Login
클라우드 주권만으론 부족하다···공공 부문의 새로운 쟁점은 ‘종단 간 암호화’
데이터의 위치 지정만으로는 더 이상 충분하지 않다는 인식이 확산되고 있다. 정부가 자국 내에 데이터를 보관하더라도 서드파티 서버에 올려두면 실제 주권을 보장하지 못한다는 우려가 커지면서, 규제 당국은 보다 근본적인 조치를 요구하고 있다. 바로 데이터 암호화 키에 대한 통제권이다.
스위스 지방정부 개인정보보호 책임자 협의체인 프리바팀(Privatim)은 최근 결의문을 통해, 민감한 정부 데이터를 다룰 때 기관이 직접 종단 간(E2E) 암호화를 구현하지 않는 한 글로벌 서비스형 소프트웨어(SaaS) 사용을 피해야 한다고 촉구했다. 결의문은 이러한 기준에 미치지 못하는 사례로 마이크로소프트 365를 명시적으로 언급했다.
결의문은 “대다수 SaaS 솔루션은 업체가 평문 데이터에 접근하지 못하도록 보장하는 진정한 종단 간 암호화를 아직 지원하지 않는다. 따라서 SaaS 애플리케이션 사용은 기관의 통제력을 상당히 약화시키는 결과를 초래한다”라고 밝혔다.
분석가들은 이런 통제력 상실이 데이터 주권의 핵심 개념을 훼손한다고 지적했다. 그레이하운드리서치(Greyhound Research) 최고 애널리스트 산치트 비르 고기아는 “클라우드 업체가 법적 절차든 내부 메커니즘이든 어떤 방식으로든 고객 데이터를 복호화할 수 있는 능력을 갖고 있다면, 그 데이터는 더 이상 진정한 의미의 주권을 지닌 것이 아니다”라고 말했다.
고기아는 유럽 국가 전반에서 이와 유사한 의견이 제시되고 있다고 언급했다. 그에 따르면 유럽에서는 독일, 프랑스, 덴마크, 유럽연합 집행위원회 등이 클라우드 업체의 중립성에 대한 신뢰가 약화되고 있다며 경고하거나 조치를 취하고 있다. 그는 “스위스는 다른 유럽 국가들이 암시적으로 언급해온 내용을 명확히 했다. 결의문은 미국 클라우드 법과 해외 감시 위험 때문에 종단 간 암호화가 적용되지 않은 클라우드 솔루션은 민감한 공공 부문 업무에 적합하지 않다고 규정하고 있다”라고 말했다.
암호화와 ‘위치’의 한계
프리바팀은 결의문에서 데이터 위치 규정만으로는 해결할 수 없는 리스크를 지적하면서, 당국이 글로벌 기업의 계약 의무 준수 여부를 검증할 수 있을 정도로 충분한 투명성을 제공받지 못하고 있다고 진단했다. 이런 불투명성이 기술의 실제 구현 방식, 시스템을 변경 관리, 그리고 직원과 하청 업체를 어떻게 감독하는지까지 이어지며, 외부 서비스 제공자가 여러 단계로 얽히는 복잡한 구조로 확대된다고 강조했다.
가트너(Gartner) 수석 애널리스트 아시시 배너지는 데이터가 특정 국가에 저장돼 있어도 미국 클라우드 법처럼 초국가적 적용이 가능한 법률에 따라 외국 정부가 접근할 수 있다고 말했다. 그는 또한 소프트웨어 벤더가 계약 조건을 주기적으로 수정할 수 있어 고객의 통제권이 더 약화된다고 분석했다.
배너지는 “중동과 유럽의 여러 고객이 ‘데이터가 어디에 저장돼 있든, 대부분 미국 기반인 클라우드 업체가 여전히 접근할 수 있다’는 점을 우려하고 있다”라고 말했다.
에베레스트그룹(Everest Group) 수석 애널리스트 프라브죠트 카우르는 스위스의 입장이 기술 주권을 강화하려는 규제 변화 흐름을 더욱 가속한다고 설명했다. 카우르는 “스위스의 기준이 다른 국가보다 엄격한 것은 사실이지만, 결코 특별한 사례는 아니다. 계약이나 절차적 안전장치에 의존하는 시장에서도 기술 주권을 강화하는 방향으로 전환이 빨라지고 있다”라고 언급했다.
프리바팀은 이런 한계를 고려해 모든 공공 부문에서 클라우드 사용 기준을 강화해야 한다고 제시했다. 결의문은 “특히 민감한 개인정보나 법적 비밀 유지 의무가 적용되는 데이터를 다루는 공공기관은 데이터를 직접 암호화하고, 클라우드 업체가 암호 키에 접근할 수 없는 경우에만 글로벌 SaaS 솔루션을 사용해야 한다”라고 밝혔다.
이는 현재의 관행과 확연히 다른 접근이다. 지금까지 많은 정부 기관은 클라우드 업체가 기본으로 제공하는 암호화 기능에 의존해 왔다. 마이크로소프트 365와 같은 서비스는 저장 및 전송 단계에서 암호화를 제공하지만, 운영상 필요나 규제 준수, 법적 요청에 대응하기 위해 마이크로소프트가 데이터를 복호화할 수 있는 권한을 여전히 보유하고 있다.
보안은 강화되지만 통찰력은 감소
다만 전문가들은 고객이 통제하는 종단 간 암호화가 상당한 타협점을 수반한다고 지적했다.
카우르는 “업체가 평문 데이터를 전혀 볼 수 없게 되면, 정부는 검색과 인덱싱 기능 저하, 협업 기능 제한, 자동화된 위협 탐지나 데이터 유출 방지 도구 활용 제약에 직면하게 된다”라고 말했다. 그는 이어 “코파일럿과 같은 AI 기반 생산성 기능도 업체 측 데이터 처리를 전제로 하기 때문에, 엄격한 종단 간 암호화 환경에서는 사실상 활용이 불가능하다”라고 설명했다.
기능적 제약 외에 인프라와 비용 부담도 문제가 될 수 있다. 기관은 자체 키 관리 시스템을 운영해야 하며, 이는 새로운 거버넌스 업무와 인력 수요를 유발한다. 배너지는 대규모 암호화 및 복호화 작업이 추가 하드웨어 자원을 요구하고 지연을 증가시켜 시스템 성능에 영향을 줄 수 있다고 분석했다.
배너지는 “추가 하드웨어가 필요해지고 사용자 경험에서도 지연이 발생할 수 있으며, 전체 솔루션 비용도 더 높아질 수 있다”라고 말했다.
고기아는 이러한 제약으로 인해 대부분의 정부가 전면적인 암호화 대신 단계적 접근 방식을 택할 것이라고 전망했다. 그는 “기밀 문서, 법적 조사 자료, 국가안보 관련 문서 등 고도의 민감 데이터를 별도 테넌트나 주권 환경에 두고 완전한 종단 간 암호화를 적용하는 방식이 현실적인 선택지가 될 것”이라고 말했다. 반면 행정 문서나 시민 서비스 등 폭넓은 공공 업무는 통제된 암호화와 강화된 감사 기능을 적용한 주요 클라우드 플랫폼을 계속 활용할 것으로 보인다고 진단했다.
클라우드 컴퓨팅 역량의 변화
카우르는 스위스의 접근 방식이 국제적으로 확산될 경우, 주요 클라우드 업체가 계약상 또는 지역 보장에 머무르지 못하고 기술 주권을 강화해야 할 것이라고 전망했다. 그는 “변화 조짐은 이미 나타나고 있다. 특히 마이크로소프트가 고객 통제 암호화와 관할권 기반 접근 제한을 강화하는 보다 엄격한 모델을 도입하기 시작했다”라고 말했다.
고기아는 이런 변화가 클라우드 업체가 정부 고객을 대하는 방식을 근본적으로 흔든다고 분석했다. 그는 “데이터센터 위치, 지역 지원, 계약 기반 분리 등을 주요 보증 수단으로 삼았던 기존 정부 클라우드 전략의 상당 부분이 더 이상 유효하지 않게 됐다”라고 말했다. 또한 “클라이언트 측 암호화, 기밀 컴퓨팅, 외부 키 관리는 선택적 기능이 아니라 고규제 시장의 공공 부문 계약에서 반드시 갖춰야 할 기본 요건이 됐다”라고 강조했다.
배너지는 이로 인해 시장 구조도 크게 재편될 수 있다고 전망했다. 그는 주권 문제에 상대적으로 민감하지 않은 상업 고객을 위한 글로벌 클라우드와, 완전한 통제를 요구하는 정부를 위한 프리미엄 주권 클라우드라는 ‘이원화 구조’가 생길 수 있다고 진단했다. 이어 “유럽 등지에서 부상하는 신흥 클라우드 업체와 지역 벤더들이 엄격한 암호화 요건을 충족하는 주권 기반 솔루션을 제공하면서 시장 점유율을 확대할 가능성이 있다”라고 분석했다.
프리바팀의 권고안은 스위스 공공 기관에만 적용되는 지침이지만, 이번 논쟁은 기술 정책을 둘러싼 지정학적 경쟁이 격화하는 상황에서 단순히 데이터 위치를 통제하는 것만으로는 더 이상 규제 당국의 주권 요구를 충족시키기 어렵다는 점을 보여준다.
dl-ciokorea@foundryco.com
