FlexServe: A Fast and Secure LLM Serving System for Mobile Devices with Flexible Resource Isolation

이 논문은 ARM TrustZone 의 비효율적인 리소스 격리 문제를 해결하기 위해 유연한 메모리 및 NPU 격리 메커니즘을 도입하여 모바일 기기에서 LLM 추론 속도와 보안을 동시에 극대화하는 'FlexServe' 시스템을 제안합니다.

핵심

FlexServe: 스마트폰 속의 '초고속 보안 금고' 이야기

이 논문은 스마트폰에서 거대 인공지능 (LLM) 을 실행할 때 발생하는 보안과 속도 문제를 해결한 새로운 시스템, FlexServe에 대한 이야기입니다.

마치 스마트폰이라는 작은 집에 거대한 AI 를 초대했는데, 집이 너무 비좁고 도둑이 들까 봐 걱정되는 상황을 상상해 보세요. FlexServe 는 이 문제를 해결하기 위해 **'유연한 금고'**와 **'스마트한 관리 시스템'**을 도입했습니다.

---

1. 왜 이런 시스템이 필요할까요? (문제 상황)

• 보안의 필요성: 스마트폰 AI 는 사용자의 대화 내용이나 화면 같은 민감한 정보를 다룹니다. 또한, AI 모델 자체는 개발자가 수백만 원을 들여 만든 귀중한 자산입니다. 하지만 스마트폰의 운영체제 (OS) 는 방대하고 버그가 많아, 해커가 OS 를 장악하면 이 모든 것을 훔쳐갈 수 있습니다.
• 기존 방식의 한계 (ARM TrustZone): 현재 스마트폰에는 'TrustZone'이라는 하드웨어 보안 구역이 있습니다. 이는 일반 영역 (Normal World) 과 분리된 '안전한 영역 (Secure World)'입니다.
  • 비유: 일반 영역은 '거실'이고, 안전 영역은 '금고'입니다.
  • 문제점: 기존 방식은 AI 를 실행하려면 거대한 '금고'를 미리 만들어야 했습니다. 하지만 스마트폰 메모리는 제한되어 있어 거대한 금고를 계속 유지하기 어렵습니다. 게다가 금고를 만들려면 메모리 조각들을 모두 모아서 연속된 큰 공간을 확보해야 하는데, 이 과정이 너무 느립니다. 마치 거실 바닥에 있는 작은 카펫 조각들을 모두 모아서 거대한 러그를 만들려고 할 때, 조각들이 흩어져 있어 모으는 데 시간이 너무 오래 걸리는 것과 같습니다.
  • NPU(인공지능 전용 칩) 문제: AI 연산을 빠르게 해주는 NPU 칩도 보통 '거실'에만 쓸 수 있게 설정되어 있어, '금고' 안에서는 쓸 수 없습니다. 그래서 보안만 지키려고 하면 속도가 매우 느려집니다.

2. FlexServe 의 해결책: "유연한 금고 (Flex-Mem)"와 "스마트한 NPU"

FlexServe 는 이 문제를 해결하기 위해 두 가지 핵심 기술을 도입했습니다.

① 유연한 금고 (Flexible Secure Memory, Flex-Mem)

• 비유: 기존의 금고는 '고정된 방'이라면, FlexServe 의 금고는 **'변신하는 벽'**입니다.
• 어떻게 작동하나요?
  • AI 가 메모리가 필요할 때만, 일반 메모리 조각들을 **'보안 구역'**으로 순간적으로 변신시킵니다.
  • AI 가 작업을 마치면 다시 일반 메모리로 돌려보냅니다.
  • 장점: 거대한 연속된 공간을 미리 확보할 필요가 없습니다. 필요한 만큼만, 조각조각 모아서도 금고를 만들 수 있어 속도가 매우 빠릅니다. 마치 레고 블록을 필요할 때만 조립했다가 다시 분리하는 것과 같습니다.

② 유연한 NPU 보호 (Flexible Secure NPU, Flex-NPU)

• 비유: NPU 칩은 **'스피드 레이스용 스포츠카'**입니다.
• 어떻게 작동하나요?
  • 보통 이 스포츠카는 '거실' (일반 영역) 에서만 달립니다.
  • FlexServe 는 이 스포츠카를 필요할 때만 '금고' (보안 영역) 안으로 데려와서 달릴 수 있게 합니다.
  • 장점: 보안을 지키면서도 AI 연산 속도를 떨어뜨리지 않습니다.

③ 필요할 때만 잠금 (On-demand Protection)

• 비유: 금고 문이 항상 잠겨 있으면 열쇠를 열고 닫는 데 시간이 걸립니다.
• 어떻게 작동하나요?
  • AI 가 쉬고 있을 때는 보안 장치를 일시적으로 해제하여 일반 앱들이 빠르게 작동하게 합니다.
  • AI 가 작업을 시작하자마자 즉시 잠금 장치를 활성화합니다.
  • 장점: 평소에는 보안 시스템이 방해하지 않아 스마트폰이 매우 가볍게 작동합니다.

3. 더 똑똑한 관리 시스템 (파이프라인 & 스케줄러)

단순히 금고만 만든다고 해서 모든 문제가 해결되는 건 아닙니다. FlexServe 는 AI 가 일하는 방식을 더 효율적으로 바꿨습니다.

• 파이프라인 (Secure Inference Pipeline):
  • 비유: 공장 컨베이어 벨트처럼 작업을 겹쳐서 진행합니다.
  • 어떻게? AI 모델의 첫 번째 레이어를 계산하는 동안, 두 번째 레이어의 데이터를 미리 불러오고 암호를 해제합니다. 기다리는 시간을 없애서 '첫 번째 답변이 나오는 시간 (TTFT)'을 획기적으로 줄였습니다.
• 멀티 모델 스케줄러 (Multi-Model Scheduler):
  • 비유: 여러 명의 전문가 (여러 AI 모델) 가 한 사무실에 있을 때, 누가 언제 들어와야 할지 미리 계획하는 비서입니다.
  • 어떻게? 스마트폰은 다양한 작업을 위해 여러 AI 모델을 사용합니다. FlexServe 는 다음에 어떤 AI 가 필요할지 미리 예측해서, 메모리에 미리 준비해 둡니다. 필요 없는 모델은 지워내고, 필요한 모델을 불러옵니다.

4. 결과는 어떨까요? (성능 비교)

연구진은 FlexServe 를 실제 스마트폰 칩 (Rockchip RK3588) 에 구현하고 실험했습니다.

• 기존 보안 방식 (Strawman) 대비: 첫 번째 답변이 나오는 속도가 약 10 배 빨라졌습니다. (기존 방식은 메모리 확보 때문에 너무 느렸습니다.)
• 최적화된 보안 방식 대비: 최신 기술 (파이프라인, NPU 사용) 을 적용한 기존 보안 방식보다도 약 2.4 배 더 빨랐습니다.
• 복잡한 작업 (멀티 모델): 여러 AI 를 순서대로 사용하는 작업에서는 최대 24 배까지 빨라졌습니다.
• 일반 앱 영향: 보안 시스템이 켜져 있어도, 일반 앱 (예: 데이터베이스) 의 속도는 거의 영향을 받지 않았습니다.

요약

FlexServe는 스마트폰에서 AI 를 실행할 때, "보안을 지키면서도 속도를 늦추지 않는" 방법을 찾아낸 혁신적인 시스템입니다.

• 기존 방식: "보안을 위해 거대한 금고를 미리 만들고, NPU 도 못 쓰게 하라." → 매우 느림.
• FlexServe: "AI 가 필요할 때만 조각난 메모리로 금고를 만들고, NPU 도 함께 쓰게 하라. 그리고 필요 없으면 바로 해제하라." → 매우 빠르고 안전함.

이 기술 덕분에 앞으로 우리는 스마트폰에서 더 빠르고, 더 안전하게 개인화된 AI 비서를 사용할 수 있게 될 것입니다.

기술 요약

1. 문제 정의 (Problem)

모바일 디바이스에서의 온디바이스 (Device-side) 대규모 언어 모델 (LLM) 사용이 급증하고 있지만, 이를 보안 환경에서 실행할 때 다음과 같은 심각한 문제들이 존재합니다.

• 보안 위협: LLM 모델 가중치 (수백만 달러의 가치) 와 사용자 데이터 (대화 기록, 화면 내용 등) 는 매우 민감합니다. 모바일 OS 커널은 방대하고 버그가 많아 해커가 커널을 장악하여 이들을 탈취할 수 있습니다.
• TrustZone 의 한계: 모바일에서 사실상의 표준인 ARM TrustZone 은 신뢰 실행 환경 (TEE) 을 제공하지만, LLM 추론에 적용할 때 다음과 같은 성능 병목 현상을 일으킵니다.
  1. 유연하지 않은 메모리 격리: TrustZone 의 보안 메모리는 물리적으로 연속된 (contiguous) 영역이어야 하며, 그 개수가 제한적입니다. 모바일은 메모리 제약이 심하고 캐싱 등으로 인해 8GB 이상의 연속된 메모리를 할당하는 데 매우 느립니다 (예: 8GB 할당 시 약 6.44 초 소요).
  2. NPU 접근 불가: 기존 모바일 디바이스는 NPU 를 일반 모드 (Normal World) 로만 구성하여 보안 모드 (Secure World) 에서 사용할 수 없습니다. 이로 인해 CPU 만으로 추론을 수행해야 하므로 성능이 극도로 저하됩니다.
  3. 복잡한 워크로드: 모바일 에이전트 애플리케이션은 여러 개의 LLM 을 순차적으로 호출하는 경우가 많으나, TrustZone 의 경직된 메모리 관리로는 이를 효율적으로 처리하기 어렵습니다.

2. 방법론 (Methodology)

이 논문은 FlexServe라는 새로운 시스템을 제안하여 TrustZone 의 유연성 부족 문제를 해결하고 고속의 안전한 LLM 추론을 실현합니다.

A. 핵심 메커니즘: 유연한 리소스 격리 (Flexible Resource Isolation)

FlexServe 는 가상화 기술을 활용하여 TrustZone 내에서 유연하게 보호/비보호 모드를 전환할 수 있는 두 가지 추상화를 도입합니다.

1. Flex-Mem (Flexible Secure Memory):

   • 페이지 단위 격리: 연속된 물리 메모리 할당 (CMA) 대신, 불연속적인 자유 메모리 페이지를 보안 메모리로 변환할 수 있습니다.
   • 동적 전환: Flex-Monitor(EL2/EL3) 가 2 단계 페이지 테이블 (S2PT) 을 제어하여, 일반 OS 커널이 접근하지 못하도록 Flex-Mem 페이지를 매핑 해제합니다.
   • Lazy Reclaim: 메모리 회수 시 즉시 데이터를 지우는 대신, 해당 페이지가 재할당될 때만 지워지는 'Lazy Reclaim' 방식을 도입하여 오버헤드를 줄였습니다.
   • DMA 보호: SMMU(시스템 MMU) 를 제어하여 Flex-Mem 페이지에 대한 DMA 접근을 차단합니다.

2. Flex-NPU (Flexible Secure NPU):

   • 시간 분할 다중화 (Time-multiplexing): NPU 를 일반 모드와 보안 모드 사이에서 효율적으로 전환합니다.
   • 보호된 샌드박스: NPU 가 보안 모드일 때, 일반 커널이 NPU 드라이버나 MMIO 영역에 접근하지 못하도록 격리된 샌드박스 환경을 제공합니다.
   • NPU 가속: 보안 모드에서도 NPU 를 사용하여 추론 속도를 높입니다.

3. On-demand Protection:

   • 보안 추론 작업이 없을 때는 보호 메커니즘 (S2PT 등) 을 비활성화하여 일반 애플리케이션의 성능 저하를 최소화합니다. 작업 시작 시 Integrity Check 를 통해 보호를 재개합니다.

B. FlexServe 프레임워크 최적화

TrustZone 보안 월드 내에서 고속 추론을 위한 파이프라인과 메모리 관리 전략을 도입합니다.

• Secure Inference Pipeline: 모델 로딩, 복호화, 계산 단계를 병렬화하여 지연 시간을 숨깁니다. 특히 Flex-Mem 을 사용하여 무거운 CMA 할당 시간을 제거합니다.
• LLM-Aware Memory Management:
  • 모델 가중치: 레이어 단위로 캐싱 및 교체 전략을 적용하여 콜드 스타트 오버헤드를 줄입니다.
  • KV Cache: 페이지 기반 (PagedAttention 유사) 설계를 통해 동적으로 할당하고, 메모리 압박 시 암호화된 KV 페이지를 플래시에 스플리 (Spill) 합니다.
• Multi-Model Scheduler: 여러 모델이 호출되는 에이전트 워크플로우를 위해, 다음에 필요한 모델을 미리 프리페칭 (Prefetching) 하거나 사용하지 않는 레이어를 우선적으로 제거하여 전체 지연 시간을 단축합니다.

3. 주요 기여 (Key Contributions)

1. Flex-Mem 및 Flex-NPU 도입: TrustZone 의 경직된 리소스 격리를 해결하기 위해, 페이지 단위로 보호/비보호 모드를 효율적으로 전환할 수 있는 유연한 보안 메모리 및 NPU 메커니즘을 최초로 제안했습니다.
2. 고속 및 안전한 LLM 추론 프레임워크: Flex-Mem/NPU 기반의 파이프라인, LLM 인지 메모리 관리, 멀티 모델 스케줄러를 통합하여 모바일 환경에서 고성능 추론을 가능하게 했습니다.
3. 실제 구현 및 평가: Rockchip RK3588 플랫폼에서 프로토타입을 구현하고, 기존 TrustZone 기반 설계 (Strawman) 와 비교 평가하여 압도적인 성능 향상을 입증했습니다.

4. 평가 결과 (Results)

Rockchip RK3588 (8 코어 CPU, 6 TOPS NPU, 16GB RAM) 에서 Llama3, Qwen3 등 다양한 모델을 대상으로 평가했습니다.

• TTFT (First Token Time) 속도 향상:
  • 기존 TrustZone 기반 Strawman 대비 평균 10.05 배 속도 향상.
  • 파이프라인 및 보안 NPU 가 활성화된 최적화된 Strawman 대비 평균 2.44 배 속도 향상.
• 멀티 모델 에이전트 워크플로우:
  • Strawman 대비 최대 24.30 배, 최적화된 Strawman 대비 4.05 배의 엔드 - 투 - 엔드 속도 향상.
• 메모리 압박 (Memory Pressure) 상황:
  • 백그라운드 메모리 사용량이 0GB 에서 10GB 로 증가해도 FlexServe 는 TTFT 가 거의 일정하게 유지되는 반면, CMA 를 사용하는 Strawman 은 성능이 급격히 저하되었습니다.
• 일반 애플리케이션 오버헤드:
  • FlexServe 가 활성화되어도 일반 월드 (Normal World) 의 SQLite 성능 저하는 평균 1.31 배 (Strawman 은 3.27 배) 에 그쳤으며, 가상화 오버헤드는 On-demand Protection 으로 인해 거의 0 에 수렴했습니다.

5. 의의 및 결론 (Significance)

FlexServe 는 모바일 기기에서 LLM 의 보안과 성능이라는 상충되는 두 가지 요구사항을 동시에 해결하는 획기적인 솔루션입니다.

• 기술적 혁신: TrustZone 의 근본적인 한계였던 '연속 메모리 할당'과 'NPU 접근 불가' 문제를 가상화 기술과 유연한 리소스 관리로 우회하여 해결했습니다.
• 실용성: 모바일 에이전트와 같은 복잡한 멀티 모델 워크플로우를 보안 환경에서 실시간으로 실행할 수 있는 토대를 마련했습니다.
• 미래 지향성: 온디바이스 AI 의 보안 표준을 제시하며, 클라우드 의존도를 낮추고 사용자 프라이버시를 보호하는 차세대 모바일 AI 서비스의 핵심 기술로 자리 잡을 것으로 기대됩니다.

결론적으로, FlexServe 는 모바일 LLM 추론의 보안 위협을 해결하면서도 클라우드 기반 솔루션에 버금가는 (또는 그 이상인) 성능을 제공함으로써 온디바이스 AI 의 상용화를 가속화할 것입니다.