소버린 클라우드 (Sovereign Cloud)

1. 클라우드 주권, 소버린 클라우드 (Sovereign Cloud)

(1) 소버린 클라우드의 부각 배경/필요성

(2) 소버린 클라우드의 개념/특징

개념특징
데이터의 소유 및 통제권 확보 위해 국가 및 특정 지역의 법률과 규정을 준수하는 클라우드 컴퓨팅 아키텍처– 특정 국가 법률과 규정 준수로 데이터 통제권 확보
암호화, 접근 제어 등 특정 국가 보안 기준 준수
– 컴플라이언스, 데이터 처리 프로세스 맞춤 서비스
– Data Privacy 보장, 외국 기술/인프라 의존성 감소
  • 소버린 클라우드는 2018년 제정된 미국 정부의 Cloud Act법 등 데이터 주권 확보의 필요성으로 인해 유럽을 중심으로 여러 국가에서 도입/검토중
  • 클라우드 데이터 주권 확보를 위해 운영, 데이터, 소프트웨어, 인프라/통신 측면의 소버린 클라우드 기술을 적용하여 단계적 구축/운영 필요

 

2. 소버린 클라우드 기술 요소 및 구축 단계/주요 활동

(1) 소버린 클라우드 기술 요소

구분기술 요소역할
운영 측면– 퍼블릭 클라우드
– 클라우드 탄력성
– 소버린 랜딩존
– 공급자 운영에 대한 가시성 및 제어
– IT 서비스와 기본 구성을 모니터링 및 제어
– 데이터에 대한 무단 액세스를 방지
데이터 측면데이터암호화(BYOK,HYOK)
– 보안 오브젝트 스토리지
– 단일 테넌트 데이터 유연성
기밀 컴퓨팅
– 데이터 저장 위치/방식, 보호 및 처리 방법, 데이터 액세스 권한 등 데이터에 대한 통제
– 데이터 소유자는 완전한 데이터 주권 획득
– 주권의 정도를 제한하는 제3자와 합의
소프트웨어
측면
– 스마트 패키징
– Software as an Appliance
– 소프트웨어 공급망 인식
– 제품 로드맵과 독립적으로 소프트웨어 또는 솔루션 운영 및 조율
– 소스 코드, 개발 프로세스, 업데이트 통제권 유지 및 플랫폼 공급자 간 전환
인프라/통신
측면
– 개방형 IaaS
하이브리드 클라우드
SDN
– 물리/논리적 액세스 제어 데이터 및 소프트웨어 계층 및 조직의 인프라 구축/운영 주관
– 인프라 및 통신에 개방형 표준 활용 기반 IT와 조직의 적응성과 탄력성, 생존성 극대화

(2) 소버린 클라우드의 구축 단계 별 절차/주요 활동

구축 단계세부 구축 절차주요 활동
사전 준비① 주권 정책 정의– 규정 평가, 이해관계자 확인
– 위험 및 주권 요구사항 정의
② 주권 확보 전략 수립– 클라우드 전송 범위, 거버넌스 정의
– 사이버 보안 전략 수립
③ 주권 확보 준비– 데이터/워크로드 구분, 정책 벤치마킹
– 데이터 분류, PoC 진행
구현④ 주권 아키텍처 수립– 인프라/통신 리뷰, 사이버보안 정책 배포
– 소버린 랜딩존 배포, E2E 운영 모델 구현
⑤ 클라우드 데이터 통제기밀 컴퓨팅 활용, 분류된 데이터 통제/연동
– E2E 암호화, 데이터 품질 관리 등 거버넌스 구현
운영⑥ 클라우드 주권 관리관측가능성(Observability) 활용, 데이터 주권 운영화
DevOps 등 XOps 단일화, 지속적 위험 모니터링
⑦ 주권 생태계 최적화– 사이버 보안 평가, 생태계 규정 준수 보장
– 비용 최적화, 규정 준수 자동화 적용
  • 소버린 클라우드는 특정 데이터센터 내에서만 구축 및 운영하는 프라이빗 클라우드와는 구분하고, 대국민 서비스 등 특정 국가 내에서 서비스하는 퍼블릭 클라우드로, 일반 퍼블릭 클라우드와는 데이터 접근/이동성 및 규제 준수 등에 차이점이 있음

 

3. 소버린 클라우드와 일반 퍼블릭 클라우드 비교

비교 항목소버린 클라우드일반 퍼블릭 클라우드
데이터 접근권현지 거주(시민권자)
또는 보안 허가자 한정
국가나 지역에 무관한
데이터 접근 가능
데이터 이동성국경 내 이동은 가능,
국경 넘는 이동 불가
국경에 관계없이
데이터 이동 가능
규제 준수특정 국가의 법률 및 규제를
엄격히 준수
일반적인 글로벌 규제 준수,
특정 국가 규제와는 무관
보안 요구사항해당 국가 보안 기준 준수 위해
추가 보안 조치 도입 필요
일반적인 표준 보안
기준 준수에만 초점
비용 구조지역 규정 준수 검사 및 솔루션 등
맞춤형 서비스 비용 발생 가능
규모의 경제를 활용하여
비용 효율성 제고 가능
  • 소버린 클라우드는 비용 증가나 데이터 접근성 저하, 클라우드 상호호환성 제약 등 한계점이 있지만, 국가별 데이터 보호 규정과 개인정보 보호 정책을 준수하면서 안전한 데이터 관리와 서비스 제공을 가능하게 하므로 지속적으로 더욱 중요한 역할을 수행할 것으로 예상

 

[참고]

  • 형사정책연구, 미국 CLOUD Act 통과와 역외 데이터 접근에 대한 시사점
  • Deloitte, Cloud Sovereignty White Paper
  • KakaoCloud blog, 소버린 클라우드(Sovereign Cloud)란

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^