The balkanization of the cloud is bad for everyone

국가별로 쪼개진 클라우드 시장은 무의미하다

데이터의 국외 이전을 금지하는 국가가 늘어남에 따라 클라우드 서비스 접속이 어려워지고 요금도 높아질 전망이다.

클라우드 컴퓨팅이 중대 기로에 섰다. 현재 수많은 기업이 데이터의 원격 저장과 애플리케이션 구동에 클라우드 컴퓨팅을 활용하고 있다. 이는 낮은 비용으로 빠른 서비스를 제공하는 것을 가능하게 했다. 그런데 클라우드 컴퓨팅의 이 같은 장점을 무력화하는 새로운 위협이 모습을 드러내고 있다.

‘디지털 주권(digital sovereignty)’은 각국 정부가 자국의 컴퓨팅 환경에 다양한 방식으로 통제력을 행사하는 것을 의미한다. 이것은 그동안 시장에 공급되는 하드웨어와 소프트웨어의 종류에 영향을 미치는 공급망 분야의 이슈로만 머물러왔다. 그랬던 디지털 주권이 이제 클라우드 분야에서도 문제가 되고 있다.

세계 각국 정부가 인프라와 특정 종류의 데이터를 자국 영토 내에 유지할 것을 기업에 요구하고 있다. 일부 국가에서는 자국 영토 내에서 영업하는 기업은 클라우드에 저장된 데이터와 코드에 대한 접근권을 정부에 제공해야 한다는 주장까지 하는 실정이다.

이 같은 흐름이 이대로 뿌리를 내리면 국경을 초월한 자유로운 데이터의 이동이라는 클라우드 컴퓨팅의 기반이 흔들릴 것이다. 클라우드 서비스 이용자와 제공 업체는 애플리케이션이나 데이터를 언제 어디서든 클라우드에 전송할 수 있어야 하고, 소비자는 당연히 자신의 요구에 가장 잘 부합하는 서비스를 제공하는 업체를 선택할 수 있어야 한다. 만약 우리가 디지털 주권 옹호 논리가 확산되는 것을 이대로 손 놓고 지켜본다면 클라우드 서비스 업체는 국익이라는 논리에 손발이 묶이고, 소비자는 큰 비용을 부담하고, 그 사이 소수의 대기업만 반사이익을 보게 될 것이다. 또한 이 같은 디지털 국경 분할은 기술의 자유로운 교류를 통해서만 해결할 수 있는 전세계적 문제의 해결을 더욱 어렵게 할 것이다.

모든 것에는 대가가 따른다

이론적으로 기업은 세계 어디에 있든 인터넷만 연결되면 클라우드 기반 서비스를 이용할 수 있다. 그렇지만 디지털 주권이 부상하면서 많은 나라에서 클라우드 기술이 가진 강력한 잠재력을 제대로 활용하기가 점점 어려워지고 있다.

미국과 중국의 클라우드 서비스 제공업체의 지배력에 대한 우려가 일자 유럽에서는 독자적인 클라우드 서비스를 만들려는 움직임이 나타났다. 예를 들어, 가이아 X(GAIA-X) 프로젝트는 유럽 내에서 유럽 기업이 클라우드 서비스를 제공하는 것을 목표로 한다. 또, 데이터 보호를 위한 일반개인정보보호법(GDPR, General Data Protection Regulation) 등의 조치는 경쟁력이 부족한 유럽 기업에 일종의 특혜를 부여한다.

중국은 오래 전부터 클라우드 인프라가 자국 기업에 의해 자국 내에 구축되어야 한다고 주장했다. 중국 사이버보안법(Cybersecurity Law)에 따르면 특정 데이터를 저장하는 서버는 중국 내에 있어야 하고, 데이터를 해외로 이전할 경우 사전에 반드시 보안 검열을 받아야 한다. 초안 단계인 개인정보보호법(Personal Information Protection Law)은 한 발 더 나아가 데이터 관련 문제에 중국인이 관련되었을 경우, 장소가 어디이든 중국의 데이터 규정을 적용할 수 있다고 규정한다.

또한 특정 외국 단체가 중국으로부터 개인정보를 수신할 수 없도록 블랙리스트로 만들어 관리할 수 있는 근거를 마련했다.

미국도 디지털 주권 강화 움직임에 동참하기 시작했다. 마이크 폼페이오 국무장관은 중국 클라우드 서비스 업체가 미국 시민과 기업의 데이터를 저장하고 처리하는 것을 금지하는 내용의 청정 네트워크 구상(Clean Network Initiative)을 발표했다. 트럼프 행정부는 바이트댄스에 틱톡을 오라클에 매각하거나 틱톡 미국 사업을 현지 파트너를 통해 운영하라고 압박을 가했다. 바이든 행정부가 트럼프 행정부 시절에 시행된 여러 조치를 철회할 가능성이 높기는 하지만, 그렇다고 해서 바이트댄스를 압박할 가능성이 완전히 사라지는 것은 아니다. 이는 위험한 선례를 남기게 될 것이다. 중국 정부는 해외 클라우드 기업의 중국 진출시 반드시 중국 기업과 합작 회사를 설립하고 중국 기업이 합작 회사의 대주주가 되도록 하고 있다. 이 같은 중국 정부의 방식을 미국 정부가 쫓아함으로서 중국 정부의 방식에 정당성을 부여하는 꼴이 되기 때문이다.

디지털 주권을 주장하는 움직임은 디지털 군비 경쟁을 촉발하여 혁신을 지연하지만 고객에게는 그 어떠한 유의미한 혜택도 주지 않는다.

2018년 남아프리카준비은행(South African Reserve Bank)은 금융기관을 대상으로 클라우드 컴퓨팅 승인제도를 시행했다. 이는 금융기관이 클라우드 컴퓨팅을 도입할 때 감독기관에 데이터 접근권을 보장하지 않으면 ‘쉽게 승인받지 못할 것’이라는 신호를 준다.

어떤 형태로든 오라클의 틱톡 인수가 성사되어 하나의 기준이 될 경우, 현지 업체에 대한 지분 매각 또는 현지 파트너를 통한 사업 운영을 조건으로 해외 기술 기업의 시장 진출을 허용하려는 각국 정부의 주장에 힘을 실어주는 결과가 될 것이다.

이 같은 입장을 옹호하는 이들은 일정 수준의 데이터 주권을 지키는 것은 피할 수 없다고 주장한다. 그들은 이 같은 악조건에도 불구하고 인터넷은 세계 어디서든 활발히 운영되고 있으며 기업은 이익을 추구하고 혁신을 지속한다고 말한다. 그렇지만 일부 기업이 이 같은 제약을 극복하고 성공적으로 사업을 영위한다는 사실이 그 같은 제약을 부과하자는 주장에 설득력을 부여하지는 않는다.

글로벌 클라우드 구현을 위해

디지털 주권을 주장하는 움직임은 디지털 군비 경쟁을 촉발하여 혁신을 지연하지만 고객에게는 그 어떠한 유의미한 혜택도 주지 않는다.

아마존, 마이크로소프트 같은 대기업은 클라우드 컴퓨팅 플랫폼을 지속적으로 확대할 수 있는 여력을 가지고 있지만 그들은 예외에 불과하다. 이들이 구축한 플랫폼을 기반으로 클라우드 서비스를 제공하는 수천 여개의 소규모 사업자들은 재정적으로나 기술적으로 데이터센터마다 일일이 제품을 공급할 만한 여유를 가지고 있지 않다.

유럽의 가이아X 프로젝트의 경우 이미 시장에 자리잡은 대기업에게만 혜택이 돌아갈 것이다. 대다수의 해외 소프트웨어 업체가 그동안 중국에 클라우드 서비스를 런칭하지 않은 것은 지나치게 높은 진입 장벽 때문이다. 이 같은 상황은 중국 소비자는 물론이고 해외 기술 기업에게도 득될 것이 없다. 이는 또한 글로벌 클라우드 시스템의 구현이 가져올 수 있는 경제적 이점과 보안상의 장점을 무의미하게 만든다.

지금 해야 할 것은 각국이 머리를 맞대고 공통의 기준을 마련하기 위해 협력하는 것이다. 이를 통해 클라우드 서비스의 핵심 원칙에 합의하고 각국 정부가 자국에 저장된 데이터에 접근할 때 규범으로 삼을 만한 기준을 확립해야 한다.

경제협력개발기구 OECD의 기존 개인정보보호 지침을 보완하는 방식이 하나의 방안이 될 수 있다. OECD의 글로벌 AI 파트너십(Global Partnership on AI, GPAI)에서도 관련 분야의 여러 이해당사자가 한 자리에 모여 정책을 마련하는 협의체의 사례를 볼 수 있다.

클라우드 분야의 그 같은 협의체는 우선 범위를 제한하여 상업적 데이터의 이동과 사용 사례(사내인사정보 활용 또는 국가간 계약 체결)를 먼저 다루는 것이 좋겠다. 디지털 주권 강화 움직임의 이면에 존재하는 우려(정치안보, 국가안보, 산업 경쟁력 등)를 인정하는 것이 합의로 가는 첫 걸음이 될 것이다. 협의체 활성화 방안으로는 불참 기업에 대해 데이터 이동을 차단하지는 않되 참여 기업에는 인센티브를 제공하는 방법이 있을 수 있다.

끝으로, 세계 어디에서든 민간 부문이 디지털 주권 강화 움직임의 영향에서 벗어나 안정적으로 클라우드 컴퓨팅을 활용하기 위해서는 클라우드보안동맹(Cloud Security Alliance), 클라우드네이티브컴퓨팅재단(Cloud Native Computing Foundation) 등의 기구가 일정한 역할을 할 수 있을 것이다.

오늘 우리가 결정하는 클라우드 컴퓨팅 관리 규범이 앞으로 몇 년간 인터넷 세계를 규정할 것이다. 클라우드 컴퓨팅 기술의 장점을 앞으로도 많은 이들이 활용할 수 있도록 하기 위해서는 디지털 주권 옹호 움직임이 더 확산되지 않도록 차단해야 한다.

마이클 러딩은 지오퓨전(GeoFusion) 창립 멤버이자 마이크로소프트 아시아 본부 부사장을 역임했다. 샘 삭스는 뉴아메리카(New America) 재단 사이버정책 연구원이자 예일 법학대학원(Yale Law School) 폴차이 중국센터(Paul Tsai China Center) 선임연구원으로 근무하고 있다.

disclaimer : 이 글에 언급된 마이크로소프트는 뉴아메리카 재단의 연구 사업에 자금을 지원하지만, 이 글의 작성 또는 작성에 필요한 연구에는 자금을 직접 지원하지 않았다. 마이크로소프트는 지오퓨전의 고객사이다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.