220420_유명조달기업
[기고] 디지털 주권과 클라우드 데이터의 상관 관계
상태바
[기고] 디지털 주권과 클라우드 데이터의 상관 관계
  • CCTV뉴스 편집부 기자
  • 승인 2022.09.22 18:22
  • 댓글 0
이 기사를 공유합니다

[글=레이몬드 영(Raymond Yeung) | 탈레스 CPL 한국 및 중화역 영업이사]

 

주권이란 전통적으로 국가가 영토 내에서 자주적 독립성을 가지고 국가 의사를 결정 및 행사할 수 있는 권력을 의미한다. 즉 땅이라는 물리적 경계를 바탕으로 한 정치적 자율성을 나타내고 있다.

이러한 맥락에서 디지털 주권은 국가가 사이버상에서 행사하는 배타적 권리를 의미한다. 단순히 땅이라는 물리적 공간이 가상이라는 비물리적 공간으로 바뀐 것뿐이다. 그러나 아직까지 현실 세계와 달리 디지털 세계는 명확한 경계 설정이 어려워 어디까지를 국가의 디지털 주권으로 정해야 될지 규정하는데 있어 어려움이 있다.

디지털 주권이라는 개념은 2000년대 프랑스에서 등장했다. 초기에는 주로 군사 안보 차원에서 쓰였지만 미국의 구글, 아마존, 페이스북 등 디지털 공룡 기업들이 전 세계 인터넷 시장을 잠식한 후 국가의 동의 없이 국민들의 개인정보를 수집 및 활용하자 유럽연합에서 이를 규제하기 시작하면서부터 본격적으로 사용되기 시작했다.

실제로 유럽연합은 2018년 개인정보 보호법(GDPR)을 발효시켰고 2020년 유럽-미국 간 개인정보 공유 및 전송 관련 협정인 EU-U.S. Privacy Shield를 무효화시키는 등 자국민의 보호와 안전을 위해 디지털 주권에 강경한 입장을 표하고 있다.

 

기업들은 데이터 관리에 더 신중한 접근 필요

최근 디지털 전환의 가속화로 많은 기업들이 온프레미스에서 클라우드 환경으로 대거 전환하고 있다. 서버 관리, 비용 절감 등 여러 측면에서 효율적이기 때문이다. 특히 해외 곳곳에 사무실이 있는 대기업의 경우 빠른 정보 교환을 위해서라도 클라우드는 이제 선택이 아닌 필수로 활용되고 있다. 하지만 클라우드 활용도가 높아지는 만큼 디지털 주권 침해 또한 증가하고 있어 기업들은 데이터 관리에 더 신중할 필요가 있다.

디지털 주권 문제는 단순히 지리적으로 민감 정보를 어디에 보유하는지 뿐만 아니라 어떤 사람이 정보를 접근할 수 있는지에 대한 권한도 중요하다. 유럽의 슈렘스 판결*과 같이 만일 미국에서 근무하는 직원이 유럽 지역의 개인정보를 접근했다면 민감 정보 유출로 개인정보 보호법(GDPR) 위반에 해당될 수 있기 때문이다.

그렇기 때문에 기업 총수들은 어떻게 하면 각 국가의 디지털 주권을 침해하지 않고 효과적으로 기업을 운영할 수 있는지에 대해 고심하고 있다. 2022년 탈레스 데이터 위협 보고서에 따르면 글로벌 기업 중 34% 이상이 최소 50개 이상의 SaaS 애플리케이션을 쓰고, 17% 이상의 기업은 100개 이상을 쓰고 있다고 한다.

사용 애플리케이션이 많을수록 일괄적인 관리와 운영은 쉽지 않다. 이를 증명하듯 응답자들 중 절반은 개인정보 데이터 관리가 온프레미스보다 클라우드에서 더 어렵다고 한다. 결국 각 국가의 개인정보 관련 법률을 준수하면서 민감 데이터를 이전 및 활용하기란 말처럼 쉬운 일은 아니다.

*슈렘스 판결
오스트리아 활동가 겸 법대생이었던 막스 슈렘스(Marx Schrems)가 유럽사법재판소에 페이스북을 상대로 제기한 소송으로, 페이스북이 GDPR을 준수하지 않고 개인정보를 수집했으며, 이를 미국으로 보냄으로써 자신의 개인정보가 보호받지 못했다고 주장했다. 이 소송으로 미국과 유럽 사이에 체결된 정보 이전 협약이 무효화됐고, 개인정보 보호와 역외 이전에 대한 더욱 엄격한 관리 체계가 논의되고 있다.

 

디지털 주권의 삼위일체: 데이터, 운영, 소프트웨어

디지털 주권이 강화되면서 기업인들, 특히 최고정보관리책임자(CIO) 입장에서는 국가의 다양한 요구 사항을 충족하는 클라우드 컴퓨팅을 구성할 필요가 있다. 따라서 기업이 효과적으로 클라우드 데이터를 이전 및 활용할 수 있도록 디지털 주권을 크게 데이터, 운영, 소프트웨어라는 세 가지 방향으로 구분하여 앞으로 기업이 나아가야 할 방향을 다음과 같이 제언해본다.

첫 번째는 데이터 주권으로 사용자가 자기 데이터의 최종 결정권자가 될 수 있도록 만드는 것이다. 보안성 강화를 위해 클라우드 제공자는 사용자에게 직접 데이터에 접근할 수 있는 메커니즘을 부여하고 사용자 스스로가 개인정보를 어디까지 공개 및 활용할지를 결정할 수 있는 권한을 제공한다. 또한 사용자에게 개별 암호화 키를 지원해 본인이 직접 클라우드 데이터를 관리할 수 있도록 기업이 민감 정보에 접근하는 것을 최소화하여야 한다.

두 번째는 운영 주권으로 클라우드 제공자가 사용자들의 워크로드에 접근할 수 없도록 보장하는 것이다. 이를 통해 사용자는 클라우드에서 다른 작업자들의 접근을 차단시켜 동시 다중 접근(Multi-Tenant) 환경일지라도 온프레미스 환경과 비슷하게 구축할 수 있을 뿐만 아니라 지역에 따라 제공되는 패치 코드 및 자동 업데이트들을 사용자가 직접 설정할 수 있어 불필요한 프로그램을 최소화하고 랜섬웨어와 같은 멀웨어들을 통제할 수 있다.

세 번째는 소프트웨어 주권으로 클라우드 업체의 서비스와 관계없이 사용자들이 독자적으로 언제든지 클라우드와 워크로드를 시간과 장소에 관계없이 사용할 수 있도록 하는 것이다. 사용자는 본인의 입맛에 맞게 워크로드를 구성할 수 있으며 원하는 위치에 워크로드를 저장하고 실행할 수 있어 유연성을 극대화할 수 있다. 또한 온프레미스나 다른 클라우드와 연결하는 등 하이브리드 형식으로도 사용할 수 있어 편의성도 살릴 수 있다.

기업들이 개인정보와 관련된 워크로드를 클라우드로 이전 및 활용하기 위해선 디지털 주권의 내용을 정확히 이해하고 있어야 한다. 그렇기에 기업들은 각 주권(데이터, 운영, 소프트웨어)의 특성들을 정확히 파악하여 사용자에게 최대한의 자율성을 제공하고 개별 국가의 법률을 준수할 수 있는 기업 투명성을 갖춰 디지털 시대에 발 맞춰 갈 수 있도록 준비해야 한다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.