최근 몇 년 동안 클라우드 컴퓨팅에 대한 세계적 논의는 기술 중심에서 지정학 중심으로 이동했다. 데이터 주권, 개인정보 보호, 통제권이 미국 외 국가 기업의 최우선 과제로 떠오르고 있으며, 특히 유럽, 영국, 아시아, 아프리카 지역에서 더욱 두드러지고 있다. 각국의 규제와 정치적 환경 변화로 인해 데이터를 외국, 특히 미국 기업에 맡기는 것에 대한 위험성이 다시 평가되고 있다.

문제는 단순히 데이터가 어디에 저장되는가가 아니라, 결국 누가 그 인프라를 소유하고 통제하느냐는 점이다. 예를 들어 브렉시트 이후 영국 정부는 민감한 데이터를 자국 내에 보관할 것을 권장하며, 아크 데이터센터(Ark Data Centres) 같은 현지 업체를 지원하고 있다. 외부 감시에 대한 경계심이 뿌리 깊은 독일에서는 대형 기업이 도이치 텔레콤 같은 자국 업체의 클라우드 서비스를 선택하고 있다. 프랑스는 핵심 업무 데이터를 자국 내에 두기 위해 ‘신뢰할 수 있는 클라우드(Trusted Cloud)’ 프로젝트에 투자하고 있다. 인도와 중국은 엄격한 데이터 현지화 규정을 통해 외국 IT 업체가 현지 업체와 협력하거나 사업권을 넘기도록 요구하고 있다. 아프리카에서는 리퀴드 인텔리전트 테크놀로지스(Liquid Intelligent Technologies) 같은 클라우드 인프라 업체가 성장하고 있는데, 이 역시 데이터 자율권에 대한 수요를 반영한다.

미국 하이퍼스케일러의 소버린 클라우드 전략

이 같은 압박에 직면한 미국 하이퍼스케일러는 새로운 소버린 클라우드 서비스를 통해 기존의 불신을 뒤집으려 하고 있다.

• AWS는 데이터 거주지 제어 기능과 지역별 매니지드 리전을 제공하고, 자체 설계 칩을 기반으로 한 고급 AI 서비스도 지원하고 있다.
• 마이크로소프트는 애저 로컬, 애저 아크, 마이크로소프트 소버린 클라우드를 통해 각 지역별 데이터 거버넌스를 제공하며, AI 서비스를 자사 제품과 가장 먼저 통합했다.
• 구글은 파트너 주도형 소버린 클라우드와 고급 AI 솔루션에 주력하고 있지만, 일관성 문제를 겪고 있다.
• 오라클은 다양한 소버린 클라우드 옵션을 제공하며 AI를 자사 애플리케이션에 통합하고 있다. 현재 전 세계 24개국에서 클라우드 리전을 운영 중이다.

이들 소버린 클라우드는 데이터 거주지 보장, 규제 준수, 지역별 운영 통제권 등을 약속하며, 일부는 신뢰할 수 있는 지역 파트너와 협력해 서비스를 제공하고 있다. 예를 들어 마이크로소프트는 EU 정부를 겨냥한 애저 기반 소버린 클라우드를 제공하며, 데이터의 처리 및 저장이 해당 국가 내에서 이뤄지도록 설계했다. 구글 클라우드는 유럽 파트너와 협력해 소버린 프레임워크를 개발하고 있으며, AWS는 최근 유럽 거주 인력만으로 운영되는 독립형 모델인 AWS 유럽 소버린 클라우드를 발표했다.

이런 서비스는 정부와 기업이 하이퍼스케일러의 기술을 안심하고 활용할 수 있도록 지원하며, 외국 정부의 무단 접근으로부터 데이터를 보호하는 것이 핵심 목표이다. 규제 준수뿐만 아니라 데이터 통제에 대한 인식 차원의 우려까지 해결하는 동시에, 최상위 클라우드 서비스를 제공하는 것이 목적이다.

소유권과 물리적 위치의 딜레마

하지만 여전히 해결되지 않은 쟁점이 있다. 특히 규제나 정치적 제한이 엄격한 국가에 있는 기업은 미국 업체가 운영하는 소버린 클라우드가 진정한 주권을 보장할 수 있을지 의문을 제기하고 있다. 미국 법률, 예를 들어 클라우드법(CLOUD Act, Clarifying Lawful Overseas Use of Data)에 따르면, 해외에 저장된 데이터라고 해도 미국 업체가 보유하고 있다면 미국 정부가 접근을 요구할 수 있다. 이런 법적 ‘백도어’가 존재하는 한, 유럽과 아시아의 규제기관이 가지는 우려는 쉽게 사라지지 않는다.

이 때문에 유럽은 가이아-X 같은 프로젝트를 통해 진정한 독립성을 지향하고 있으며, 단지 지역에서 운영되는 것이 아닌 지역이 소유하는 클라우드를 지지한다. 아시아에서는 중국과 인도 정부가 자국 업체를 중심으로 인프라와 비즈니스를 유도하면서 외국의 통제 가능성을 줄이고 있다.

현지 업체 중심의 대안이 존재하더라도, 하이퍼스케일러와 중소 지역 클라우드 간의 기술 격차는 여전히 크다. AI, 통합 보안, 글로벌 인프라 같은 기능은 국경을 넘어 사업을 확장하려는 기업에 매력으로 강하게 작용한다. 이런 기능이 핵심 경쟁력인 산업에서는 미국 하이퍼스케일러의 소버린 클라우드 옵션이 여전히 설득력 있는 선택지다.

기업은 결국 업무의 민감도에 따라 워크로드를 분리해 운영할 가능성이 높다. 초민감 데이터를 다루는 업무는 자국 클라우드에 저장하고, 그 외 업무는 하이퍼스케일러의 규모와 기능을 활용하는 방식이다. 단, 이들 클라우드가 진화하는 소버린 기준을 충족할 수 있을 때에 한해서다.

미국 외 국가 기업을 위한 클라우드 전략 가이드

미국 외 지역에서 사업을 운영하는 기업은 지금까지 어느 때보다 복잡한 클라우드 전략 의사결정에 직면해 있다. 강화되는 데이터 주권 규제, 예측 불가능한 지정학적 사건, 글로벌 하이퍼스케일러와 지역 클라우드의 빠른 기술 진화가 동시에 일어나면서, 각 기업은 지금 이 시점에 선제적이고 정보에 기반한 접근 전략을 마련해야 한다. 다음은 특히 우선순위를 두어야 할 과제들이다.

규제와 위험에 대한 종합적 평가를 수행한다. 각 기업은 사업을 운영 중인 모든 지역의 데이터 거주지, 개인정보 보호, 주권 요건을 전면적으로 분석해야 한다. 유럽의 GDPR이나 인도의 데이터 현지화 요건 같은 국가별 법률뿐 아니라, 데이터 저장·처리에 제약을 가할 수 있는 산업별 규제까지 포함해야 한다. 법무팀과 IT 책임자는 단지 법 조항뿐만 아니라 그 법이 담고 있는 취지, 그리고 향후 규제가 어떤 방향으로 변화할지까지 함께 분석해야 한다.

모든 데이터와 워크로드를 위험 수준별로 검토하고 분류한다. 기업은 클라우드 기반 워크로드와 데이터를 모두 재점검하고, 민감도, 법적 노출도, 비즈니스 중요도에 따라 분류해야 한다. 민감하거나 규제를 받는 데이터는 지역 클라우드나 완전히 독립적인 클라우드에 저장하는 방식으로 별도로 관리해야 한다. 반면, 민감도가 낮은 워크로드는 하이퍼스케일러를 통해 운영할 수 있으며, 해당 클라우드가 충분한 법적·운영적 분리를 보장할 수 있을 경우에는 더욱 적합하다.

클라우드 서비스 업체를 철저히 검증한다. 하이퍼스케일러의 소버린 클라우드이든 지역 중소 클라우드이든, 기업은 클라우드 업체의 사업자의 신뢰성을 엄격하게 점검해야 한다. 통제 구조, 데이터 접근 권한, 사고 대응 체계, 클라우드 환경의 법적 지위에 대해 구체적으로 질문해야 한다. 외국 기업이 소유한 클라우드를 사용할 경우, 자국 정부 외의 제3국 접근을 차단하는 장치가 있는지 면밀히 검토하고, 데이터 주권에 대한 계약 문구를 명확히 해야 한다.

단일 클라우드 전략은 피하고, 회복 탄력성을 확보한다. 현 시점에서 가장 안전하고 유연한 전략은 멀티클라우드 또는 하이브리드 클라우드 모델이다. 민감한 데이터는 지역 기반 클라우드에 저장하면서, 상대적으로 규제가 덜한 업무에는 하이퍼스케일러의 혁신성과 확장성을 활용하는 방식이다. 애플리케이션 이식성을 고려해 설계하면, 규제가 변하거나 정치적 상황이 급변할 때 빠르게 대응할 수 있다.

지속적으로 정보를 확인하고 민첩성을 유지한다. 클라우드는 정치적 영향이 큰 영역이며 매우 빠르게 변화하고 있다. 기업은 각 시장에서의 법적, 정치적, 기술적 변화를 지속적으로 추적해야 한다. 정기적인 정책 검토, 보안 감사, 시나리오 기반 위험 대응 훈련은 변화하는 위협과 요구사항에 빠르고 자신 있게 대응하는 데 도움이 된다.

지금은 모든 기업이 규제 준수를 위한 적응 전략을 수립하고 실행해야 할 중요한 시점이다. 전 세계 대부분 기업에 영향을 줄 수 있는 새로운 규제가 계속해서 등장하고 있다. 앞서 소개한 다각적 접근 방식은 데이터 주권의 위험을 최소화하고, 예측 불가능한 시대에 전략적 경쟁 우위를 확보하는 데 기여할 것이다.
dl-itworldkorea@foundryco.com