클라우드에서 데이터 주권을 지키는 세 가지 방법

지역별로 다른 데이터 주권법... 저장 위치가 핵심
클라우드 전환 때 깊은 차원에서 질문하고 조사해야
투명성 높은 서비스 제공자 물색할 필요도

[보안뉴스 오다인 기자] 클라우드는 처음엔 수수께끼처럼 보였다. 그러나 마술 같아만 보였던 이 기술은 많은 조직의 운영 방식을 바꿔놓았으며 전 세계 기업들이 클라우드가 제공하는 모든 이점들을 찾아 쓰고 있다. 클라우드라는 이름에 비해 그 기술은 매우 물리적이고 하드웨어 중심이다. 이런 물리적인 특징에는 여러 문제들이 동반되며 특히 데이터 주권과 관련해 두드러진다.

과거에는 데이터를 회사 외부로 반출시키는 것 자체를 상상도 할 수 없었지만, 데이터를 클라우드에 저장하는 요즘은 다르다. 그러면서 기업들은 다양한 지역 및 국가의 데이터 규제에 직면하게 되었다. 국제적으로 클라우드 기반 기술과 클라우드 서비스가 급속하게 확대되면서 특히 클라우드의 물리적인 측면이 훨씬 더 큰 문제가 되는 중이다. 프라이버시와 데이터 호스팅과 관련해 현재 어떤 통일된 기준이나 규제가 없다는 점은 더 큰 혼란을 야기하고 있다. 이는 각 주(state)나 국가별로 다른 데이터 주권법에 각 기업이 종속된다는 것을 의미한다.

온프레미스 시스템과 정보 저장소를 클라우드로 옮기는 것에는 많은 기술적, 법적 과제들이 따르지만 클라우드가 제공하는 많은 혜택들을 인지한 기업들은 기꺼이 앞으로 나아가고 있다. 골치 아픈 데이터 주권 준수 문제를 피하기 위해서 기업들은 어디에 데이터를 위치시켜야 할지, 이에 따르는 과제들을 어떻게 해결할지 결정해야 하며 무엇보다 투명하게 전 과정을 실행해야 한다.

위치가 핵심이다
데이터 주권법은 지역마다 다르기 때문에 기업들은 적용될 수 있는 모든 데이터 주권법을 파악하고 이를 이행할 데이터 센터 제공자를 선별해야 한다. 데이터의 물리적인 위치와 관련해서는 제공자의 속도와 유연성도 중요하지만 그 위치야말로 이 과정의 핵심이다. 제공자가 충분히 넓은 네트워크를 갖고 있지 않은 경우, 해당 기업은 데이터 주권을 완벽하게 준수하지 못할지 모른다.

정부나 보건산업 영역의 기업들이 더 엄격한 데이터 주권법의 지배를 받는다는 사실도 주의 깊게 살펴볼 부분이다. 예를 들어, 미국 내 특정 정부기관들은 데이터를 반드시 미국 영토 내에서만 저장해야 한다. 기업들은 이런 산업들에 특화된 제공자를 고려, 평가해야 할 것이다.

주어진 숙제를 하라
위와 같은 문제들 때문에 클라우드로 전환하려는 기업들은 데이터의 물리적인 위치에 대한 우려가 많다. 우려한다는 것 자체는 좋은 현상이다. 다만 결정을 내리기 전에 보다 많이 조사할 필요가 있고, 클라우드 계약서를 세세한 부분까지 잘 읽어봐야 하며 제대로 된 질문을 할 수 있어야 한다.

데이터를 클라우드로 옮길 때 기업들은 조사 결과와 질문들을 깊은 수준에서 검토해야 한다. 기본에서 출발해 더 어려운 질문들로 나아가야 한다는 것이다. 질문에 대해 답하다 보면 해당 지역의 데이터 주권법을 준수하지 못한 것으로 나타나는 경우가 자주 있으며 클라우드 서비스를 적용하는 접근법 자체를 다시 고려해야 할 필요가 생긴다. 아래와 같은 질문들을 생각해보자.

- 우리 기업이 사용하는 서비스의 종류는 무엇이고 모든 물리적 데이터가 어디에 보관되는가?
- 해당 서비스 공급업체가 파트너나 공급자를 통해 기업이나 국가 밖에서 데이터를 저장하는가?
- 해당 서비스 공급업체가 다른 클라우드 서비스를 사용하는가?

투명성을 최우선시하라
클라우드로 전환할 때 기업이 극복해야 할 가장 큰 장애물은 데이터가 더 이상 기업의 통제 아래 있지 않다는 걸 받아들이는 부분이다. 그들 영향력 밖에 기밀 정보를 보관하는 것에 대해 기업들이 편안함을 느낄 수 있도록 제공자들은 훨씬 더 높은 수준의 투명성을 유지해야 한다. 따라서 기업들은 그들에게 보다 넓은 시야와 접근성을 가져다 줄 제공자를 찾아야 한다. 이런 투명성은 고객의 신뢰를 얻고 클라우드 사용에서 안정감을 갖는 장기적인 대안이다.

클라우드는 기업들이 일하는 방식을 바꾸고 있으며 사실상 많은 조직의 IT 구조에 대해서도 기준을 만들고 있다. 데이터 주권법은 너무 복잡해서 위협적으로 느껴지기도 하지만, 기업들은 앞으로 나아가는 데 주저해서는 안 된다. 기업이 제대로 된 실사를 하고 적절한 도움을 얻는 데 성공한다면 클라우드로의 전환은 원활하게 이행될 것이다.

글: 앨런 라인반트(Allan Leinwand)
[국제부 오다인 기자(boan2@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)