FUTURE THINKING

단말 인수는 탈옥이 아니다: CAP은 어떻게 제어권을 감사 가능한 사회 계약으로 바꾸는가

"AI가 단말을 인수한다"는 말은 대중의 언어 감각으로는 재난 예고처럼 들린다. 대부분의 사람들 머릿속에 떠오르는 이미지는 한 가지뿐이기 때문이다: 당신이 잠든 사이, 그것은 당신의 휴대폰을 자기 것으로 삼는다; 당신이 보지 못하는 사이, 그것은 당신의 컴퓨터를 자기 것으로 삼는다; 당신이 인가하지 않았는데도, 그것은 "내친김에 몇 가지 일을 처리"할 수 있다.

이런 두려움은 근거 없는 것이 아니다. 지난 2년 동안 우리는 너무 많은 사고를 보아왔다: 권한 폭주, 데이터 오삭제, 월권 호출, 블랙박스 의사결정, 책임 추궁 불가. AI가 일단 "질문에 답하기"에서 "대외적으로 행동하기"로 바뀌면, 사회의 관용도는 즉시 제로가 된다.

그래서 나는 줄곧 강조해 왔다: AI는 방치되어서는 안 되며, 인간의 후견 아래 행동해야 한다. 그러나 이 말이 단지 입장에 머물러 있다면 현실을 바꾸지 못한다. 프로토콜에, 런타임에, 단말 제어의 모든 게이트에 새겨 넣어야 한다.

Control Authority Protocol(CAP)이 바로 그런 "게이트 프로토콜"이다. 이것은 AI를 더 똑똑하게 만드는 일을 담당하지 않는다; 극히 소박하지만 사회가 AI를 수용할 수 있는지를 결정하는 단 하나의 질문에 답하는 것만 담당한다:

이 Fay(iFay 또는 coFay)는 이 행위를 하도록 허용되었는가?

1. iFay 체계에서 CAP의 단일 책무: 인가 검증과 제어권 관리

CAP의 포지셔닝은 절제되어 있지만 확고하다:

CAP은 단일한 핵심 책무를 담당한다 — Fay가 Human Prime(자연인 책임 주체) 또는 Official Post(공식 직위/공공 역할)의 인가를 받았는지 검증하여, 합법적으로 단말 자원에 접근할 수 있도록 하는 것.

이 한 문장은 5가지 엔지니어링 동작으로 분해될 수 있다:

  1. 인가 검증: 단말이 Fay가 휴대한 인가 자격 증명이 합법적·유효·미폐기인지 검증한다.
  2. 세션 관리: 검증 통과 후 제어 세션을 확립하고 전체 라이프사이클을 관리한다.
  3. 제어권 조정: 인간과 Fay 사이, Fay와 Fay 사이의 자원 제어권 인계를 조정한다.
  4. 자원 접근 등급화: 자원 접근을 read/write/execute/configure로 등급화하여 "한 번 인가하면 모두 개방"되는 것을 피한다.
  5. 생존 감지: 하트비트 감지와 타임아웃 회수로 "좀비 세션"이 단말 자원을 장기간 잠그는 것을 방지한다.

내가 이것을 "사회 계약 프로토콜"이라고 부르는 이유는, "당신이 할 수 있는지 없는지"를 제품 UI의 심리적 암시에서 시스템 차원의 사실 검증으로 바꾸기 때문이다.

2. CAP이 명확히 하지 않는 것: 능력, 신원, 지능, 모두 그것의 관할이 아니다

건전한 프로토콜은 자신이 무엇을 하지 않는지 알아야 한다. 그렇지 않으면 만능 접착제가 되어 결국 통제 불능이 된다.

CAP이 명확히 담당하지 않는 것:

  • Fay의 신원 생성과 관리(그것은 FayID/신원 시스템).
  • Fay의 지능적 추론과 계획(그것은 Ego/사고 계층).
  • 단말 자원의 비즈니스 로직(그것은 단말 자체).
  • 하층 네트워크 전송 구현(WebSocket/gRPC는 중요하지 않다).
  • 운영체제 내부 보안 메커니즘(OS 자체의 샌드박스/권한 모델을 CAP이 대체하지 않는다).

CAP의 책무 경계가 명확할수록, 그것은 감사 가능한 거버넌스 인프라가 될 수 있고, 비즈니스 이유에 의해 침식되는 "보안 패치"가 되지 않는다.

3. 왜 "제어권"은 프로토콜화되어야 하는가: 그렇지 않으면 책임은 영원히 관통될 수 없다

오늘 우리가 하는 인가는 가장 흔한 형태로: 앱이 다이얼로그를 띄우고, 당신이 "허용"을 탭하면, 그 후로 "장기간 허용"이 된다.

인간이 소프트웨어를 사용하는 시대에도 이것은 이미 충분히 나쁜 것이었다; Fay가 단말을 인수하는 시대에는 이것이 곧장 재난이 된다.

왜냐하면 Fay의 행동은 한 번의 탭이 아니라 일련의 연속된 행위이기 때문이다: 앱을 열고, 데이터를 읽고, 판단을 생성하고, 동작을 실행하고, 예외를 처리하고, 계속 실행한다…… 이 행위에 "제어 세션"의 명확한 경계가 없다면, 책임은 시간 속에서 증발해 버린다.

CAP이 제어권을 프로토콜화하는 핵심 가치는 두 가지:

  1. 인가를 심리적 감각에서 검증 가능한 자격 증명으로 바꾼다
  2. 행동을 산만한 작업에서 책임 추궁 가능한 세션으로 바꾼다

사고가 발생했을 때 비로소 답할 수 있다: 누가 언제 어떤 인가 범위로 이 세션을 시작했는가? 세션은 얼마나 지속되었는가? 어떤 자원을 조작했는가? 최종적으로 누가 폐기/누가 타임아웃 회수했는가?

이것이 "책임 관통"의 전제다.

4. 오프라인 위주, 온라인 보조: CAP의 현실주의

나는 CAP의 핵심 설계 원칙에 강하게 동의한다: 오프라인 위주, 온라인 보조.

그 배후에는 사실 현실적 판단이 있다: 네트워크 중단은 인간으로부터 제어권을 박탈해서는 안 되며, 후견 아래 있는 Fay의 가용성을 박탈해서도 안 된다.

CAP은 이 판단을 두 가지 메커니즘으로 받아낸다:

  • 오프라인 인가(Authorization_Descriptor): 암호화 파일, 로컬 검증 가능.
  • 온라인 티켓(Trusted_Ticket): 네트워크 연결 시 실시간 폐기와 동적 조정 능력 제공.

이 조합의 장점은 "점진적 디그레이드"다:

네트워크가 있을 때는 더 강한 실시간 보안성을 얻고; 네트워크가 없을 때도 시스템은 검증 가능한 인가 아래 계속 운영되며, 인간을 수동 시대로 되돌리지 않는다.

iFay가 인간의 연장이 되기를 원한다면 한 가지 현실을 받아들여야 한다: 인간의 생활은 영원히 온라인이 아니다.

5. CAP의 위험 지점: 단말에 가까울수록 후견 체계와 결합되어야 한다

CAP 자체는 "후견 시맨틱"을 담당하지 않는다. 그것은 단지 "당신이 이 행위를 허용받았는가"만 담당한다.

그러나 CAP을 "권한 검증"에서 "무제한 인수"로 바꾸는 순간, 그것은 탈옥 도구가 된다. 그래서 CAP의 설계는 더 상위의 후견 체계와 결합되어야 한다:

  • Human View: 인간이 언제든지 확인, 회고, 개입 가능.
  • Faying: 제어권 인도는 명시적, 입증 가능, 폐기 가능해야 한다.
  • Rogue Fay: 후견 관계가 성립하지 않을 때, 대외적으로 행동하기보다 차라리 멈추는 것을 선택한다.

나는 AI가 단말을 인수하는 것에 반대하지 않는다. 내가 반대하는 것은 "책임 수용 지점이 없는 인수"다.

단말을 인수하는 것은 탈옥이 아니다. 그것은 계약을 체결하는 것과 같아야 한다: 경계가 명확, 감사 가능, 폐기 가능, 책임 추궁 가능.

CAP이 하는 일은 "계약"을 단말 차원에서 실행 가능하게 만드는 것이다.

6. coFay 시나리오: 공공 역할의 제어권이 더 민감하다

iFay가 인수하는 것이 당신의 개인 단말일 때, 책임 주체는 당신이다. coFay가 인수하는 것이 병원 시스템, 항공 시스템, 행정 시스템일 때, 책임 주체는 조직과 공공 직위다.

이 차이가 한 가지를 결정한다: 공공 역할의 제어권은 "내부 규정"에만 의지할 수 없으며, 감사 가능, 이의 제기 가능, 대외적으로 설명 가능해야 한다.

그렇지 않으면 효율은 곧장 권력의 블랙박스가 된다:

  • 트리아지는 왜 당신을 줄 맨 뒤로 분류했는가?
  • 리스크 관리는 왜 당신을 거부했는가?
  • 교육 시스템은 왜 당신에게 라벨을 붙였는가?

이러한 의사결정에 coFay가 관여할 때, CAP은 반드시 보장해야 한다: 인가 출처가 명확, 세션 경계가 명확, 자원 접근 등급화가 명확, 폐기 경로가 명확.

이것이 AI 시대에 공공 서비스가 여전히 신뢰받을 수 있는 기본 조건이다.

7. 결어: 진정한 난점은 "인수할 수 있는가"가 아니라 "감히 인수하게 할 수 있는가"

기술적으로 "단말 인수"는 신비롭지 않다. 진정으로 어려운 것은: 어떻게 사회가 단말을 넘겨줄 용기를 갖게 할 것인가다.

내가 생각하는 답은 더 강력한 모델도, 더 아름다운 UI도 아닌, 다음과 같다:

  1. AI는 인간의 후견 아래 행동해야 한다;
  2. 제어권은 프로토콜화되어야 한다;
  3. 인가는 검증 가능해야 한다;
  4. 세션은 감사 가능해야 한다;
  5. 폐기는 도달 가능해야 한다;
  6. 연락 두절은 자동 회수되어야 한다.

CAP이 iFay 체계에서 담당하는 것은 가장 소박한 한 부분이다: "내가 당신에게 이를 허용한다"를 단말 차원의 실행 가능한 사실로 바꾸는 것.

이 최저선이 우회되지 않을 때, 비로소 AI는 사회에 장기간 존재할 수 있다. 그렇지 않으면 우리는 단지 다음 공황을 가속화하여 만들어내고 있을 뿐이다.

관련 문서