--- title: "미국, 반도체 다음은 클라우드 통제…GPU 빌려 쓰는 AI 학습도 감시하나" published: 2026-06-29T13:05:04.483Z canonical: https://jeff.news/article/4405 --- # 미국, 반도체 다음은 클라우드 통제…GPU 빌려 쓰는 AI 학습도 감시하나 미국 의회에서 적성국 연계 고객의 수상한 AI 연산 이용을 클라우드 업체가 상무부에 신고할 수 있도록 하는 클라우드 보안법이 발의됐다. 엔비디아 GPU 수출을 막아도 미국 데이터센터의 GPU를 인터넷으로 빌려 쓰면 통제를 우회할 수 있다는 문제의식에서 나온 흐름이다. ## 클라우드 계정이 새 수출 통제선이 됨 - 미국의 대중국 첨단 반도체 통제가 이제 클라우드까지 번지는 중임 - 중국 기업이 엔비디아 고성능 GPU를 직접 사지 못해도, 미국 데이터센터에 있는 GPU를 인터넷으로 빌려 쓰면 비슷한 연산 능력을 확보할 수 있음 - 칩 이동은 항구와 세관에서 막을 수 있지만, 클라우드 연산 능력은 계정 하나로 국경을 넘어감 - 미국 하원에서는 초당적 클라우드 보안법이 발의됨 - 민주당 조시 고트하이머 의원과 공화당 존 물레나 미·중전략경쟁특위 위원장이 6월 26일 발의함 - 미국 클라우드 업체가 적성국과 연계된 고객의 수상한 AI 연산 이용을 발견하면 상무부에 자발적으로 신고할 수 있게 법적 근거를 만드는 내용임 - 중국 고객의 클라우드 이용을 당장 전면 금지하는 법안은 아니고, 아직 의회 심의 전 단계임 > [!IMPORTANT] > 포인트는 금지가 아니라 신고와 신원 확인의 제도화임. 하지만 이게 굴러가기 시작하면 클라우드 GPU 사용도 금융권 KYC처럼 고객·실소유자·최종 용도를 묻는 방향으로 갈 수 있음. - 대상은 사실상 미국 빅클라우드임 - 아마존웹서비스, 마이크로소프트 애저, 구글 클라우드 같은 대형 사업자가 직접 영향권에 들어감 - 제3국 법인, 해외 재판매업체, GPU 중개업체를 끼면 계약상 고객과 실제 최종 사용자가 달라질 수 있어 추적이 어려움 ## 클라우드판 KYC가 오는 중 - 미국 정부는 이미 클라우드 고객 확인 제도 마련에 움직이고 있음 - 상무부는 2024년 미국 서비스형 인프라 사업자와 해외 재판매업체가 외국 고객 신원과 실소유자를 확인하도록 하는 방안을 제안함 - 은행이 계좌를 열 때 고객 신원을 확인하는 KYC를 클라우드에도 적용하겠다는 취지임 - 산업안보국도 고객의 사업 내용과 최종 용도를 보라고 권고함 - 고객 본사, 최종 모회사, 장비의 최종 용도를 확인하라는 내용임 - 중국 등 우려 국가 기업의 군사·정보 활동이나 대량살상무기 개발을 위한 AI 모델 학습을 지원하면 허가나 제재 대상이 될 수 있다고 경고함 - 클라우드 업체 역할도 단순 인프라 임대에서 심사자로 바뀔 수 있음 - 설립된 지 얼마 안 된 회사가 사업 규모에 맞지 않게 수천 개 GPU를 요구하는 경우가 심사 대상이 될 수 있음 - 결제 지역과 접속 지역이 반복해서 바뀌는 패턴도 의심 신호가 될 수 있음 ## 한국 기업도 남 일 아님 - AI 연산의 최종 용도를 정확히 판단하는 건 현실적으로 어렵음 - 같은 GPU가 신약 개발, 자율주행 연구, 군사용 영상 분석, 사이버 공격 모델 개발에 모두 쓰일 수 있음 - 가상 사설망, 차명 계정, 해외 자회사를 쓰면 실제 접속자의 국적과 소속 확인도 까다로움 - 규제가 강해지면 정상 기업도 자료 요구를 받을 수 있음 - 한국 AI 스타트업이나 연구기관이 미국계 클라우드에서 GPU를 빌려 쓰더라도, 해외 자회사나 공동 연구기관, 실제 사용자가 규제 대상 국가와 연결돼 있으면 계정 이용 제한이나 추가 소명이 생길 수 있음 - 미국산 GPU로 서비스를 제공하는 국내 클라우드 업체도 고객 신원과 최종 용도 확인 요구를 계약으로 떠안을 가능성이 있음 - 시장 구조도 대형 클라우드 쪽으로 더 쏠릴 수 있음 - 복잡한 고객 심사와 정부 신고 체계를 감당할 수 있는 곳은 결국 대형 업체임 - 중소 클라우드 업체나 GPU 중개업체는 규제 비용 부담이 커질 수 있음 - 반대로 각국이 자체 데이터센터와 소버린 클라우드 구축에 더 속도를 낼 명분도 생김 --- ## 기술 맥락 - 이번 흐름의 핵심은 수출 통제 대상이 물리적인 GPU에서 클라우드로 제공되는 연산 능력까지 확장된다는 점이에요. 칩은 미국 데이터센터 안에 있어도, 그 칩이 만든 학습 결과와 모델은 네트워크를 통해 어디서든 쓸 수 있거든요. - 그래서 미국은 클라우드 업체에게 고객 확인 책임을 일부 넘기려는 쪽으로 가고 있어요. 고객이 누구인지, 실소유자가 누구인지, 수천 개 GPU를 왜 쓰는지 모르면 반도체 수출 통제가 쉽게 우회될 수 있기 때문이에요. - 문제는 이게 기술적으로 깔끔하게 판별되는 영역이 아니라는 거예요. 같은 대규모 학습 작업도 의료 연구일 수도 있고 군사용 분석일 수도 있어서, 클라우드 사업자는 접속 지역·결제 정보·법인 구조·사용량 패턴 같은 간접 신호를 조합해야 해요. - 한국 기업은 미국계 클라우드를 쓰는 순간 이 운영 기준의 영향을 받을 수 있어요. 특히 해외 공동 연구, 글로벌 자회사, 외국인 연구원 계정이 섞인 AI 프로젝트라면 조달 단계에서부터 사용 주체와 데이터 흐름을 설명할 수 있게 정리해두는 게 중요해요. ## 핵심 포인트 - 클라우드 보안법은 중국 고객의 이용을 즉시 금지하는 법이 아니라 의심 행위 자발 신고의 법적 근거를 만드는 법안임 - 적용 대상은 아마존웹서비스, 마이크로소프트 애저, 구글 클라우드 같은 미국 대형 클라우드 업체임 - 미국은 서비스형 인프라 사업자와 해외 재판매업체에 외국 고객 신원과 실소유자 확인을 요구하는 방향도 검토 중임 - 한국 AI 스타트업과 연구기관도 해외 자회사나 공동 연구기관 연결 때문에 추가 자료 요구를 받을 수 있음 ## 인사이트 GPU 수출 통제가 물리적 칩에서 클라우드 계정과 사용 목적 심사로 넘어가고 있음. 한국 기업도 미국계 클라우드에서 대규모 AI 학습을 돌린다면 조달·법무·보안팀이 같이 봐야 하는 이슈가 될 가능성이 크다.