기사 공유하기

소버린 클라우드(sovereign cloud)는 현지 국가의 데이터 주권을 보장하기 위해 현지 법률과 규정을 준수하여 현지에 데이터 센터를 두고, 데이터 접근이 이루어지도록 설계하고 구축된 클라우드 컴퓨팅 아키텍처를 말한다. 소버린 클라우드 서비스 제공업체는 메타데이터를 포함한 각 가입자의 데이터를 외부 접근으로부터 보호하고 데이터가 발생한 나라의 개인정보 보호 의무를 준수하여 저장하도록 보장한다(참고로 ‘소버린’은 독립적, 자주적이라는 뜻).

사실 소버린 클라우드에 관한 관심이 시작된 건 유럽의 GDPR 법을 통한 개인 정보 보호 프레임워크가 정립된 후 유럽 시민의 데이터에 대한 유럽 국가의 보호 의지와 미국의 클라우드 법 등 환경의 변화에 따라 각 국이 자국의 데이터를 보호하고자 했고, 나라별 개인정보 규율 적용 문제를 좀 더 심각하게 생각하면서이다. 특히 미국의 클라우드 법에 따라 미국 기업이 유럽의 데이터를 가져갈 수 있다는 점에서 유럽이 갖는 긴장 수준은 높다.

유럽연합의 개인정보보호법(GDPR)

은행, 보험, 의료, 공공 부문과 같은 산업은 특정 지역의 법률과 요구 사항을 준수해야 하는 과제에 직면하고 있고 이에 따라 소버린 클라우드에 대한 수요가 증가하고 있다. 소버린 클라우드는 특정 국가, 지역 또는 특정 지역에 서비스를 제공하는 클라우드 제공업체가 소유, 제어, 운영하는 준공공 클라우드 서비스이며, 지방 정부가 직접 소유하거나 민간 및 공공 기관으로 구성된 컨소시엄이 소유할 수 있다. 때로는 정부와 긴밀히 협력하는 민간 기업이 소유하는 예도 있다.

클라우드 주권은 제공업체가 클라우드 및 데이터 스토리지 서비스를 모니터링하고 그 나라의 데이터 개인정보 보호 및 보안 법률을 준수한다는 것을 증명해야 한다. 서비스 업체가 이를 보장한다는 주장은 일정 기간 접근 권한과 데이터 이동을 기록하는 기록에 대한 정기적인 평가를 통해 확립한다. 클라우드 제공업체가 주권 평가에 불합격하면 벌금을 내거나 가입자에게 손해를 배상해야 할 수 있다.

이런 클라우드 주권의 문제는 데이터 주권을 넘어서 그 다음 단계로 필요성이 부상하고 있으며, 현재 큰 관심을 갖는 인공지능 서비스가 대부분 클라우드를 통한 서비스로 이루어지기 때문에 자연스럽게 인공지능 주권의 문제로 확장하고 있다.

또한 멀티 클라우드가 받아들여지고 이로 인한 유연성을 인정하면서 소버린 클라우드에 관한 관심이 새롭게 부각하고 있는 것도 사실이다. 각 국가에서 클라우드 주권을 지키기 위한 소버린 클라우드에 관한 관심이 커지면서 주요 클라우드 서비스 기업들도 이를 지원하고 보장하기 위한 서비스를 계속 제시하고 있다.

VM웨어 홈페이지에서 소개한 자료에 따르면, IDC가 응답자 600명을 대상으로 설문조사를 한 결과 데이터 주권이 매우 또는 대단히 중요하다고 한 대규모 조직이 88%이며 중요 데이터양을 늘렸다고 한 응답이 64%, 현재 클라우드로는 데이터 주권 요구 사항을 충분히 충족하지 못한다고 대답한 비율이 62%라고 한다. 즉 대규모 조직의 고객은 데이터 주권과 중요 데이터 보호 및 제어를 위해 소버린 클라우드의 필요성을 인지하고 있다는 의미이다.

소버린 클라우드의 장점

소버린 클라우드가 갖는 이점으로는 다음과 같은 점을 얘기할 수 있다.

  • 데이터에 대한 제어 및 소유권 강화: 소버린 클라우드는 데이터에 대한 통제권과 소유권을 강화하여 특정 국가나 지역에 데이터를 보관하는 등 현지 규정과 법률을 준수해 데이터를 저장하고 관리할 수 있도록 한다. 퍼블릭 클라우드를 사용하면 백업 및 복구 작업과 같이 의도치 않은 이유로 데이터가 국외로 이동될 위험이 있다. 소버린 클라우드는 지원하는 국가에 물리적으로 존재하므로 이러한 위험을 피할 수 있다.
  • 강화된 보안: 소버린 클라우드는 암호화, 액세스 제어, 네트워크 세분화 등 강화된 보안 조치를 제공하며, 특정 국가나 지역에 맞게 조정할 수도 있다. 물론 대형 퍼블릭 클라우드도 같거나 더 나은 서비스를 제공할 수 있지만, 소버린 클라우드 보안 시스템은 특정 국가의 법률과 규정을 위해 특별히 설계되었기 때문에 해당 국가의 데이터 보안 조치를 더 잘 지원할 수 있다.
  • 높은 서비스 가용성과 안정성: 소버린 클라우드는 상용 클라우드 제공업체보다 더 높은 서비스 가용성과 안정성 수준을 제공한다고 주장한다. 소버린 클라우드 시스템이 사용자와 연결된 애플리케이션에 물리적으로 더 가깝다는 점을 고려하면 실제로 그럴 수 있다.
  • 국가 또는 조직의 특정 요구 사항을 충족: 소버린 클라우드는 규정 준수 요구 사항, 데이터 저장 및 처리 기능 등 국가 또는 조직의 특정 요구 사항을 충족하도록 사용자 지정할 수 있다. 또한, 정부 및 조직이 필요한 인프라를 구축하고 유지 관리하는 데 투자하기 때문에 소버린 클라우드는 일자리를 창출하고 지역 경제 발전에 기여할 수 있다.
  • 상용 클라우드 제공업체로부터의 독립성 강화: 소버린 클라우드는 투명하고 책임감 있는 데이터 관리 프레임워크를 제공함으로써 데이터 프라이버시 및 보안에 대해 우려하는 시민과 고객과의 신뢰를 구축하는 데 도움이 될 수 있다. 또한 상용 클라우드 제공업체로부터의 독립성을 강화하여 외국 기술 및 인프라에 대한 의존도를 낮출 수 있다.

소버린 클라우드의 단점

동시에 소버린 클라우드가 가질 수 있는 단점이나 해결할 문제점 역시 존재한다.

  • 소버린 클라우드는 다른 클라우드 인프라와 호환되지 않을 수 있으며, 이에 따라 상호운용성 및 데이터 교환 문제가 발생할 수 있다.
  • 소버린 클라우드는 데이터 프라이버시와 주권을 강화하는 것을 목표로 하지만, 정부가 시민의 데이터를 수집하고 감시하는 데 사용할 수 있어 프라이버시 권리를 침해할 수 있다는 우려가 있다.
  • 소버린 클라우드는 글로벌 클라우드 제공업체에 비해 새로운 기술과 서비스를 채택하는 속도가 느려 혁신과 경쟁력 유지에 한계가 있을 수 있다.
  • 소버린 클라우드에 의존하는 조직은 클라우드를 운영하는 정부 또는 컨소시엄에 지나치게 의존하게 되어 유연성과 자율성이 제한될 수 있다.
  • 이제 주요 글로벌 클라우드 기업은 소버린 클라우드 지원 방안을 속속 내놓고 있기 때문에 각 서비스를 하나씩 살펴보기로 한다.

AWS의 디지털 주권

아마존은 소버린 클라우드를 강조하지는 않았다. 2022년 9월 아마존의 최고 보안 책임자인 스티브 슈미트는 소버린 클라우드가 유행이고 마케팅 용어에 불과하다고 말했을 정도이다. 사실 소버린 클라우드 AWS로 검색해도 나오는 내용이 별로 많지 않다. 그러나 AWS는 시작부터 데이터 주권에 관심을 갖고 했으며 이는 AWS에 있는 디지털 주권 페이지에서 그 기본 원칙을 설명하고 있다고 주장한다.

2022년 11월 27일에 AWS는 ‘AWS 디지털 주권 서약: 타협 없는 제어’라는 선언문을 발표했다. 이때 주장한 것이 디자인부터 클라우드 주권 지원이다. 초기부터 금융이나 헬스케어 사업자들이 데이터 보호와 제어 기능을 필요로 했고 이에 따라 암호와 키 관리 기능을 개발했으며 규정 준수 인증을 획득하고 고객의 요구를 충족하기 위해 계약상의 약속을 이행했다는 것이다.

최근에는 2021년 말 AWS 콘트롤 타워(AWS 환경 관리 서비스)에 추가한 데이터 위치(Residency) 가드레일을 통해 고객 데이터를 저장하고 처리하는 물리적 위치를 더욱 강력하게 제어할 수 있으며, 2022년 2월에는 유럽 클라우드 인프라 서비스 제공자(CISPE) 데이터 보호 행동 규범을 준수하는 AWS 서비스를 발표해 고객이 독립적인 검증을 통해 일반 데이터 보호 규정(GDPR)을 준수하며 서비스를 사용할 수 있게 했다는 것이 AWS의 입장이다.

AWS에서 디지털 주권을 위해 갖추어야 하는 요구 조건은 데이터 위치, 운영자 접근 제한, 탄력성과 존속성, 독립성이라고 하지만 퍼블릭 클라우드에 비해 얻을 수 있는 이점에서는 일부 제한이 있다는 점을 제시하고 있다.

디자인부터 주권이라는 개념에서는 크게 데이터 위치, 운영자 접근 제한, 어디서나 암호, 클라우드의 복원력, 신뢰할 수 있는 로컬 파트너, 투명성과 보증 등 6가지의 특성을 디자인해야 한다고 한다.

데이터 위치 제어를 위한 AWS 콘트롤 타워는 다수의 AWS 서비스를 오케스트레이션 하는 동시에 조직의 보안 및 규정 준수 요구 사항을 유지 관리하여 AWS 경험을 간소화하고, 요구 사항을 충족하는 데 도움이 되는 예방, 탐지 및 선제적 제어를 제공한다.

데이터 접근에 대한 검증 가능한 제어를 위해서는 AWS 니트로(Nitro) 시스템이 있는데 아마존 EC2에서 처리하는 동안 외부 접근으로부터 데이터를 보호하기 위해 특수 하드웨어와 소프트웨어를 사용한다. 니트로는 강력한 물리적 및 논리적 보안 경계를 제공함으로써 AWS 직원을 포함한 누구도 사용자의 승인 없이 EC2의 고객 워크로드에 액세스할 수 없게 제한을 적용하도록 설계했다.

모든 곳에서 모든 것을 암호화하기 위해서는 이미 모든 AWS 서비스가 암호화를 지원하고 있으며 고객이 클라우드 내부 또는 외부에서 관리하는 암호화 키를 사용해 모든 곳에서 모든 것을 암호화할 수 있도록 추가 제어와 암호화 기능에 지속적인 혁신과 투자를 약속한다. 또한, 외부에서 암호화 키를 저장하고 사용해야 한다면 AWS 키 관리 서비스(AWS KMS) 외부 키 스토어를 사용할 수 있다고 한다.

클라우드의 복원력을 위해서는 AWS 리전의 가용 영역 구성, 데이터 복구 기능, 아웃 포스트와 스노우 패밀리 등의 서비스로 이를 지원하고 있음을 제시하고 있다.

VM웨어의 소버린 클라우드

이미 14개국에 VM웨어 소버린 클라우드를 공급한 VM웨어는 국가별 CSP와 협업해 시장에 진출하고 있다. 국내에서는 KT클라우드 및 네이버클라우드와 손잡았다. VM웨어 소버린 클라우드는 데이터 주권, 데이터 관할 제어, 데이터 액세스, 데이터 보안, 데이터 규정 준수, 데이터 독립성, 데이터 이동성, 데이터 분석 등 지역별 요구 사항을 따르고 적용할 수 있도록 돕는다.

VM웨어가 제시하는 주요 소버린 클라우드 제품은 다음 그림과 같다.

오라클의 소버린 클라우드

오라클은 소버린 클라우드 리전(Region)의 개념을 제시하고 있으며, 까다로운 데이터 위치, 보안 및 대기시간 요구 사항을 충족하도록 하고 있다. 오라클은 지역 배포 옵션을 확장하여 고객 및 정부 주권 요구 사항을 해결하며 고객은 배포의 위치, 접근성, 운영, 지원, 규제 요구 사항 및 인터넷 연결을 제어할 수 있다. 핵심 배포와 관련하여 이러한 옵션을 결합함으로써 고객은 작은 초기 설치 공간에서 시작하여 오라클 클라우드 전체 범위에서 엄격한 보안, 규제준수 및 주권 요구 사항을 충족할 수 있다.

아래 그림처럼 위치 선택, 접근 제한, 운영 및 지원팀 구성, 규율 요구 사항, 인터넷 접속 방안 등의 여러 옵션에 따라 주권 배포 모델을 갖고 있으며, 고객이 원하는 수준의 주권을 보장하도록 한다.

특히 국가 안보를 위한 소버린 클라우드에서는 오라클 국가 안보 리전(ONSR)은 위의 모든 옵션을 결합한 것으로 정부 네트워크를 보호하고 인터넷에 연결된 주권 클라우드 지역을 능가하는 고도로 분류된 워크로드, 고객 인가 및 규정 준수 요구 사항을 지원한다.

오라클은 2023년에 유럽 연합을 위한 소버린 클라우드 리전을 시작할 예정이며, 이미 미국에서는 국가 안보 리전, 정부용 클라우드, 국방부를 위한 클라우드를 소버린 클라우드 방식으로 제공하고 있다.

마이크로소프트 애저 소버린 클라우드

마이크로소프트는 ‘주권을 위한 클라우드’라는 용어로 디지털 주권을 위한 솔루션을 제시하고 있다. 이 솔루션은 2022년 7월에 발표했으며 ‘공공 부문 고객이 규정 준수, 보안 및 정책 요구 사항을 충족하면서 마이크로소프트 클라우드에서 워크로드를 구축하고 디지털 방식으로 전환할 수 있는 새로운 솔루션’이라고 말하고 있다. 주권을 위한 클라우드가 추가되면 데이터를 더 잘 제어하고 클라우드의 운영 및 거버넌스 프로세스에 대한 투명성을 높일 수 있다는 것이 공식 블로그에서 밝힌 주장이다.

이런 솔루션이 필요한 이유는 정부가 데이터 거버넌스, 보안 제어, 시민의 개인 정보 보호, 데이터 상주, 주권 보호, GDPR(일반 데이터 보호 규정)과 같은 법적 규정에 따른 규정 준수 운영 등 다양한 데이터 분류에 대한 특정 요구 사항을 충족해야 할 의무가 있기 때문이다. 거버넌스, 보안, 투명성, 주권 기술을 제공하는 마이크로소프트 주권용 클라우드는 전략적 파트너와 결합하여 전 세계 다른 클라우드 공급자와는 달리 정부 고객의 디지털 혁신을 지원하겠다고 한다.

정부 고객은 최신 개발자 서비스, 민첩한 인프라, 안전한 데브옵스, 오픈 소스 플랫폼, 최신 협업 및 로우코드 개발과 같은 광범위한 기능을 통해 퍼블릭 클라우드의 강력한 기능을 활용하여 낮은 비용, 민첩성 및 확장성을 기대할 수 있다. 또한, 주권용 클라우드 고객은 매일 24조 개 이상의 신호를 분석하여 로컬 공격을 식별하고 방어하는 마이크로소프트의 글로벌 보안 신호의 혜택을 계속 누릴 수 있다.

주권을 위한 클라우드의 기반은 데이터 위치, 주권 제어, 거버넌스와 투명성, 전문성으로 이루어진다는 것이 마이크로소프트의 기본 개념이다.

기반은 애저 지역별 데이터센터에서 시작하는데, 60개 이상의 클라우드 리전을 보유한 마이크로소프트 클라우드는 다른 어떤 클라우드 공급업체보다 더 많은 위치에서 데이터 위치 및 근접성을 통해 가장 광범위한 기능과 혁신을 제공한다.

정책 제어를 통해 오늘날 고객은 다양한 규제 요건을 충족하고 원하는 지리적 경계 내에서 데이터와 애플리케이션을 보호하는 정책을 구현할 수 있다. 고객은 산업, 국가 또는 글로벌 보안, 개인정보 보호 및 규정 준수 요건을 충족할 수 있는 대부분의 서비스 배포에 대해 국가 또는 지역을 지정할 수 있다. 마이크로소프트는 글로벌 지역 및 국가에 특화된 50개 이상의 제품을 포함하여 100개 이상의 제품을 통해 모든 클라우드 서비스 공급업체 중 가장 포괄적인 규정 준수 범위를 제공한다는 것이 마이크로소프트가 강조하는 면이다. 특히 곧 발표할 EU 데이터 경계 개념에 따라 유럽 연합(EU) 및 유럽자유무역연합(EFTA)에 속한 국가에 고객 데이터를 저장할 뿐만 아니라 처리할 수 있다.

또한 고객에게 중요한 데이터를 보호하고 암호화할 수 있는 추가 계층을 제공하는 기능을 제공할 것인데, 이러한 기능은 클라우드 인프라, 플랫폼 서비스 및 마이크로소프트 365, 다이나믹스 365, 파워 플랫폼과 같은 SaaS 제품에서 전체 마이크로소프트 클라우드에 걸쳐 제공한다. 이때, 고객은 기밀 가상 머신 및 기밀 컨테이너를 통해 주권 보호 기능을 제공하는 기술인 애저 기밀 컴퓨팅을 활용할 수 있다. 애저 기밀 컴퓨팅은 클라우드에서 처리하는 동안 중요한 데이터를 분리할 수 있는 솔루션이다. 또한 고유한 솔루션으로 특수 하드웨어를 활용하여 신뢰할 수 있는 실행 환경(TEE)이라고 하는 격리되고 암호화된 메모리를 생성하며, 고객 소유의 암호화 키는 관리형 HSM(하드웨어 보안 모듈)에서 고객의 암호화된 데이터에서 실행되는 TEE로 직접 기밀하고 안전하게 출시한다.

이 외에도 더블 키 암호, 고객 락박스 등이 있고, 애저 아크를 통해 고객은 이미 어디서나 인프라와 앱을 보호하고 관리할 수 있으며, 익숙한 도구와 서비스를 사용하여 클라우드 네이티브 앱을 더 빠르게 빌드하여 실행하고, 데이터 자산을 현대화하여 일관된 클라우드 운영을 할 수 있다.

다양한 데이터 분류 요구 사항의 복잡성을 간소화하기 위해 소버린 클라우드에는 아키텍처, 배포 워크플로를 간소화하고 다양한 보안 서비스 및 정책 제어의 운영을 간소화된 방식으로 조율하는 지능형 도구를 제공하는 솔루션인 소버린 랜딩 존이 포함된다.

거버넌스와 투명성을 위해서는 주요 애저 인프라 구성 요소부터 시작하여 마이크로소프트 GSP(정부 보안 프로그램)를 클라우드 오퍼링의 핵심 요소로 확장하여 클라우드 투명성을 강화한다. 자격을 갖춘 참가자는 소스 코드에 대한 통제된 접근 권한을 받고, 마이크로소프트 제품 및 서비스에 관한 기술 콘텐츠에 참여하며, 전 세계에 분산된 5개의 투명성 센터를 이용할 수 있다.

전문성 영역에서는 주권을 위한 클라우드는 파트너가 주도하는 파트너 우선 솔루션으로 설계되고 있다는 것이다. 즉, 국내 파트너는 고객의 성공을 지원하고 정부 요구 사항을 충족하는 데 중추적인 역할을 수행한다. 2022년 5월 유럽에서 신뢰할 수 있는 현지 기술 제공업체와의 파트너십을 통해 유럽 정부의 주권적 요구를 충족하는 클라우드 서비스를 제공하는 데 중점을 두는 등 유럽에서의 비즈니스를 안내하는 새로운 유럽 클라우드 원칙을 공유했다.

액센추어와 네이버 클라우드

액센추어는 2022년 4월 유럽 지역에 소버린 클라우드 서비스를 시작했다. 새 소버린 클라우드 퍼스트 프랙티스에는 독일 크론베르크, 노르웨이 트론헤임, 프랑스 파리, 이탈리아 로마에 있는 4개의 새로운 소버린 클라우드 센터가 포함돼있다. 액센추어의 소버린 클라우드 센터는 산업, 보안 및 기술 전문가를 에코 시스템 파트너와 협력할 수 있도록 지원하고 있다.

또 비즈니스 프로세스의 디지털화를 가속하고, 새로운 데이터 협업 기회를 제공하고 있다. 액센추어 고객은 유럽의 새로운 소버린 클라우드 센터에서 변경 관리, 보안 기술 및 비즈니스 프로세스 경험에 대한 액센추어 클라우드 퍼스트 전문가의 전담 지원과 클라우드 에코시스템 전반의 파트너와 협업할 수 있는 공간을 통해 실시간 업계 사례를 확인하고 소버린 클라우드 요구 사항을 선제적으로 해결하고 청사진을 개발할 수 있다고 발표했다.

소버린 클라우드는 결국 각 나라가 자국 시민의 데이터를 얼마나 더 안전하게 보호하고 처리할 것인가 하는 관점에서 이제는 피할 수 없는 상황이 되었다. 특히 인공지능 기술이 국가적으로 너무나 중요한 기술이 되어가고 있는 시점에서 이제는 학습용 데이터와 시민들이 인공지능과 상호 작용하는 데이터까지 어떻게 주권을 확보할 것인가 하는 수준으로 더 강화하고 있다.

국내 기업인 네이버클라우드 역시 ‘소버린 클라우드’에 전략적 목표를 세우고 유럽의 메이저 통신사, ICT 기업과 파트너십을 맺고자 하고 있으며, 동남아에서는 싱가포르를 중심으로 현지 4대 통신사 스타허브와 파트너십을 맺었다. 네이버클라우드는 싱가포르스타트업협회(ACE), 싱가포르게임협회(SGGA) 와도 파트너십을 체결하고 현지 발판을 마련하는 중이다. 유럽지역에서는 EU 국가가 아님에도 EU 클라우드 얼라이언스 가입도 준비하고 있다고 한다.

참고문헌

  • Techopedia, “Sovereign Cloud,” Sep 1, 2022
  • InfoWorld, “Sovereign clouds are becoming a big deal again,” Mar 17, 2023
  • Techzine, “AWS never talks about sovereign cloud, but definitely has it, says Amazon CSO,” Sep 8, 2022
  • AWS, “AWS Digital Sovereignty Pledge: Control without compromise,” Nov 27, 2022
  • Microsoft Official Blog, “Microsoft Cloud for Sovereignty: The most flexible and comprehensive solution for digital sovereignty,” Jul 19, 2022
  • Accenture, “Accenture Launches Sovereign Cloud Practice to Help Companies Unlock Innovation in the Cloud,” Apr 14, 2022
  • 전자신문, “[스페셜 리포트] 네이버, ‘소버린 클라우드’로 유럽 공략,” 2023년 1월 11일

본 글은 한국지능정보사회진흥원의 지원을 받아 작성되었으며, 디지털서비스 이용지원시스템에 동시 게재합니다.

카이스트에서 인공지능을 전공하고 현재 컴퓨터과학과 인문사회학을 결합한 각종 이슈에 대해 글을 쓰고 있다. 테크 칼럼니스트로 활동 중이며, 사업전략 컨설팅, 정책 자문을 하고 있다.

관련 글