상위: 07_00_MOC

메모리 계층과 권한 — 누가 무엇을 쓸 수 있는가

컨텍스트가 휘발성 윈도우라면, 메모리는 그 너머로 규칙과 사실을 실어 나르는 지속 계층이다. 오염 거버넌스의 관점에서 메모리를 볼 때 진짜 문제는 저장 효율이 아니라 권한이다. 누가 어느 계층에 쓸 수 있고, 그 내용의 출처를 추적할 수 있는가. 권한이 통제되지 않은 메모리는 기준 재정의를 영속화하는 통로가 된다.


1. MemGPT/Letta — 운영체제식 메모리 계층

MemGPT(Letta)는 LLM을 운영체제에 빗대 메모리를 계층화한다. 빠르지만 작은 메인 컨텍스트(main context, RAM에 해당)와 느리지만 큰 외부 컨텍스트(external context, 디스크에 해당)를 두고, 모델이 함수 호출로 스스로 페이지를 넘기는 자기편집 메모리(self-editing memory) 구조다. 여기서 거버넌스의 핵심은 두 가지다.

  • 계층 분리. 시스템 지시(불변), 작업 사실(준불변), 대화 버퍼(휘발)가 물리적으로 다른 슬롯에 산다. 07_08-처방-컨텍스트는-슬롯계약-4계층-모델의 계층화는 이 발상을 일반화한 것이다.
  • 자기편집의 양날. 모델이 메모리를 직접 고칠 수 있다는 것은 적응성을 주지만, 권한 경계가 없으면 모델이 자기 시스템 규칙까지 덮어쓰는 자기-재정의(self-redefinition)를 허용한다. 그래서 불변 계층은 자기편집 권한에서 제외해야 한다.

저자 견해. MemGPT의 self-editing은 강력하지만, 에이전트가 쓸 수 있는 메모리와 읽기만 가능한 메모리는 반드시 갈라야 한다. 불변 헌법층(07_04-불변규칙-쓰기보호-CLAUDE-AGENTS-Constitutional)을 자기편집 가능 영역에 두면, 세션이 충분히 길어졌을 때 모델은 결국 그것을 “개선”이라는 이름으로 변형한다. 쓰기보호는 선택이 아니라 전제다.

(메모리 계층 4종·Write/Select/Compress/Isolate 전략의 총론은 06 해결전략.)


2. 오케스트레이터-워커 — 권위의 수직 분리

멀티에이전트에서 메모리와 결정 권한은 수직으로 분리해야 한다. Anthropic의 오케스트레이터-워커 패턴(2024)에서는 중앙 LLM이 태스크를 쪼개 위임하고 결과를 종합한다. 이를 거버넌스 언어로 옮기면 이렇다.

  • 오케스트레이터는 쓰기 권한 보유자다. 공유 규칙과 최종 결정을 소유한다.
  • 워커는 읽기 위주에 격리된 스크래치를 갖는다. 자기 작업 가설은 자유롭게 쓰지만 공유 규칙층에는 직접 쓸 수 없다. 결과는 오케스트레이터를 거쳐 검증을 받은 뒤에야 승격된다.

이 수직 권위가 07_01-문제정의-룰침범과-기준재정의의 룰 침범을 구조적으로 막는다. 워커 A가 워커 B의 규칙을 덮어쓸 경로 자체가 없기 때문이다. 다만 이 권위는 출처가 검증되어야 비로소 작동한다. 워커의 자기보고를 그대로 믿으면 프로베넌스 역설에 빠진다(07_06-provenance와-신뢰등급-프로베넌스-역설).

graph TD
    SYS["불변 시스템 메모리<br/>(읽기 전용 · 자기편집 제외)"]
    ORCH["오케스트레이터<br/>쓰기 권한 · 공유 규칙 소유"]
    SYS -->|"구속"| ORCH
    ORCH -->|"위임 + 격리 스크래치 부여"| W1["워커 A<br/>(자기 가설만 쓰기)"]
    ORCH -->|"위임 + 격리 스크래치 부여"| W2["워커 B<br/>(자기 가설만 쓰기)"]
    W1 -->|"결과 → 검증 후 승격"| ORCH
    W2 -->|"결과 → 검증 후 승격"| ORCH
    W1 -.->|"공유 규칙 직접 쓰기 금지"| SYS
    style SYS fill:#FF4444,color:#fff
    style ORCH fill:#FF8800,color:#fff
    style W1 fill:#44AA44,color:#fff
    style W2 fill:#44AA44,color:#fff

3. TierMem — provenance를 유지하는 검증 메모리

TierMem(Zhu et al., 2026)은 메모리 압축의 근본 함정을 쓰기 전 쿼리 장벽(write-before-query barrier)으로 정식화한다.

“Compression decisions are made before the system knows what a future query will hinge on — the write-before-query barrier.” — Zhu et al.(2026)

미래의 쿼리가 무엇에 의존할지 모르는 채로 압축이 먼저 일어난다는 뜻이다. 이는 07_01-문제정의-룰침범과-기준재정의가 짚은 압축 위험의 메모리 버전이다. 요약하는 시점에 버린 정보가 나중에 결정적이었다고 드러나면, 그 손실은 ground truth 오류로 굳어 버린다.

TierMem의 해법은 출처 링크 유지와 에스컬레이션이다. 요약이 불충분하면 불변 원본 로그까지 내려가고, 검증된 발견은 원본 소스에 링크해 둔다.

“TierMem achieved 0.851 accuracy with 54.1% reduction in input tokens and 60.7% reduction in latency.” — Zhu et al.(2026)

LoCoMo 기준으로 정확도 0.851(raw-only 0.873 대비 3% 미만 손실)을 내면서 토큰을 54.1%, 레이턴시를 60.7% 줄였다. 여기서 끌어낼 거버넌스 교훈은 분명하다. 메모리는 출처 링크를 유지해야 오염을 되돌릴 수 있다. 출처 없는 요약은 한 번 오염되면 복구할 길이 없다. 4계층 모델의 계층 2(검증된 사실층)가 provenance 링크를 필수 필드로 두는 이유가 여기 있다(07_08-처방-컨텍스트는-슬롯계약-4계층-모델).


참고문헌