데이터 주권법은 IT, 개인정보 보호, 규제 준수, 보안 분야의 리더들 사이에서 가장 큰 관심사가 되었습니다. 100여 개 국가에서 자국민의 개인정보 보호를 위한 법률을 제정했으며, 이는 바람직한 일입니다. 그러나 이 법률을 준수하는 것은 글로벌 기업에는 심각한 문제가 될 수 있습니다.
"데이터 주권"이라는 용어는 다양한 의미를 지닙니다. 이 용어는 흔히 그룹이나 개인이 자신의 데이터를 통제하고 관리할 수 있는 권리를 말합니다. 최 근에는 이 용어가 더 구체적으로 특정 국가와 같은 특정 지리적 위치에서 수집되거나 저장된 데이터는 해당 위치의 법률의 적용을 받아야 한다는 의미로 사용되고 있습니다. 사람들이 전자 상거래 웹 사이트에 신용카드 정보를 입력하든, 소셜 미디어 플랫폼에 댓글을 올리든, 데이터 주권 규칙은 이러한 사용자 데이터가 해당 사용자가 시민권자인 국가의 법적 프레임워크에 따라 규제되도록 보장하는 것을 목표로 합니다.
또한 많은 관할권에서 자체 국경 내에서 생성된 데이터를 다른 국가로 전송할 수 있는 조건을 규율하는 데이터 보호법을 제정했습니다. 예를 들어, EU의 일반 데이터 보호 규정(GDPR)에서는 특정 전송 메커니즘(예: 새로운 EU-미국 데이터 프라이버시 프레임워크)이 마련된 경우에만 다른 관할권으로 데이터를 국경을 넘어 전송할 수 있도록 허용합니다. 하지만 러시아와 같은 다른 관할권에서는 특정 상황에서 자국 내에서 생성된 데이터는 국경 내에 보관하도록 하는 데이터 현지화 법률을 제정했습니다.
지난 10년 동안 글로벌 기업에서 점점 더 많은 개인 데이터를 수집함에 따라 데이터 주권 및 데이터 현지화 법률을 제정해야 할 필요성이 크게 증가했습니다. 각국 정부는 자국민의 데이터가 외국 정부에 노출되는 것을 점점 더 우려하고 있습니다. 데이터를 보호하려는 정부는 적국이(때로는 동맹국까지도) 자국민에 대한 정보에 접근하거나 통제하는 것을 원치 않습니다.
틱톡 앱은 데이터 주권, 데이터 현지화, 데이터 프라이버시 문제를 대중의 주류 의식으로까지 끌어올렸습니다. 미국 의원들은 미국에 기반을 둔 수백만 명의 틱톡 사용자의 데이터에 중국 정부가 미국 정부도 모르게 액세스할 수 있다는 점을 우려해 왔습니다. 이들은 틱톡의 모회사인 ByteDance Ltd.가 중국에 본사를 두고 있고 중국 법률에서는 기업에게 데이터 제출을 요구할 수 있도록 규정하고 있기 때문에 우려하고 있습니다. 일부 의원들이 앱을 금지하겠다고 위협하자 ByteDance 측은 미국 내 고객 데이터를 미국 내에 저장하겠다고 약속해야 했습니다.
귀사는 전 세계에 걸쳐 10억 명 이상의 사용자를 보유한 틱톡과 같은 규모로 운영되고 있지 않을 수 있습니다. 하지만 데이터 주권법과 데이터 현지화 확대 요구는 여전히 비즈니스에 큰 영향을 미칠 수 있습니다.
데이터 주권은 글로벌 비즈니스를 운영하려는 모든 기업에 있어 심각한 문제입니다. 귀사는 프랑스에 기반을 두고 있지만, 캐나다와 아르헨티나에서 제품을 판매하기로 결정한 경우, 법적 의무, 업계 가이드라인, 인증 표준 등으로 인해 캐나다와 아르헨티나 고객 데이터를 각 국가에 보관하는 방법을 찾아야 할 수 있습니다.
사업 규모를 확장할수록 더 많은 데이터 주권 요구 사항에 직면하게 될 가능성이 높습니다. 특정 관할권에서 데이터를 처리하고 저장하는 방법을 찾아야 하거나, 국경을 넘는 데이터 전송을 위해 상당한 거래 비용을 부담해야 할 수도 있습니다.
이러한 문제는 특히 중소 기업의 경우 해결하기가 어렵습니다. 예를 들어, 스타트업의 경우 비즈니스를 진행하려는 각국에 고객 데이터를 보관할 리소스가 없을 수 있습니다. 데이터 현지화가 필요하지만, 전 세계 여러 국가에 데이터 저장소를 구축할 여력이 없는 경우, 스타트업의 리더는 글로벌 확장에 대해 어려운 결정을 내려야 할 수도 있습니다.
글로벌 기업에서는 데이터 전송 및 현지화 요건을 충족하는 방법을 고민해야 할 뿐만 아니라 데이터 주권 및 데이터 현지화가 데이터 기반 의사 결정에 초래할 수 있는 문제도 파악해야 합니다. 중요한 비즈니스 의사 결정을 내리기 위해 집계된 데이터를 분석하고 싶을 수 있습니다. 하지만 데이터가 여러 국가에 분산되어 있는 경우 데이터를 쉽게 중앙 집중화하여 종합적인 분석을 수행하지 못할 수 있습니다.
저는 이전에 글로벌 대기업의 CISO로 근무하면서 이 문제를 겪었습니다. 우리 회사는 수십 개 국가에서 사업을 하고 있었고, 규제 준수를 유지하기 위해 많은 국가의 데이터를 보관해야 했습니다. 하지만 동시에 사기 및 자금 세탁에 대한 의사 결정을 내려야 했는데, 여기에는 데이터에 대한 종합적인 시각이 필요했습니다.
데이터 주권법을 준수하면서 데이터 집계를 가능하게 하기 위해 저희는 데이터 액세스에 관한 규칙을 개발하고 데이터 저장 및 액세스에 관한 규칙을 준수할 수 있도록 제어 환경을 구축했습니다. 저희는 이를 '데이터 비자' 거버넌스 프로그램이라고 불렀습니다. 저희는 24시간 연중무휴 모니터링을 통해 보안, 액세스, 데이터에 대한 엄격한 통제 체계를 구축하여 보안 침해가 발생하지 않도록 했습니다. 이는 마치 정부의 기밀 네트워크나 고위 수준 네트워크처럼 데이터가 외부로 유출될 수 없는 고도로 보안이 강화된 네트워크였습니다. 그런 다음 해당 프로그램을 국가 규제 당국에 가져가서 그러한 접근 방식이 비즈니스를 유지하는 데 얼마나 중요한지 설명했습니다. 저희는 데이터 관리에 대한 이러한 접근 방식을 추진하는 데 필요한 정부 승인을 받았습니다. 하지만 대부분의 중소기업에는 정부에 영향력을 행사하거나 혁신적인 데이터 거버넌스 프로그램을 자체적으로 개발할 능력이 없습니다.
글로벌 기업에서 여러 국가에 자체 데이터 센터를 설립하지 않고 어떻게 데이터 주권 및 데이터 현지화 요건을 준수할 수 있을까요? 클라우드가 확연한 답처럼 보일 수 있습니다. 하지만 일반적인 퍼블릭 클라우드 공급자를 넘어서는 업체를 찾아야 합니다. 이러한 기업은 데이터를 저장하는 중앙 집중식 모델을 기반으로 구축되었습니다. 많은 클라우드 공급자가 전 세계에 걸쳐 여러 지역에 데이터 센터를 보유하고 있지만, 해당 공급자가 비즈니스를 수행하는 모든 지역에 데이터 센터를 보유하고 있지는 않을 수 있습니다.
데이터 주권 및 데이터 현지화 요건을 충족하려면 고객이 있는 모든 곳에서 데이터를 저장하고 처리할 수 있는 기술 기업과 협력하는 것이 중요합니다. 또한 제어 환경이 데이터 주권의 법적 의무에 부합하도록 데이터 저장, 데이터 해독, 암호화 키 저장, 데이터 검사 수행, 로그 유지 관리 위치를 선택할 수 있는 유연성이 필요합니다.
법적 의무를 어떤 시각으로 보는지에 따라 특정 관할권에 데이터를 저장해야 하지만, 해당 관할권 밖에서 분석을 위해 데이터를 집계할 수 있을 수도 있습니다. 동시에, 제3의 관할권에서는 데이터에 절대 액세스할 수 없다는 법적 의무가 있을 수 있습니다. 이러한 복잡한 법적 의무를 고려할 때, 해당 데이터에 대한 액세스 제어를 설정하는 방법도 고려해야 합니다.
데이터 주권 및 데이터 현지화 법률을 준수하려면 앱의 구축 방식과 실행 위치에 대해 다시 생각해야 할 수도 있습니다. 예를 들어 서버리스 앱을 구축하여 특정 지역에서 실행하면 앱에서 사용하는 데이터가 적절한 위치에 유지되도록 하는 데 도움이 될 수 있습니다. 이 접근 방식을 사용하면 앱이 사용자가 있는 장소와 물리적으로 더 가까운 곳에서 실행되므로 사용자 경험이 개선될 수도 있습니다.
모든 데이터 저장소에 걸쳐 일관된 보안 정책을 수립하는 것도 중요합니다. 일관성을 유지하면 전역 네트워크에 취약한 연결 고리가 생기지 않으며, 여러 도구로 수많은 서로 다른 환경 을 관리하는 복잡성을 피할 수 있습니다.
아직 데이터 주권에 대해 생각해 보지 않았다면 이제 계획을 세우기 시작해야 할 때입니다. 가까운 미래에 특정 지리적 경계 내에서 데이터를 저장하고 처리하도록 요구하는 법률이 점점 더 많아질 것입니다. 귀사가 전 세계로 사업을 확장하는 경우, 이미 여러 가지 데이터 주권 및 데이터 현지화 요건이 적용되고 있을 수 있습니다.
좋은 소식은 데이터 주권 및 데이터 현지화 요건을 준수하기 위해 데이터 센터를 새로 설립하거나 확장 계획을 축소할 필요가 없다는 점입니다. 올바른 전략을 세우면 과도한 비용이나 복잡성을 추가하지 않고도 비즈니스를 수행하는 각 국가에서 데이터를 안전하게 저장하고 처리할 수 있으며, 중앙에서 해당 데이터에 액세스하여 분석하고 의사 결정을 할 수 있습니다.
Cloudflare Data Localization Suite를 통해 기업이 데이터 주권 및 데이터 현지화 규정을 준수하는 데 Cloudflare에서 도움을 주는 방법을 알아보세요.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
Grant Bourzikas — @grantbourzikas
최고 보안 책임자, Cloudflare
이 글을 읽고 나면 다음을 이해할 수 있습니다.
글로벌 기업이 데이터 주권 때문에 직면한 도전 과제
비즈니스를 제약하지 않으면서 법률을 준수하는 방법
데이터 주권을 간소화하기 위해 기술 파트너에게 의존해야 할 사항