유럽연합 집행위원회는 수요일 엄격한 조달 기준을 제안할 예정이며, 이는 아마존, 마이크로소프트, 구글을 27개 회원국 전체의 민감한 정부 클라우드 계약에서 배제할 수 있다.
뒤로
EU 클라우드 규제, 아마존·구글의 시장 70% 접근 제한한다
유럽연합 집행위원회는 수요일 엄격한 조달 기준을 제안할 예정이며, 이는 아마존, 마이크로소프트, 구글을 27개 회원국 전체의 민감한 정부 클라우드 계약에서 배제할 수 있다.
로이터가 입수한 초안 문서에 따르면, 유럽연합 집행위원회는 수요일 엄격한 조달 기준을 제안할 예정이며, 이는 아마존, 마이크로소프트, 구글을 27개 회원국 전체의 민감한 정부 클라우드 계약에서 배제할 수 있다.
"기술적 주권이란 유럽이 사회와 경제가 의존하는 디지털 시스템을 자유롭게 설계하고, 이해하며, 다양한 국내 소스 중에서 선택하고, 구축하고, 운영하고, 효과적으로 규제할 수 있는 역량을 의미한다"고 13개 유럽 클라우드 업체 및 입법자들로 구성된 그룹은 로이터가 입수한 공개서한에서 밝혔다.
이번 제안은 집행위원회의 클라우드 및 AI 발전법(Cloud and AI Development Act)의 일부로, EU 내에서 개발된 소프트웨어 및 하드웨어 사용 요건을 포함한 의무적 비가격 심사 기준을 도입한다. 이 제한 조치는 재정, 사법 및 의료 데이터를 처리하는 공공 부문 워크로드(정부 정보 중 가장 민감한 범주)를 대상으로 한다. 민간 부문 기업은 규정에서 명시적으로 제외된다.
2018년 미국 CLOUD Act에 따른 미국 감시 우려에 의해 추진된 이 조치는 AWS, 마이크로소프트 애저, 구글 클라우드가 장악한 유럽 클라우드 시장의 약 70%에 위협이 된다. 이 법안은 향후 수개월 내 EU 회원국과 유럽의회의 승인이 필요하며, 북유럽 및 아일랜드(미국 클라우드 기업의 주요 거점)와 보다 엄격한 주권 요구를 주장하는 국가들 사이에 이미 내부 분열이 나타나고 있다.
미국 의회가 2018년 3월 통과시킨 CLOUD Act는 미국에 등록된 기업이 서버 위치와 관계없이 미국 정부의 데이터 요청을 준수해야 한다는 원칙을 확립함으로써 오랜 법적 분쟁을 해결했다. 법률 전문가들에 따르면, 어떤 계약상 데이터 보관 조항도 이 법적 의무를 무효화할 수 없다. 2020년 EU 사법재판소의 슈렘스 II(Schrems II) 판결은 계약이 외국 정부의 데이터 접근법을 무효화할 수 없다고 확립함으로써, 주권 추진을 위한 법적 기반을 마련했다.
집행위원회 발표의 시점은 이러한 논쟁을 더욱 부각시킨다. 해당 패키지가 발표되기 10일 전, 미국 사이버보안 및 인프라 보안국(CISA)의 한 계약업체가 6개월간 세 개의 AWS GovCloud 계정에 대한 관리자 자격 증명을 공개 GitHub 저장소에 방치했다. 이 저장소에는 수십 개의 내부 CISA 시스템에 대한 평문 비밀번호를 포함한 844MB의 데이터가 포함되어 있었다. CISA는 데이터 유출 증거는 발견되지 않았다고 밝혔지만, 이 사건은 미국 통제 인프라에 대한 의존에 내재된 절차적 위험을 여실히 보여주었다.
네덜란드 선례, 투자 심사 기준 제시
집행위원회 패키지 발표 하루 전, 네덜란드 정부는 국가 투자심사국(BTI) 산하에서 사상 최초의 인수 금지 조치를 내렸다. 빌레미인 아르츠(Willemijn Aerdts) 국무장관은 IBM에서 분사된 카인드릴(Kyndryl)이 수백만 네덜란드 시민이 정부 서비스, 의료 기록 및 세무 신고에 접근하기 위해 사용하는 국가 디지털 신원 시스템인 DigiD를 호스팅하는 네덜란드 클라우드 업체 솔비니티(Solvinity)를 인수하는 것을 차단했다. BTI는 솔비니티가 카인드릴 소유 하에 들어가면 신원 데이터가 CLOUD Act에 따라 강제 공개될 가능성에 노출된다고 결론 내렸다.
이제 집행위원회의 제안은 27개 회원국 모두를 거치는 입법 절차를 앞두고 있다. 가트너에 따르면 전 세계 주권 클라우드 지출은 2026년 800억 달러에 달할 것으로 전망되며, 유럽 지출은 2025년 69억 달러 기반에서 전년 대비 83% 성장할 것으로 예상된다. 유럽 현지 클라우드 업체는 시장의 약 15%를 점유하고 있어 상당한 역량 격차가 존재하며, 집행위원회의 타협안(엄격한 거버넌스 프레임워크 내에서 비유럽 기술을 허용하는 방안)은 이러한 격차를 메우기 위해 설계되었다.
집행위원회는 지난 4월 1억 8000만 유로 규모의 주권 클라우드 입찰을 4개 유럽 업체 그룹에 낙찰했으며, 여기에는 벨기에 통신사 Proximus가 주도하고 프랑스 방산업체 탈레스(Thales)가 지배 지분을 보유하며 구글 클라우드가 기반 기술을 제공하는 합작사 S3NS의 인프라를 사용하는 컨소시엄이 포함되었다. 이러한 포함 결정은 유럽 클라우드 업계 협회 CISPE의 비판을 받았으며, 사무총장 프란시스코 밍고란스(Francisco Mingorance)는 S3NS를 주권 업체로 인정한 것은 "명백한 자책골"이자 "최고 수준에서 주권 워싱(sovereignty washing)을 제도화할 위협"이라고 말했다.
본 문서는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않는다.
