데이터 주권이란 무엇인가요?

데이터 레지던시라고도 하는 데이터 주권은 데이터의 저장, 처리 및 전송을 다루는 기업의 법률, 개인 정보 보호, 보안 및 거버넌스 전략의 핵심 부분으로 빠르게 자리잡고 있습니다. 조직은 데이터 주권의 핵심 구성 요소인 데이터 관리 및 국제 데이터 흐름에 대한 강력한 접근 방식을 통해 가장 민감한 정보를 사이버 공격 및 기타 위협으로부터 보호할 수 있습니다. 

데이터 주권, 레지던시 및 현지화는 모두 밀접하게 관련된 용어입니다. 실제로 데이터 주권과 레지던시는 매우 밀접하게 관련되어 있어 때때로 같은 의미로 사용되기도 합니다. 그러나 디지털 혁신 여정의 일환으로 클라우드 컴퓨팅 기능을 사용하려는 조직이라면 몇 가지 주요 차이점을 이해해야 합니다.

데이터 주권: 데이터가 생성된 국가에서 저장 및 처리되는 데이터입니다.

데이터 레지던시: 데이터가 생성된 국가와 다른 국가에 저장되는 데이터입니다.

데이터 현지화: 데이터 레지던시와 관련된 모든 해당 법률 및 요구 사항을 준수하는 행위입니다.

데이터 주권, 레지던시 및 현지화는 모두 소버린 클라우드로 알려진 개념의 중요한 부분으로, 조직이 고객 데이터를 수집, 처리 및 저장하는 특정 지역 및 국가의 개인정보 보호법을 준수할 수 있도록 지원하는 클라우드 컴퓨팅 유형입니다.

클라우드 스토리지가 전 세계로 계속 확산됨에 따라 국경과 같은 기존의 지리적 경계는 민감한 데이터를 보호하기에 충분하지 않습니다. 또한 신속하고 안전한 데이터 접근에 의존하는 인공 지능(AI) 및 머신 러닝(ML)과 같은 데이터 집약적인 기술의 부상으로 인해 기업은 클라우드 보안과 관련해 보다 전략적인 결정을 내려야 합니다. AI, 특히 생성형 AI는 가치 있는 비즈니스 혁신을 촉진할 수 있는 잠재력을 가지고 있지만, 빠르고 안전한 클라우드 인프라 없이는 이를 시작할 수 없습니다.

데이터 주권, 운영 주권, 디지털 주권을 포함하는 개념인 소버린 클라우드에 대해 알아보세요. 소버린 클라우드 프레임워크는 기업이 사업을 운영하는 지역의 데이터 컬렉션, 데이터 스토리지 및 데이터 개인정보 보호법을 준수하면서 고객 신뢰를 구축하고 비즈니스를 성장시키는 데 도움이 됩니다.

데이터 주권의 중요성은 많은 조직의 전반적인 성장 전략에서 클라우드 컴퓨팅 환경의 중요성이 증가하는 것과 밀접한 관련이 있습니다.

점점 더 많은 기업 애플리케이션이 클라우드로 이동함에 따라 클라우드 환경은 공장, 사무실 건물 또는 귀중한 IP만큼 회사의 건강에 중요한 필수 인프라가 되고 있습니다.

데이터 주권 요건은 일반적으로 특정 국가 또는 지역의 데이터 프라이버시 규정을 중심으로 형성됩니다. 지역 법률을 준수하려는 조직이 주로 고려하는 핵심 사항에는 사이버 보안, 데이터 보안 및 프라이버시, 데이터 유출과 악성 소프트웨어로부터 민감한 데이터를 보호하는 것, 그리고 어떤 개인, 조직, 애플리케이션이 데이터에 액세스할 수 있는지를 통제하는 것이 포함됩니다.

예를 들어, 유럽연합(EU)은 일반 데이터 보호 규정(GDPR)을 통해 EU 영토 내에서 운영되고 EU 시민의 데이터를 다루는 기업은 데이터 보호 책임자(DPO)를 고용하여 조직이 생성, 처리 및 저장하는 데이터의 기밀성, 무결성 및 접근성을 엄격하게 유지하도록 요구하고 있습니다.

데이터 주권은 데이터가 생성된 지역 또는 국가를 규율하는 특정 법률 및 규정에 따라 결정됩니다. 

이러한 법률은 지역마다 다르지만 일반적으로 국가가 데이터에 대한 '주권'을 가지고 있다고 할 때, 이는 해당 데이터의 사용 방법과 데이터에 액세스할 수 있는 사람에 대한 관할 구역과 권한을 갖는다는 의미입니다. 그러나 데이터는 두 개 이상의 국가 법률(데이터 레지던시 및 데이터 현지화)의 적용을 받는 경우가 많으며 데이터의 관리, 저장 및 처리는 더욱 복잡해집니다.

데이터가 한 국가 또는 지역에서 생성되었지만 다른 곳에서 저장 및/또는 처리되는 경우, 데이터를 담당하는 조직은 두 위치 모두에서 데이터 세트를 처리하기 위한 모든 법적 요구 사항을 준수하는지 확인해야 합니다. 예를 들어, 기업은 하나 또는 여러 지역에서 규정을 준수하고 잠재적인 충돌을 피하기 위해 특정 데이터 보호 계약을 생성하거나 구체적인 데이터 전송 프로토콜을 설계 및 구현해야 할 수 있습니다. 또한 여러 지역 또는 국가에서 데이터를 저장하고 처리하는 조직은 관련 데이터 보호법, 국경 간 제한 또는 데이터 개인정보 보호 및 무결성을 유지하는 데 필요한 기타 문제에 대해 잘 알고 있어야 합니다.

데이터 주권에 대한 조직의 접근 방식이 효과적이려면 운영 주권과 디지털 주권이라는 두 가지 중요한 요소도 포함해야 합니다. 데이터, 운영 및 디지털 주권은 소버린 클라우드 인프라의 가장 중요한 세 가지 구성 요소입니다. 운영 주권은 중요한 인프라를 필요로 하는 개인, 단체, 애플리케이션이 항상 사용할 수 있도록 보장하며, 디지털 주권은 조직이 디지털 자산을 항상 제어할 수 있도록 보장합니다. 두 용어에 대해 자세히 알아보고 왜 중요한지 살펴보겠습니다.

운영 주권은 데이터가 풍부한 애플리케이션과 관련된 중요 인프라를 상시 가동하고 액세스할 수 있도록 하는 데 도움이 됩니다. 또한 운영 주권은 기업이 운영 프로세스에 대한 투명성과 통제력을 유지하고 비효율성을 파악하는 데 도움이 됩니다.

운영 주권에 대한 건전한 접근 방식을 통해 기업은 특정 지역이 재해의 영향을 받더라도 중요 인프라의 탄력성을 보장할 수 있습니다. 이를 위해 많은 운영 주권 접근 방식에는 비즈니스 연속성 재해 복구(BCDR) 또는 서비스형 재해 복구(DRaaS) 계획이 포함됩니다. 마지막으로, 운영 주권은 기업이 특정 지역의 클라우드 환경을 지원하는 데 필요한 인프라를 관리하는 현지 규정을 준수하는 데 도움이 됩니다.

디지털 주권은 데이터, 소프트웨어, 콘텐츠 및 디지털 인프라를 포함한 디지털 자산에 대한 조직의 제어 수준을 설명합니다. 디지털 주권은 주로 거버넌스 및 투명성의 맥락에서 소버린 클라우드의 개념에 중요합니다. 디지털 자산에 대한 액세스 제어를 활용하는 기업은 누가 권한을 가질 수 있는지에 대한 규칙을 설정해야 합니다 이러한 규칙은 조직이 인프라와 절차를 반복 가능한 방식으로 관리할 수 있도록 하는 프로세스인 코드형 정책(policy-as-code)과 같이 쉽게 시행할 수 있는 방식으로 설정해야 합니다.

디지털 주권의 또 다른 중요한 측면인 투명성은 조직의 프로세스와 결과를 감사할 수 있는 조직의 능력을 의미합니다. 투명성을 통해 조직은 가장 중요한 운영 워크플로를 파악하여 무엇이 제대로 작동하고 있고 무엇이 변경되어야 하는지 확인할 수 있습니다.

대체로 클라우드 컴퓨팅 환경에서 데이터 주권에 대한 소버린 클라우드 접근 방식을 취하는 조직은 퍼블릭 클라우드 또는 분산 클라우드의 두 가지 옵션 중에서 선택할 수 있습니다. 대부분의 국가에서 퍼블릭 클라우드와 멀티클라우드 배포는 조직이 특정 지역의 데이터에 대한 제어를 유지하면서 클라우드 워크로드를 배포하는 데 도움이 됩니다. 일반적인 퍼블릭 클라우드 아키텍처에는 안정적이고 일관된 클라우드 배포를 제공하는 하이브리드 클라우드 플랫폼과 같은 플랫폼 클라우드 계층이 포함되어 있습니다

두 번째 옵션은 로컬 인프라 제공업체 또는 온프레미스 데이터 센터와 같은 분산 클라우드 배포 모델입니다. 이는 데이터에 대해 더 강력한 제어가 필요한 기업에 적합합니다. 기본적으로 분산 클라우드 배포 모델은 워크로드와 플랫폼을 선택한 모든 인프라에 배포할 수 있는 기능을 제공합니다.

조직에서 데이터 주권에 대한 효과적인 접근 방식을 구현하려면 다음 단계를 수행해야 합니다.

전 세계 시민과 규제 기관이 데이터 주권에 대한 우려를 지속적으로 제기하는 가운데, 소버린 클라우드 접근 방식은 기업이 데이터의 저장 및 처리 위치에 관계없이 데이터의 무결성을 보장하는 데 도움이 되고 있습니다.

향후 조직의 성장과 보안은 데이터 수집, 보안, 저장 및 접근 제어 방식, 특히 AI 및 ML과 같은 새로운 데이터 집약적 기술 활용 여부에 따라 크게 좌우될 것입니다. 데이터 주권은 이러한 우려의 중심에 있으므로 이를 깊이 이해하는 클라우드 공급자를 선택하면 기업이 강력한 주권 클라우드 접근 방식을 구현하고 디지털 혁신 목표를 달성하는 데 도움이 됩니다. 기업이 클라우드 환경을 구축하려는 지역 및 국가의 파트너는 사이버 공격, 자연 재해 및 가동 중지 시간과 같은 일반적인 위험을 완화하기 위한 전략을 가지고 있어야 합니다.

마지막으로, 데이터 주권 및 소버린 클라우드에 대한 강력한 접근 방식을 구축하려는 기업은 클라우드 공급자가 사업을 운영하는 국가 또는 지역의 법률에 부합하는 강력하고 전반적인 클라우드 전략을 갖추고 있는지 확인해야 합니다. 다음은 기업이 데이터 주권에 대한 강력한 접근 방식을 구축하기 위해 CSP 및 기타 잠재적 파트너를 고려할 때 살펴봐야 할 가장 중요한 몇 가지 기능입니다.

데이터 거버넌스 역량: CSP의 데이터 거버넌스 접근 방식은 민감한 데이터를 성공적으로 처리하고, 이에 필요한 제한을 적용하기 위한 올바른 정책과 절차를 갖추고 있음을 보여줍니다. 또한 수립한 지침이 준수되고 있음을 증명하는 정기 감사를 제공할 수 있어야 합니다.

서비스 수준 계약(SLA): 소버린 클라우드 환경에서 데이터 주권에 관한 SLA를 만들 때 SLA에서 다루어야 하는 가장 중요한 세 가지 영역은 제어(클라우드 관리), 가용성 및 성능입니다.

규정 준수: 기업이 데이터 주권 요건을 준수하도록 지원하는 CSP 및 기타 파트너는 사업을 운영하는 지역의 모든 데이터 관련 법률에 대해 높은 수준의 전문성을 갖추고 있어야 합니다. 기업과 해당 CSP가 새로운 규정을 최신 상태로 유지하고 이를 처리하기 위한 전략을 개발할 책임을 공유하는 것이 가장 좋습니다.

데이터 암호화: 소버린 클라우드 공간의 CSP는 민감한 데이터를 안전하게 보관하고 액세스할 수 있도록 암호화 키와 같은 강력한 데이터 암호화 기능을 보유해야 합니다. 암호화 키는 데이터를 올바른 권한(키)을 가진 사람만 해독할 수 있는 암호화 알고리즘으로 변경합니다. 이를 통해 기업은 특정 시간에 데이터에 액세스할 수 있는 사람을 완벽하게 기술적으로 보장하고 제어할 수 있습니다.

복원력: 데이터 주권 및 주권 클라우드 환경에 대한 강력한 접근 방식에는 강력한 복원력 기능이 포함되어야 합니다. 기업은 관련 국가 또는 지역에서 고객의 복원력 및 복구 노력을 지원한 입증된 실적이 있는 CSP만 고려해야 합니다. 소버린 클라우드 환경의 경우 모든 클라우드 배포에는 데이터가 저장되는 각각의 특정 규정 준수 영역에 맞게 조정된 복구 및 장애 조치 기능이 내장되어 있어야 합니다.