최근 미국 하원이 유럽연합(EU) 플랫폼 규제를 담당하는 네덜란드 공무원들의 이메일과 내부 통신 자료를 마이크로소프트(Microsoft)로부터 전달받아 열람한 사건이 보도되었습니다. 이 사건은 네덜란드 공무원들이 유럽 내 데이터 센터를 이용했음에도 불구하고, 미국에 본사를 둔 클라우드 서비스 제공업체가 미국 법률의 적용을 받아 데이터를 공개할 수 있다는 점을 명확히 보여주며 디지털 주권(Digital Sovereignty)의 중요성을 다시 한번 일깨웠습니다.
이번 사건은 데이터 주권이 단순히 데이터 저장 위치(Data Residency)를 넘어선다는 점을 강조합니다. 즉, 데이터가 특정 지역에 저장되어 있더라도, 해당 데이터를 관리하는 클라우드 제공업체가 다른 국가의 법적 관할권 아래 있다면 언제든지 데이터 공개를 강요받을 수 있다는 의미입니다. 특히 미국의 클라우드 법(CLOUD Act)과 같은 법률은 미국 기업이 전 세계 어디에 데이터를 저장하든 미국 당국의 요구에 따라 데이터를 제공하도록 강제할 수 있어, 유럽 정부와 기업들에게 큰 우려를 안겨주고 있습니다. 이는 기술적 보안만큼이나 법적, 운영적 통제가 중요함을 시사합니다.
이러한 배경에서 유럽은 비유럽권 클라우드 및 플랫폼 제공업체에 대한 의존도를 줄이고, 자체적인 주권 클라우드(Sovereign Cloud) 인프라 구축에 박차를 가하고 있습니다. 이는 민감한 공공 부문 데이터가 외국의 사법권으로부터 안전하게 보호받을 수 있도록 보장하기 위함입니다. 이번 사건은 클라우드 서비스를 이용하는 모든 기관과 기업에게 데이터 접근, 감사 가능성, 그리고 관할권 복원력을 고려한 아키텍처 설계가 필수적이라는 전략적 교훈을 제공하며, 클라우드 조달 시 비용과 성능뿐 아니라 주권과 책임의 문제를 심도 있게 고려해야 할 필요성을 제기합니다.