MS CEO 사티아 나델라는 최근 암스테르담에서 열린 ‘마이크로소프트 AI 투어’에서 유럽 고객의 데이터 보호 우려를 해소하기 위해 노력하고 있다고 밝혔다. 동시에, 유럽 전역의 기업들이 디지털 주권을 확보할 수 있도록 추가 기능을 발표했다. MS는 성명을 통해 “개인과 기관이 독립적이고, 안전하며, 자율적으로 일할 수 있도록 하는 디지털 주권 모델에 전념하고 있다”라고 설명했다.
MS에 따르면, 발표된 새로운 기능은 퍼블릭 클라우드를 이용하는 모든 유럽 조직의 주권을 확장하는 동시에, 소버린 프라이빗 클라우드 환경에서 MS 서비스를 운영할 수 있는 새로운 옵션을 제공한다. 소버린 클라우드(Microsoft Sovereign Cloud)가 생산성, 보안, 클라우드 솔루션을 통합해 유럽 기업들이 더 많은 통제권을 갖도록 지원한다고 MS는 설명했다.
MS는 다음과 같은 방식을 통해 유럽 고객에게 더 많은 주권과 통제권을 제공할 방침이다.
- 소버린 퍼블릭 클라우드(Sovereign Public Cloud)는 MS가 운영하는 유럽 내 모든 데이터센터 지역의 고객에게 제공된다. 여기에는 애저(Azure), M365(Microsoft 365), 시큐리티(Microsoft Security), 파워 플랫폼(Power Platform) 등의 엔터프라이즈 서비스가 포함된다. 소버린 퍼블릭 클라우드에서 고객 데이터는 유럽 내에만 저장되고 유럽 법의 적용을 받으며, 클라우드 운영과 접근 권한 역시 유럽 거주 인력만이 담당한다고 MS는 설명했다. 또한 ‘데이터 가디언(Data Guardian)’ 기능은 유럽에 거주하는 MS 직원만이 이러한 시스템에 대한 원격 접근을 제어할 수 있도록 보장한다. 고객은 MS 클라우드에 저장된 데이터의 암호화 역시 전적으로 제어할 수 있다.
- 소버린 프라이빗 클라우드(Sovereign Private Cloud)는 한 걸음 더 나아간다. 고객은 애저 로컬(Azure Local)을 통해 주요 협업 및 커뮤니케이션 워크로드를 실행할 수 있다. 이는 M365 로컬과 MS의 생산성 서버 소프트웨어 같은 솔루션을 결합한 구성으로, 고객의 자체 데이터 센터 내에서 완전히 실행될 수 있는 환경을 제공한다.
- MS는 파트너십 강화에도 주력하고 있으며, 프랑스의 블루(Bleu), 독일의 델로스(Delos Cloud)와 같은 국가 단위 파트너 클라우드와 협력할 계획이다. 이런 협력 체계를 바탕으로 기업은 독립적으로 운영되는 환경에서 M365와 애저(Microsoft Azure)의 기능을 사용할 수 있게 된다.
외부 키 관리(External Key Management) 측면에서는 독일의 울티마코(Utimaco)와 협력하고 있다. MS와 울티마코의 공동 솔루션에는 애저 관리형 하드웨어 보안 모듈(HSM) 기반의 암호화 기능이 있다. MS에 따르면 이 솔루션을 통해 기업은 데이터를 암호화된 상태로 클라우드에 저장할 수 있으며, 필요한 암호화 키를 직접 생성·관리하거나 지역 파트너를 통해 안전하게 보관할 수 있다.
MS는 울티마코의 ESKM(Enterprise Secure Key Manager) 같은 외부 키 관리자를 통해 유럽 고객이 최고 수준의 FIPS 표준에 따라 키를 생성할 수 있다고 설명했다. 이러한 키는 통합형 HSM을 통해 보호되며, 온프레미스 어플라이언스 형태로도, 서비스형(as-a-service) 모델로도 제공될 수 있다.
트럼프 행정 명령 준수해야 하는 MS
마이크로소프트는 최근 국제형사재판소(ICC)의 수석 검사인 카림 칸의 이메일 계정을 차단했다는 의혹으로 도마에 올랐다. 이 조치는 도널드 트럼프 미국 대통령의 행정 명령에 따른 제재 조치 때문이었다. 트럼프는 칸을 재정적으로, 물질적으로, 기술적으로 지원하는 모든 사람에게 처벌을 경고한 바 있다. MS 사장 브래드 스미스는 이후 칸의 계정을 해지한 적이 없다고 부인했지만, 회사 대변인은 해당 계정의 연결이 끊겼다는 점을 인정했다.
이 사건은 특히 독일 내 디지털 주권 논의에 불을 지폈다. 독일과 유럽의 많은 기업이 AWS, 구글 클라우드 플랫폼(GCP), 애저 등 미국계 클라우드상에서 자사 시스템과 데이터가 안전한지에 의문을 제기하고 있다.
이런 우려는 미국 클라우드 제공업체들이 유럽 내 사업 이해관계에 대해 긴장감을 느낄 만한 이유가 되고 있다. 이에 대응해 벤더들은 기술적 및 조직적으로 기존 퍼블릭 클라우드와 독립된, 그들의 주장에 따르면 ‘주권적’인 인프라를 구축하고 있다. 예를 들어 AWS는 이달 초 ‘AWS 유럽 소버린 클라우드’를 위해 독립적인 유럽 거버넌스 구조를 마련했다. 여기에는 전용 보안운영센터(Security Operations Center) 설립과 새로운 모회사 설립 계획이 포함돼 있다. AWS는 유럽연합(EU) 회원국 시민이 이를 운영하며, 현지 법률의 적용을 받게 된다고 밝혔다.
디지털 주권은 보여주기식일 뿐인가?
분석 기업 애이비스페이더(Avispador)의 애널리스트 악셀 오퍼만은 미국 기업들의 조치에 비판적인 입장을 보였다. 그는 MS의 주권 약속이 ‘환상’에 불과하다고 지적했다. 링크드인 게시글에서 오퍼만은 “주권은 실제 내용이 아니라 겉으로만 그럴싸해 보이도록 포장된 것일 뿐이며, 그 규칙마저도 MS가 정의하고 있다”라고 주장하면서, “서버 위치가 바뀌더라도 MS는 여전히 코드베이스와 업데이트 주기, 핵심 기술 메커니즘을 통제하고 있다”라고 지적했다.
이어 오퍼만은 “주권은 보장되는 것이 아니라 연출되는 것”이라고 비판했다. 그에 따르면 진짜 변화는 ‘주권’이라는 개념 자체의 의미가 달라지고 있다는 점에 있다. 오퍼만은 “MS는 자사의 인프라 장악력과 법적 정교함을 바탕으로 ‘주권’을 컴플라이언스 상품으로 바꾸고 있다”라고 분석했다. 그는 “고객에게 ‘선택의 자유’를 주는 것처럼 보이지만, 실질적인 효과는 복잡성을 제거해 고객 충성도를 확보하는 것”이라고 말했다.
오퍼만은 MS가 구조적인 양보는 최소화하면서도 자사의 시장 지배력을 더욱 공고히 하고 있다고 지적하면서, “유럽의 디지털 주권 논의는 무시되는 것이 아니라, 오히려 흡수되고 재구성되며, 경쟁 대안을 사전에 무력화하는 구조로 변형되고 있다”라고 언급했다. 그는 MS를 선택하는 기업들이 단순히 기술을 선택하는 것이 아니라, 자율적으로 운영할 수 있는 인프라에서 점차 멀어지는 방향을 택하고 있을 수 있다고 말했다.
dl-ciokorea@foundryco.com
Read More from This Article: 마이크로소프트의 소버린 클라우드, ‘주권’을 얼마나 보장할까?
Source: News