EU, 공공 민감 데이터에 미국 클라우드 제한 검토 중

• EU가 공공 부문 민감 데이터에 미국 클라우드 사용 제한을 검토 중임

  • 유럽연합 집행위원회가 5월 27일 ‘기술 주권 패키지’를 발표할 예정임
  • 핵심은 EU 외부 기업의 클라우드 플랫폼에 민감한 공공 데이터가 노출되는 걸 제한하는 방향임
  • 미국을 포함한 제3국 클라우드 기업이 영향을 받을 수 있다는 설명이 나옴

• 다만 전면 금지는 아니고, 민감도에 따른 제한에 가까움

  • 해외 클라우드 기업을 정부 계약에서 완전히 배제하는 구상은 아니라고 함
  • 금융, 사법, 건강 데이터 처리에는 더 높은 수준의 주권 클라우드 인프라를 요구하는 방안이 논의 중임
  • 이번 논의는 민간 기업의 클라우드 이용에는 적용되지 않음

• 기술 주권 패키지에는 클라우드와 AI, 반도체 정책이 같이 들어갈 예정임

  • 클라우드 및 인공지능 개발법(CADA)이 포함될 예정임
  • 칩법 2.0도 함께 담길 것으로 보임
  • 둘 다 유럽 자체 솔루션과 제품 개발을 장려하는 쪽이 목표임

• 배경에는 미국 클라우드 의존도에 대한 EU의 불편함이 있음

  • 현재 EU 회원국 공공기관은 규정을 지키면 미국 기업 클라우드로 의료·금융 데이터 같은 민감 정보를 처리할 수 있음
  • 미국 클라우드 기업들은 해당 시장에서 강한 지위를 갖고 있음
  • 트럼프 행정부와의 긴장이 커지면서 EU 내부에서 의존도를 낮춰야 한다는 목소리도 커지는 중임

• 한국 개발팀도 남 얘기로만 보기 애매함

  • 유럽 공공, 금융, 헬스케어 프로젝트를 하는 회사라면 클라우드 벤더와 리전 전략이 바로 요구사항이 될 수 있음
  • 멀티 클라우드, 데이터 분류, 암호화 키 관리, 접근 감사 같은 설계를 초기부터 넣어야 할 가능성이 큼
  • “AWS나 애저 쓰면 되지”가 아니라 “이 데이터가 이 클라우드에 있어도 되는가”를 먼저 물어야 하는 분위기임

---

기술 맥락

• EU가 보려는 건 클라우드 성능이나 가격만이 아니에요. 공공기관의 금융, 사법, 건강 데이터가 어느 국가 법의 영향을 받는지까지 보는 거라서 데이터 주권 문제가 클라우드 아키텍처의 전제 조건이 되는 흐름이에요.

• 전면 배제가 아니라 민감도 기반 제한이라는 점도 중요해요. 모든 워크로드를 유럽 클라우드로 옮기자는 얘기가 아니라, 민감하거나 전략적인 데이터는 더 높은 수준의 주권 클라우드에서 처리해야 한다는 방향이거든요.

• 개발팀 입장에서는 데이터 분류가 먼저 필요해져요. 어떤 데이터가 일반 업무 데이터인지, 어떤 데이터가 건강·금융·사법처럼 민감 데이터인지 나뉘어야 리전, 암호화 키, 접근 제어, 로그 보존 정책을 제대로 설계할 수 있어요.

• CADA와 칩법 2.0이 같이 언급되는 이유는 클라우드가 단순 인프라 임대가 아니라 AI와 반도체까지 이어지는 전략 산업이기 때문이에요. 그래서 이번 논의는 특정 벤더 규제가 아니라 유럽이 디지털 인프라 통제권을 어디까지 가져갈지에 가까워요.