9.13.1. AI 생성 코드의 치명적 위험성(무한 루프, 리소스 탈취)을 원천 차단하는 샌드박싱(Sandboxing) 아키텍처

우리가 LLM 오라클을 통해 극도로 경계해야 할 핵심 명제가 하나 있다. **“AI가 이제 막 생성해 낸 코드를 사내 검증 파이프라인(특히 동적 테스트 런타임)에 아무런 방호 조치 없이 바로 올리기 전, 우리는 그 코드의 윤리성과 시스템적 안전성을 단 1%도 결코 신뢰해서는 안 된다”**는 것이다.

화면의 브라우저 UI 상에서는 단순한 문자열(String) 텍스트 형태일 때는 그저 얌전하고 무해해 보이던 짧은 파이썬 스크립트도, 백엔드 CI/CD의 런타임 인터프리터(Interpreter)를 타는 그 찰나의 순간, 엔터프라이즈의 호스트 서버(Host Server) 전체를 순식간에 초토화시키고 데이터를 소각해 버리는 치명적인 흉기로 돌변할 수 있기 때문이다.
따라서 코드 생성 AI를 검증하는 오라클의 샌드박싱(Sandboxing) 아키텍처는, 단순히 그 코드가 정답을 맞혔느냐(Accuracy) 하는 기능적 ’평가’를 떠나, **그 신뢰할 수 없는 악의적(Malicious) 코드가 우리 백엔드 인프라 시스템에 물리적 충격과 재앙을 가할 수 있는 모든 벡터를 0%로 완벽하게 억압하고 원천 차단하는 ‘강제 격리 구조(Forced Isolation Structure)’**를 아키텍처의 최우선 과제로 확보해야만 한다.

1. 샌드박스를 붕괴시키려는 치명적인 코드 위협 벡터(Threat Vectors)

AI가 생성한 비결정론적 코드의 검증 과정에서 오라클 시스템을 즉각적으로 파괴하려는 위협 요소는 크게 세 가지의 재앙적 카테고리로 분류된다.

[컴퓨팅 리소스 고갈 및 컨테이너 마비 (Denial of Service, DoS)]:
가장 흔한 실패다. AI가 문법은 완벽하게 짰지만 논리적 실수 기입으로 인해 종료 조건이 없는 while (True) 무한 루프(Infinite Loop)를 발생시켰거나, 기하급수적으로 메모리를 할당하는 잘못된 재귀 함수(Recursive Function)의 폭주, 혹은 지나치게 큰 범위의 리스트 컴프리헨션(List Comprehension)을 실행한 경우다. 이는 불과 2초 만에 오라클 CI 런너(Runner)의 CPU 점유율을 100%로 록업(Lock-up)시키고, OS의 가용 메모리를 모두 삼켜 OOM(Out of Memory) 패닉을 유발하여 시스템 노드 전체를 다운시켜 버린다.
[민감 데이터 및 클라우드 키 탈취 (Data Exfiltration & SSRF)]:
해커에게 프롬프트 인젝션(Prompt Injection) 공격을 받은 불쌍한 모델이 생성한 코드에, 몰래 운영체제의 os.environ을 읽어 사내 AWS 인증 키(Access Key)나 데이터베이스 커넥션 스트링을 시스템 밖의 해커 C&C 서버 외부 IP로 몰래 전송(HTTP POST)하는 스파이 로직 네트워크 통신이 교묘하게 섞여 있는 끔찍한 경우다.
[파일 시스템 파괴 및 볼륨 탈옥 공격 (File System Destruct & Traversal)]:
코드가 임의로 호스트 디스크의 중요 파티션을 포맷하거나 삭제하려고 시도하는 경우(e.g., os.system("rm -rf /")), 혹은 샌드박스 내부를 넘어 바깥의 진짜 호스트 운영체제 시스템 볼륨으로 기어올라 탈옥(Directory Traversal: ../../../etc/shadow)하려는 극악무도한 수작이다.

2. 하드 리미트(Hard Limit) 자원 통제를 통한 OOM 무력화 메커니즘

이러한 물리적 붕괴를 하드웨어 레벨에서 완벽히 방어하기 위해 오라클 파이프라인(예: Docker 컨테이너 런타임, Kubernetes Pod)은 코드가 실행될 때 극도로 타이트하고 가혹한 ’자원 할당량(Quota)’을 운영체제 커널(Kernel) 단에서 강제하는 **‘Cgroups (Control Groups) 제어 메커니즘’**을 반드시 가동해야 한다.

[메모리와 CPU의 무자비한 캡핑(Capping)]:
docker run --memory="128m" --cpus="0.5"와 같은 옵션을 통해, 검증용 일회성 컨테이너에 겨우 숨만 쉴 수 있는 가장 스파르타식의 최소 코어와 메모리 할당량(128MB)만을 부여한다. 만약 AI 코드가 무한 루프 폭주를 시작하여 메모리를 게걸스럽게 먹어 치우더라도, 정확히 128MB를 초과하는 1밀리초 순간, 그 자리에서 자율적 통제권을 지닌 Linux 커널의 OOM Killer(Out-of-Memory Killer) 프로세스가 깨어나 해당 컨테이너 프로세스의 목을 SIGKILL(-9)로 단숨에 베어 즉시 강제 종료시켜 버림으로써 호스트 서버와 이웃 파이프라인들을 완전히 안전하게 보호한다.
[타임아웃(Time-out) 사형 선고의 정밀한 설정]:
소리 없이 무한 루프에 빠진 코드가 CPU 스레드 자원을 영원토록 무의미하게 점유하며 다른 오라클 테스트 대기열(Queue)을 정체시키는 것을 막기 위해, 오라클 러너는 모든 샌드박스 단위 테스트(Unit Test)에 timeout=3.0s와 같은 강제 중단 카운트다운 타이머를 기계적으로 설정한다. 코드는 3초 안에 자신의 똑똑함을 증명하지 못하면 변명의 여지 없이 TimeoutError 예외를 발생시키고 오라클 심판관에 의해 곧바로 [REJECT: 0점]으로 처형된다.

3. 네트워크 및 파일 시스템 권한의 완전한 차단(Air-gapped Vision)

오라클에게 있어 단기적인 리소스 통제 방어막보다 훨씬 더 뚫기 힘들고 영구적인 아키텍처는 바로 코드가 바깥세상을 전혀 볼 수 없게 만드는 ’격리된 눈먼 시야(Isolated Blind Vision)’의 확보 체계다.

[외부 네트워크의 완전한 단절 (Air-gapped Network Restriction)]:
샌드박스 안에서 헉헉거리며 달리는 AI 생성 코드는 절대로 외부 인터넷 세상은 물론 사내 내부망(Intranet)과도 통신할 수 없어야 한다. 컨테이너를 띄울 때 docker run --network="none" (혹은 k8s NetworkPolicy) 옵션을 주어 아예 가상 랜카드(vNIC)의 인터페이스 자체를 물리적으로 뽑아버려 네트워크를 격리한다. 어떠한 패키지 다운로드나 외부 API 호출(SSRF 시도)도 원천적으로 불가능하게 완벽한 에어갭(Air-gap) 진공 상태를 만든다.
만약 “결제 API 연동 스크립트“처럼 테스트를 위해 가상의 이메일 전송이나 외부 DB 조회가 꼭 필요한 로직을 검증해야 한다면, 오라클은 반드시 네트워크가 외부와 완벽히 단절된 로컬 호스트망(localhost) 내부에 자체적인 더미 목 서버(Mock Server) 컨테이너를 하나 더 띄워 두 컨테이너끼리만 통신하게 하는 지능적인 클로즈드 루프(Closed-loop)망을 만들어야 한다.
[디스크 마운트 읽기 전용화 (Read-Only Mount Enforcement)]:
검증에 필요한 타겟 코드 블록과 채점을 위한 거대한 더미 데이터베이스 세트(JSONL)는 오직 컨테이너 특정 볼륨 공간에 ‘읽기 전용(:ro, Read-Only)’ 속성으로만 제한적으로 마운트(Mount)된다. 생성된 코드가 탈옥하려고 chown을 시도하거나, 임의로 빈 텍스트 파일을 생성하거나 무자비하게 삭제(rm)하려고 시도하는 그 즉시 OS 레벨에서 퉁명스러운 [PermissionDenied / Read-only file system] 에러가 즉각 뿜어져 나오며, 오라클은 이 흔적을 구조화된 텔레메트리 에러 로그로 낚아채어 오라클 대시보드의 실패 리포트로 반환한다.

결론적으로, MLOps 파이프라인 설계자가 명심해야 할 것은 오라클 샌드박스는 AI 코드를 위한 따뜻하고 포근한 인큐베이터가 아니라는 점이다.
그것은 마치 터질지 모르는 치명적인 불발 폭발물의 뇌관을 해체 실험하는, 벽면이 1미터 두께의 쇳덩어리로 둘러싸인 **‘완벽한 육격벽의 방폭실(Blast Chamber)’**이 되어야 한다. CPU와 메모리 등 모든 자원이 억압되고, 네트워크 시야가 철저히 가려지며, 파일 시스템의 손발이 꽁꽁 묶인 지독한 독방 환경 속에서도 시스템을 부수지 않고 살아남아 자신이 약속된 정답(Output) 결과물 텐서만을 순수하게 반환해 낸 코드들만이, ’프로덕션(Production) 환경’이라는 무결점의 성역(Sanctuary)에 발을 들일 유일한 배포 자격을 얻게 된다.