들어가며: AI 인프라에서 보안은 왜 여전히 '뒷전'일까?
AI와 HPC(고성능 컴퓨팅) 클러스터가 수만 대의 GPU와 수천 대의 스위치로 연결되는 시대입니다. 그런데도 많은 네트워크는 보안을 '나중에 생각할 문제'로 여깁니다. 특히 멀티 테넌트 환경에서는 테넌트 간 격리가 제대로 되지 않아 민감한 데이터가 노출되거나, 분산 워크로드가 방해받는 사고가 빈번합니다.
전통적인 이더넷 기반 네트워크는 각 엔드포인트가 독립적으로 동작하기 때문에 정책의 일관성을 유지하기 어렵습니다. 반면 NVIDIA Quantum InfiniBand는 **UFM(Unified Fabric Manager)**이라는 중앙 관리 시스템을 통해 글로벌 정책을 강제하고, 경로 최적화와 상태 모니터링, 보안까지 통합적으로 처리합니다. 문제는 InfiniBand의 강력한 보안 기능이 이더넷만큼 널리 알려지지 않아 활용도가 낮다는 점이었죠.
이번에 NVIDIA가 발표한 인텐트 기반 보안 프로파일은 이 간극을 메우기 위한 해결책입니다. 더 이상 SM(Subnet Manager)을 수동으로 조작하며 파티션 키(PKey)나 MAD 키를 일일이 설정할 필요가 없습니다. 원하는 보안 수준을 '의도'로 선택하면 UFM이 모든 하위 설정을 자동으로 오케스트레이션합니다.
이 글은 NVIDIA 개발자 블로그의 공식 문서를 근거로 작성되었습니다. 원문은 NVIDIA Quantum InfiniBand 보안 백서에서 확인할 수 있습니다.

인텐트 기반 보안 프로파일의 핵심: General / Bare Metal Cloud / Secured Bare Metal Cloud
NVIDIA Quantum InfiniBand는 세 가지 보안 프로파일을 제공합니다. 각각은 배포 모델에 따라 다른 수준의 보안을 원클릭으로 적용합니다.
1. General 프로파일
- 대상: 단일 테넌트 환경
- 특징: 기본 설정 그대로 사용. 추가 보안 기능 없이 최소한의 격리만 제공.
- 사용처: 사내 연구 클러스터, 소규모 HPC
2. Bare Metal Cloud 프로파일
- 대상: 멀티 테넌트 클라우드 환경
- 핵심 기술: PKey(파티션 키) 기반 격리
- 이더넷의 VLAN과 유사하게, 포트나 노드가 속한 파티션 외부로는 접근 불가
- 파티션 할당은 전적으로 SM이 제어 → 테넌트가 자신의 권한을 상승시킬 수 없음
- 포트 속성은 하드웨어에 저장되며, MKey(Management Key)를 통해서만 접근 가능
- 효과: 동일한 물리적 InfiniBand 패브릭을 공유하는 테넌트 간 하드웨어 수준의 암호학적 격리
3. Secured Bare Metal Cloud 프로파일
- 대상: 고보안 멀티 테넌트 환경
- 추가 보안 기능:
- MAD 키 전체 보호: MKEY, VSKEY, PMKEY, CCKEY, Class C key(N2N), AM/Job keys, SMKEY, SAKEY를 무작위 시드로 보호
- GUID 기반 접근 제어:
allowed_guid_list기능으로 특정 GUID만 허용 - 서비스 레벨 인증:
service_key를 통한 AM 서비스 인증 - 강화된 SA 트러스트 모델: 모든 명령에 적용
- MAD 속도 제한(MAD Limiter): 남용 및 혼잡 방지
- DoS/DDoS 방어: 개별 노드의 과도한 패킷 전송 자동 차단
- 소스 기반 속도 제한: 소스 LID 주소별 트래픽 모니터링 및 제어
이 프로파일을 선택하면 설정 시간이 수 시간/일에서 단 몇 분으로 단축되고, 수백 개 노드 추가 시에도 보안 관리 오버헤드가 증가하지 않습니다. NVIDIA 엔지니어링이 의도한 대로 보안 기능이 정확히 배포되므로 설정 오류도 원천 차단됩니다.
코드 예제: UFM API를 통한 프로파일 설정 (Python)
아래는 UFM REST API를 사용하여 Bare Metal Cloud 프로파일을 활성화하는 간단한 예제입니다.
import requests
import json
# UFM 서버 주소 및 인증 정보
UFM_BASE_URL = "https://ufm-cluster.example.com"
API_TOKEN = "your_api_token_here"
# 프로파일 설정 데이터
profile_config = {
"profile_name": "BareMetalCloud",
"description": "Multi-tenant isolation with PKey",
"settings": {
"pkey_isolation": True,
"mad_key_protection": False, # Secured 프로파일에서는 True
"guid_access_control": False,
"mad_rate_limiting": False
}
}
headers = {
"Authorization": f"Bearer {API_TOKEN}",
"Content-Type": "application/json"
}
# 프로파일 적용 API 호출
response = requests.post(
f"{UFM_BASE_URL}/api/v1/security/profiles",
headers=headers,
data=json.dumps(profile_config)
)
if response.status_code == 200:
print("✅ Bare Metal Cloud 프로파일이 성공적으로 적용되었습니다.")
else:
print(f"❌ 오류 발생: {response.status_code} - {response.text}")
참고: 실제 운영 환경에서는 UFM의 인증 방식과 API 엔드포인트가 다를 수 있습니다. 공식 문서를 반드시 확인하세요.

지속적 보안 검증(CSV): 설정이 끝난 후에도 안심할 수 없다
보안 프로파일을 한 번 설정했다고 끝이 아닙니다. 실제 환경에서 정책이 의도대로 동작하는지 지속적으로 확인해야 합니다. NVIDIA는 이를 위해 CSV(Continuous Security Verification) 기능을 UFM에 추가했습니다.
CSV는 정적 분석과 로그 기반 감사를 수행하여 **'보안 건강 점수(Security Health Score)'**를 제공하고, 발견된 취약점에 대한 자동화된 조치 단계를 제시합니다.
CSV 리포트 생성 흐름
- UFM 대시보드에서 System Health 탭 선택
- 상단 메뉴에서 Security 선택
- 상세 수준(Errors / Errors and Warnings / Info) 선택
- PKey 설정 테스트 옵션 활성화
- 리포트 실행
리포트가 완료되면 선택한 상세 수준에 따라 오류, 경고, 정보 메시지 목록이 표시됩니다. 예를 들어, 특정 포트에 PKey가 누락되었거나, GUID 접근 제어 목록에 등록되지 않은 노드가 감지되면 즉시 알림을 받을 수 있습니다.
한국 개발 생태계에서의 적용 맥락
국내에서는 네이버, 카카오, KT 등 대형 클라우드 사업자와 AI 연구소들이 InfiniBand 기반 클러스터를 도입하고 있습니다. 하지만 보안 설정은 여전히 SM 엔지니어의 수동 작업에 의존하는 경우가 많습니다. 특히 SI(시스템 통합) 환경에서는 고객사마다 요구하는 격리 수준이 달라 일관된 정책 적용이 어렵습니다.
인텐트 기반 프로파일은 이러한 문제를 해결합니다. 예를 들어, 금융권 고객에게는 'Secured Bare Metal Cloud' 프로파일을, 일반 연구용 고객에게는 'Bare Metal Cloud' 프로파일을 적용하면 별도의 커스터마이징 없이도 각각의 요구사항을 충족할 수 있습니다.
주의사항: 프로파일이 모든 보안 요구사항을 자동으로 해결해주는 것은 아닙니다. 예를 들어, 테넌트 간 네트워크 트래픽 암호화는 별도 구성이 필요할 수 있습니다. 또한 프로파일을 변경할 때 기존 연결이 일시적으로 중단될 수 있으므로, 유지보수 시간을 계획해야 합니다.

결론: 보안은 더 이상 '옵션'이 아니다
NVIDIA Quantum InfiniBand의 인텐트 기반 보안 프로파일은 복잡한 패브릭 보안을 **'원클릭'**으로 단순화했습니다. 이는 단순한 편의성 개선이 아니라, AI/HPC 클러스터의 규모가 커질수록 더욱 중요해지는 운영 효율성과 보안 수준의 동시 향상을 의미합니다.
- 설정 시간: 수 시간/일 → 수 분
- 오류 가능성: 수동 설정 대비 현저히 감소
- 확장성: 수백 노드 추가 시 보안 관리 오버헤드 증가 없음
- 지속적 모니터링: CSV를 통한 사전 예방적 진단
다음 단계 학습 방향
- UFM API 문서를 읽고 프로파일 설정을 자동화하는 스크립트를 작성해보세요.
- PKey와 GUID 접근 제어의 차이를 실습을 통해 이해하세요.
- CSV 리포트를 정기적으로 실행하고, 발견된 취약점을 해결하는 워크플로를 구축하세요.
함께 보면 좋은 글
AI 인프라의 규모가 계속해서 폭발적으로 성장하는 지금, 보안은 더 이상 '나중에' 고민할 문제가 아닙니다. 이 기회에 InfiniBand 패브릭의 보안 설정을 점검하고, 인텐트 기반 프로파일로 전환해보는 건 어떨까요? 😊