유럽에서 미국의 주요 클라우드 서비스 제공업체인 구글 클라우드, 마이크로소프트 애저, 아마존 웹 서비스(AWS)에 대한 의존도를 줄이려는 움직임이 강화되고 있다.

이는 데이터 주권과 개인정보 보호에 대한 우려, 그리고 미국의 법률이 유럽 데이터에 미치는 영향 등에 기인한다. 유럽연합(EU)은 개인정보 보호를 강화하기 위해 일반 데이터 보호 규정(GDPR)을 도입하였으며, 이는 데이터의 국외 이전에 엄격한 제한을 두고 있다.

그러나 미국의 'CLOUD Act'와 같은 법률은 미국 정부가 해외에 저장된 데이터에도 접근할 수 있도록 허용하고 있어 유럽 내에서 미국 클라우드 서비스에 대한 우려를 증폭시키고 있다.

CLOUD Act는 2018년 미국에서 시행된 법률로, 미국 정부가 법원 명령을 통해 해외에 저장된 미국 클라우드 기업의 데이터에 접근할 수 있도록 규정하고 있다.

이로 인해 유럽의 개인정보가 미국 정부에 의해 접근될 가능성이 높아졌고, 이는 유럽의 개인정보 보호 및 데이터 주권에 심각한 위협으로 작용하고 있다.

특히 GDPR은 유럽 시민의 개인정보 보호를 강력하게 규정하고 있어, 미국 정부가 CLOUD Act를 통해 유럽 내 개인정보에 접근하는 것은 GDPR의 근본 원칙과 상충된다.

이에 따라 유럽 내 정부와 기업들은 자국의 데이터 주권을 확보하고 개인정보를 보호하기 위한 방안을 모색하고 있다.

이러한 우려를 해소하기 위해 유럽에서는 '소버린 클라우드' 개념이 부상하고 있다. 소버린 클라우드는 데이터의 저장과 처리가 특정 국가나 지역 내에서 이루어지도록 하여 외국 정부나 기업의 영향력을 최소화하는 것을 목표로 한다.

특히 프랑스와 독일은 미국 클라우드법의 역외 적용에서 자유로운 형태의 클라우드 서비스를 개발하기 위해 협력하고 있으며, 이는 유럽 내 클라우드 주권 확보를 위한 중요한 움직임으로 평가된다.

프랑스 정부는 이미 2021년 '클라우드 드 퐁스(Cloud de Confiance)' 정책을 통해 공공 데이터를 프랑스 내에서 처리하고 저장하도록 하는 클라우드 전략을 발표했다. 이를 통해 프랑스는 자국의 공공 데이터를 구글이나 마이크로소프트 같은 미국 기업의 인프라가 아니라, 프랑스 및 유럽 기업이 운영하는 클라우드 인프라에서 저장하고 처리하도록 하였다.

독일 역시 '가이아-X(Gaia-X)' 프로젝트를 통해 유럽 내에서의 데이터 주권 강화를 추진하고 있다. 가이아-X는 유럽 내 데이터 공유와 클라우드 서비스의 표준화를 목표로 하며, 유럽 내에서 데이터를 보호하고 처리하기 위한 독자적인 클라우드 인프라를 구축하고 있다. 독일 정부는 이를 통해 유럽 내에서 데이터가 안전하게 저장되고, 외국 정부나 기업이 이에 접근할 수 없도록 하는 것을 목표로 하고 있다.

이와 같은 유럽의 움직임에 대해 미국의 주요 클라우드 기업들도 대응에 나서고 있다. 마이크로소프트는 유럽연합 내에서 데이터를 보관하고 처리하는 서비스를 제공하겠다고 발표하였다.

이는 유럽의 데이터 보호 규정을 준수하려는 노력의 일환이다. 마이크로소프트는 'EU 데이터 바운더리(EU Data Boundary)' 정책을 통해 유럽 내에서 생성된 데이터를 유럽 내 데이터센터에서만 저장하고 처리하도록 보장하고 있다.

또한 구글 클라우드는 프랑스 정부의 클라우드 드 퐁스 인증을 받기 위해 프랑스의 IT 기업 탈레스(Thales)와 협력하고 있으며, 이를 통해 구글 클라우드의 인프라가 프랑스 내에서 운영되도록 하고 있다. 구글 클라우드는 또한 독일의 가이아-X 프로젝트에도 참여하고 있으며, 이를 통해 유럽 내 클라우드 표준화 및 보안 강화에 기여하고 있다.

AWS는 유럽 내 고객의 데이터를 유럽 내 데이터센터에서 저장하고 처리하도록 하는 옵션을 확대하고 있으며, 유럽 고객이 자국 내에서 데이터를 보관할 수 있도록 하는 기능도 강화하고 있다. 그러나 이러한 미국 클라우드 기업들의 대응이 유럽 정부와 기업의 우려를 완전히 해소하기에는 한계가 있다는 지적도 나온다. 결국 미국 기업이 운영하는 클라우드 인프라는 미국 법률의 적용을 받기 때문에, 궁극적으로 CLOUD Act 등의 법률에서 자유로울 수 없다는 점이 근본적인 문제로 남아 있다.

이에 따라 유럽 내에서는 미국 기업이 아닌 유럽 기업이 운영하는 독자적인 클라우드 인프라 구축을 추진하고 있다. 프랑스의 OVHcloud와 독일의 T-Systems 등 유럽의 클라우드 기업들은 소버린 클라우드의 요구에 부합하는 인프라를 제공하고 있으며, 유럽 정부의 공공 데이터 처리 계약을 확보하고 있다.

특히 OVHcloud는 유럽 내에서 GDPR을 완전히 준수하면서 데이터를 처리하는 서비스를 제공하고 있으며, 이는 프랑스 정부의 클라우드 드 퐁스 인증을 획득한 상태다. 독일의 T-Systems 역시 독일 내 공공 데이터를 독일 내에서만 저장하고 처리하도록 하는 인프라를 구축하고 있으며, 이를 통해 독일 정부의 클라우드 주권 정책에 적극적으로 대응하고 있다.

또한 유럽연합은 2023년 '유럽 클라우드 인증 프레임워크(European Cloud Certification Framework)'를 통해 유럽 내에서 운영되는 클라우드 서비스에 대한 보안 및 개인정보 보호 기준을 강화하고 있다. 이를 통해 유럽 내에서 운영되는 클라우드 서비스가 미국 법률의 영향을 받지 않고, GDPR에 완전히 부합하도록 하는 것이 목표다. 유럽연합은 이를 통해 유럽 내에서 클라우드 주권을 확보하고, 외국 정부나 기업의 간섭에서 자유로운 클라우드 환경을 구축하고자 하고 있다.

유럽에서 미국 클라우드 서비스에 대한 의존도를 줄이려는 움직임은 데이터 주권과 개인정보 보호에 대한 우려에서 비롯된 것으로, 유럽 내 자체적인 클라우드 인프라 구축과 소버린 클라우드 도입 등의 노력이 계속되고 있다. 유럽 정부와 기업들은 미국의 CLOUD Act와 같은 법률이 유럽 내 개인정보 보호 및 데이터 주권을 위협한다고 보고 있으며, 이를 해결하기 위해 유럽 내에서 독자적인 클라우드 인프라 구축을 강화하고 있다.

이는 글로벌 클라우드 시장의 지형을 재편하고, 각국의 데이터 정책과 산업 전략에 significant한 영향을 미칠 것으로 예상된다. 또한 미국의 주요 클라우드 기업들은 유럽 내 시장에서의 경쟁력을 유지하기 위해 유럽 내에서 데이터를 저장하고 처리하는 정책을 도입하고 있으며, 유럽의 데이터 보호 규정을 준수하려는 노력을 기울이고 있다.

그러나 미국의 CLOUD Act와 같은 법률이 존재하는 한, 미국 클라우드 기업의 유럽 내 데이터 주권 및 개인정보 보호 문제는 근본적으로 해결되기 어려울 것으로 보인다. 유럽의 클라우드 주권 강화 움직임은 향후 글로벌 클라우드 시장의 흐름에 중대한 변화를 가져올 것으로 예상되며, 이는 유럽뿐만 아니라 미국 및 다른 주요 국가들의 클라우드 정책에도 영향을 미칠 가능성이 크다.