1. 클라우드 주권, 소버린 클라우드 (Sovereign Cloud)
(1) 소버린 클라우드의 부각 배경/필요성
(2) 소버린 클라우드의 개념/특징
| 개념 | 특징 |
|---|---|
| 데이터의 소유 및 통제권 확보 위해 국가 및 특정 지역의 법률과 규정을 준수하는 클라우드 컴퓨팅 아키텍처 | – 특정 국가 법률과 규정 준수로 데이터 통제권 확보 – 암호화, 접근 제어 등 특정 국가 보안 기준 준수 – 컴플라이언스, 데이터 처리 프로세스 맞춤 서비스 – Data Privacy 보장, 외국 기술/인프라 의존성 감소 |
- 소버린 클라우드는 2018년 제정된 미국 정부의 Cloud Act법 등 데이터 주권 확보의 필요성으로 인해 유럽을 중심으로 여러 국가에서 도입/검토중
- 클라우드 데이터 주권 확보를 위해 운영, 데이터, 소프트웨어, 인프라/통신 측면의 소버린 클라우드 기술을 적용하여 단계적 구축/운영 필요
2. 소버린 클라우드 기술 요소 및 구축 단계/주요 활동
(1) 소버린 클라우드 기술 요소
| 구분 | 기술 요소 | 역할 |
|---|---|---|
| 운영 측면 | – 퍼블릭 클라우드 – 클라우드 탄력성 – 소버린 랜딩존 | – 공급자 운영에 대한 가시성 및 제어 – IT 서비스와 기본 구성을 모니터링 및 제어 – 데이터에 대한 무단 액세스를 방지 |
| 데이터 측면 | – 데이터암호화(BYOK,HYOK) – 보안 오브젝트 스토리지 – 단일 테넌트 데이터 유연성 – 기밀 컴퓨팅 | – 데이터 저장 위치/방식, 보호 및 처리 방법, 데이터 액세스 권한 등 데이터에 대한 통제 – 데이터 소유자는 완전한 데이터 주권 획득 – 주권의 정도를 제한하는 제3자와 합의 |
| 소프트웨어 측면 | – 스마트 패키징 – Software as an Appliance – 소프트웨어 공급망 인식 | – 제품 로드맵과 독립적으로 소프트웨어 또는 솔루션 운영 및 조율 – 소스 코드, 개발 프로세스, 업데이트 통제권 유지 및 플랫폼 공급자 간 전환 |
| 인프라/통신 측면 | – 개방형 IaaS – 하이브리드 클라우드 – SDN | – 물리/논리적 액세스 제어 데이터 및 소프트웨어 계층 및 조직의 인프라 구축/운영 주관 – 인프라 및 통신에 개방형 표준 활용 기반 IT와 조직의 적응성과 탄력성, 생존성 극대화 |
(2) 소버린 클라우드의 구축 단계 별 절차/주요 활동
| 구축 단계 | 세부 구축 절차 | 주요 활동 |
|---|---|---|
| 사전 준비 | ① 주권 정책 정의 | – 규정 평가, 이해관계자 확인 – 위험 및 주권 요구사항 정의 |
| ② 주권 확보 전략 수립 | – 클라우드 전송 범위, 거버넌스 정의 – 사이버 보안 전략 수립 | |
| ③ 주권 확보 준비 | – 데이터/워크로드 구분, 정책 벤치마킹 – 데이터 분류, PoC 진행 | |
| 구현 | ④ 주권 아키텍처 수립 | – 인프라/통신 리뷰, 사이버보안 정책 배포 – 소버린 랜딩존 배포, E2E 운영 모델 구현 |
| ⑤ 클라우드 데이터 통제 | – 기밀 컴퓨팅 활용, 분류된 데이터 통제/연동 – E2E 암호화, 데이터 품질 관리 등 거버넌스 구현 | |
| 운영 | ⑥ 클라우드 주권 관리 | – 관측가능성(Observability) 활용, 데이터 주권 운영화 – DevOps 등 XOps 단일화, 지속적 위험 모니터링 |
| ⑦ 주권 생태계 최적화 | – 사이버 보안 평가, 생태계 규정 준수 보장 – 비용 최적화, 규정 준수 자동화 적용 |
- 소버린 클라우드는 특정 데이터센터 내에서만 구축 및 운영하는 프라이빗 클라우드와는 구분하고, 대국민 서비스 등 특정 국가 내에서 서비스하는 퍼블릭 클라우드로, 일반 퍼블릭 클라우드와는 데이터 접근/이동성 및 규제 준수 등에 차이점이 있음
3. 소버린 클라우드와 일반 퍼블릭 클라우드 비교
| 비교 항목 | 소버린 클라우드 | 일반 퍼블릭 클라우드 |
|---|---|---|
| 데이터 접근권 | 현지 거주(시민권자) 또는 보안 허가자 한정 | 국가나 지역에 무관한 데이터 접근 가능 |
| 데이터 이동성 | 국경 내 이동은 가능, 국경 넘는 이동 불가 | 국경에 관계없이 데이터 이동 가능 |
| 규제 준수 | 특정 국가의 법률 및 규제를 엄격히 준수 | 일반적인 글로벌 규제 준수, 특정 국가 규제와는 무관 |
| 보안 요구사항 | 해당 국가 보안 기준 준수 위해 추가 보안 조치 도입 필요 | 일반적인 표준 보안 기준 준수에만 초점 |
| 비용 구조 | 지역 규정 준수 검사 및 솔루션 등 맞춤형 서비스 비용 발생 가능 | 규모의 경제를 활용하여 비용 효율성 제고 가능 |
- 소버린 클라우드는 비용 증가나 데이터 접근성 저하, 클라우드 상호호환성 제약 등 한계점이 있지만, 국가별 데이터 보호 규정과 개인정보 보호 정책을 준수하면서 안전한 데이터 관리와 서비스 제공을 가능하게 하므로 지속적으로 더욱 중요한 역할을 수행할 것으로 예상
[참고]
- 형사정책연구, 미국 CLOUD Act 통과와 역외 데이터 접근에 대한 시사점
- Deloitte, Cloud Sovereignty White Paper
- KakaoCloud blog, 소버린 클라우드(Sovereign Cloud)란