비스의 프라이버시는 대부분 “우리는 데이터를 보호합니다”라는 약속에 의존했습니다. 인코그니토 채팅은 다른 접근을 취합니다. 구조적으로 처음부터 볼 수 없게 만들어, 약속 이행 여부를 확인할 필요 자체를 없앱니다.

물론 하드웨어 수준 공격이나 TEE 취약점 같은 잠재적 위협이 완전히 사라지는 것은 아닙니다. Meta도 이를 인정하며 defense-in-depth 접근을 강조합니다. 그럼에도 AI 처리 과정에서 사용자 데이터를 구조적으로 보호하려는 시도로서, 이 기능이 업계 설계 기준에 어떤 영향을 미칠지 지켜볼 만합니다.

기술적 세부사항은 Meta가 공개한 기술 백서에 더 상세하게 담겨 있습니다.

참고자료: Building Private Processing for AI tools on WhatsApp – Engineering at Meta

한 가지 덧붙이자면, 이 기능이 나온 배경도 흥미롭습니다. Meta는 광고 기반 사업 구조 때문에 데이터 수집에 대한 불신이 오래 따라다닌 회사입니다. “Meta조차 볼 수 없다”는 메시지는 그 이미지를 기술로 정면 반박하는 시도이기도 하죠. 강화되는 프라이버시 규제에 대한 선제 대응이라는 측면도 있고요. 인코그니토 채팅의 데이터는 광고 최적화에 쓸 수도 없으니, Meta 입장에선 단기 수익보다 장기 신뢰를 택한 셈입니다.