Part 11. 레퍼런스 아키텍처: 엔드투엔드 운영 설계
프롬프트, 평가, 신뢰성, 비용, 보안, 관측성을 하나의 운영 시스템으로 묶는 LLM/Agent 레퍼런스 아키텍처를 제시한다.
앞선 편에서 품질, 신뢰성, 비용, 보안, 관측성, 컨텍스트, 에이전트 운영을 각각 다뤘다. 실제 서비스에서는 이 요소가 동시에 움직인다. 그래서 운영 안정성을 만들려면 개별 패턴이 아니라 통합 아키텍처가 필요하다. 이번 편은 "LLM 기능을 제품으로 운영"하기 위한 레퍼런스 구조를 제시한다.
문제 제기
개별 최적화는 했지만 전체가 불안정한 시스템에서 자주 보이는 현상은 다음과 같다.
- 품질 팀이 프롬프트를 개선하면 비용 팀 지표가 악화된다.
- 보안 팀이 정책을 강화하면 제품 팀 전환율이 떨어진다.
- 관측 데이터가 분리돼 있어 변경 원인을 팀 간에 공유하기 어렵다.
- 장애 대응 시 제어면과 실행면이 혼재돼 롤백이 늦어진다.
실전 예시 A: 품질 개선 배포의 비용 역효과
Prompt 개선으로 해결률은 상승했지만 출력 길이가 증가해 비용이 급등했다. 비용 경보는 늦게 울렸고, 품질 팀은 자신의 변경이 원인인지 알 수 없었다. 지표가 같은 운영 루프에 연결되지 않았기 때문이다.
실전 예시 B: 보안 강화 후 사용자 이탈
정책 엔진 임계치를 높여 인젝션 방어는 강화됐지만 정상 질문 차단(false refusal)이 증가했다. 제품팀은 UI 문제로 인식했고 보안팀은 성공으로 판단해 의사결정 충돌이 발생했다.
핵심 개념
통합 아키텍처는 "제어면(control plane)"과 "실행면(data plane)"을 분리해야 한다.
- 제어면: 버전, 정책, 라우팅, 실험, 배포, 롤백 결정
- 실행면: 요청 처리, retrieval, inference, tool call, 응답 생성
| Plane | 주요 컴포넌트 | 핵심 책임 | 실패 시 전략 |
|---|---|---|---|
| Control Plane | Prompt Registry, Policy Engine, Router Config, Release Manager | 변경 통제, 버전 배포, 게이트 평가 | 빠른 부분 롤백 |
| Data Plane | API Gateway, Orchestrator, Retriever, Model Runtime, Tool Runner | 사용자 요청 처리, 상태 전이 | degraded mode, queue backpressure |
| Observability Plane | Trace, Logs, Quality Metrics, Cost Metrics | 원인 분석, 회귀 탐지 | 자동 경보 + 배포 차단 |
| Governance Plane | Approval Workflow, Audit Store, Runbook | 책임 추적, 사고 대응 | escalation + postmortem |
실전 패턴
패턴 1: Request Lifecycle 계약 표준화
실행면에서 요청 처리 단계와 계약을 고정하면 팀별 구현 편차를 줄일 수 있다.
type RequestEnvelope = {
requestId: string;
tenantId: string;
userId: string;
input: string;
contextVersion: string;
promptVersion: string;
policyVersion: string;
routeVersion: string;
deadlineMs: number;
};
type ResponseEnvelope = {
requestId: string;
status: "ok" | "degraded" | "needs_review" | "blocked";
answer: string;
citations: string[];
qualitySignals: {
confidence: number;
resolved: boolean;
followUpRisk: "low" | "medium" | "high";
};
costSignals: {
inputTokens: number;
outputTokens: number;
usd: number;
};
};
export async function handle(envelope: RequestEnvelope): Promise<ResponseEnvelope> {
const context = await retrieveContext(envelope);
const plan = await orchestrate(envelope, context);
const guarded = await applyPolicies(plan, envelope.policyVersion);
const result = await execute(guarded);
return buildResponse(envelope.requestId, result);
}
운영 포인트:
- 요청/응답 envelope에 버전 필드를 넣어 원인 추적을 단순화한다.
- 결과와 함께 품질/비용 신호를 동봉해 후속 분석을 쉽게 만든다.
- envelope 변경은 하위 호환 정책을 강제한다.
패턴 2: 제어면 중심 배포 게이트
배포는 코드 머지가 아니라 제어면 설정 승격으로 운영해야 한다.
{
"release_gate": {
"quality": {
"resolved_rate_min": 0.78,
"follow_up_ratio_max": 0.18
},
"security": {
"policy_violation_rate_max": 0.005,
"forbidden_tool_call": 0
},
"cost": {
"usd_per_resolved_request_max_increase": 0.1
},
"reliability": {
"p95_latency_max_increase": 0.15,
"retry_amplification_max": 1.25
}
}
}
# 통합 게이트 평가 후 승격/차단
./ops/release/evaluate-gates.sh --release rel_20260303_2200
./ops/release/promote-if-pass.sh --release rel_20260303_2200 --canary 25
운영 포인트:
- 게이트 실패 시 전체 롤백이 아니라 component 단위 롤백을 우선한다.
- 게이트 기준은 분기마다 재평가하되 자주 바꾸지 않는다.
- 운영팀이 게이트를 우회할 수 있는 "비상 모드"는 감사 로그를 강제한다.
패턴 3: 팀 인터페이스와 책임 경계 문서화
기술 아키텍처만큼 중요한 것이 조직 인터페이스다.
| 팀 | 소유 컴포넌트 | 1차 KPI | 2차 KPI |
|---|---|---|---|
| Platform | Orchestrator, Router, State Store | SLA, p95 latency | retry amplification |
| Search/Data | Ingestion, Index, Retriever | retrieval hit ratio | index lag |
| Security | Policy Engine, Audit | policy violation rate | false refusal rate |
| Product | UX, HITL Flow | safe completion rate | review SLA |
운영 포인트:
- KPI가 충돌할 때 우선순위 기준(예: 보안 > 안전 > 품질 > 비용)을 명시한다.
- 사건 대응 시 단일 incident commander를 지정한다.
- postmortem 액션을 팀 단위 backlog로 연결한다.
실패 사례/안티패턴
장애 시나리오: "Control Plane Drift"
상황:
- Prompt Registry는 v9를 가리키고, 라우팅 설정은 v8 기준 토큰 예산을 사용 중이었다.
- 실행면에서 길어진 출력이 budget 초과를 유발했고 fallback이 급증했다.
- 품질/비용/지연이 동시에 악화됐지만 팀별 대시보드 분리로 초기 대응이 늦었다.
탐지 절차:
version_mismatch_count경보 탐지- release manifest와 실행 로그 버전 대조
- fallback 비율 급등과 budget overflow 이벤트 상관 분석
완화 절차:
- Control Plane 버전 동기화 강제
- 라우팅 정책을 이전 버전으로 부분 롤백
- 고비용 도메인 트래픽 임시 축소
회복 절차:
- 버전 원자성 배포(atomic config release) 도입
- drift 검증을 배포 전 필수 게이트로 추가
- cross-plane 대시보드(품질/비용/신뢰성 통합) 표준화
대표 안티패턴
- 제어면/실행면 분리 없이 애플리케이션 코드에 설정 혼재
- 팀별 최적화로 전체 지표를 희생
- 배포 게이트를 단일 지표로 판단
- incident 후 액션 아이템이 구조 변경으로 이어지지 않음
체크리스트
- Control Plane과 Data Plane의 책임이 분리되어 있는가?
- 요청 envelope에 버전/품질/비용 신호가 포함되는가?
- 통합 게이트(품질/보안/비용/신뢰성)가 배포 승격을 제어하는가?
- component 단위 롤백이 자동화되어 있는가?
- 팀별 소유 경계와 KPI 우선순위가 문서화되어 있는가?
- version drift 탐지 지표가 운영 경보로 연결되는가?
- postmortem 결과가 아키텍처 개선 backlog로 반영되는가?
요약
LLM 운영의 성패는 개별 기술 선택보다 시스템 결합 방식에서 갈린다. 통합 레퍼런스 아키텍처의 핵심은 제어면과 실행면을 분리하고, 관측 신호를 같은 의사결정 루프에 연결하는 것이다. 이렇게 설계해야 품질, 비용, 보안, 신뢰성이 서로 충돌하지 않고 관리 가능해진다.
다음 편 예고
마지막 편에서는 조직/프로세스 관점에서 LLM 운영 성숙도 모델을 제시한다. 팀 역할, 의사결정 구조, 실험 문화, 운영 루틴을 단계별로 정리해 "어디까지 왔고 무엇이 다음인지"를 명확히 판단할 수 있는 실무 로드맵으로 마무리한다.