[데이터넷] 클라우드가 확장되면서 ‘디지털 주권(Digital Sovereignty)’에 관심이 집중되고 있다. 구글, 아마존, 페이스북 등 글로벌 IT 기업들이 사용자 동의 없이 개인정보를 수집·활용하면서 많은 문제를 일으키자 EU를 중심으로 무차별적인 개인정보 활용을 막는 규제를 만들기 시작하면서 뜨거운 이슈로 떠오르고 있다. 클라우드 주권, 데이터 주권 모두 같은 배경에서 시작됐으며, 개인정보 수집·활용 시 반드시 개인의 동의를 받아야 하며, 개인정보와 민감정보를 다루는 서버는 자국 내에 두도록 하면서 글로벌 IT 기업의 공격적인 확장을 제어하면서 국민의 개인정보와 중요 기밀정보를 보호하도록 했다.

세계 여러나라가 이러한 방향으로 개인정보보호법, 정보통신망 보호법 등의 규제를 제정하고 강화하는 방향으로 개정하면서 디지털 주권을 보장하는 제품과 서비스 개발이 필수가 됐다. 그런데 기업들은 클라우드를 도입하면서 자사 데이터와 고객 정보에 대한 완전한 통제권을 갖지 못하게 되면서 디지털 주권을 지키기가 어렵게 됐다. 서비스가 제공되는 국가나 지역에 클라우드 리전이 없을 경우, 해당 국가에는 클라우드 기반 서비스 제공이 제한된다. 또 해당 국가 리전에 데이터를저장했다 해도, 백업·DR 센터가 해당 국가가 아닌 다른 국가, 혹은 여러 지역에 분산돼 있을 경우, 데이터 주권을 보장하지 못할 수 있다.

탈레스의 ‘2023 데이터 위협 보고서’ 아시아태평양(APAC) 지역 조사 중 ‘디지털 주권 및 트랜스포메이션에 대한 관점과 경로’에서는 APAC 지역 응답자의 82%가 데이터 주권과 클라우드 배포 계획에 영향을 미치는 개인정보보호에 대해 매우 우려하고 있는 것으로 나타났다.

이 보고서는 탈레스가 S&P 글로벌 마켓 인텔리전스에 의뢰해 전 세계 보안·IT 관리 전문가 2889명을 대상으로 지난해 11월~12월 2개월간 진행한 설문조사 중 한국, 호주, 홍콩, 인도, 일본, 뉴질랜드, 싱가포르 등 APAC 지역 응답을 분석한 것으로, 그 중에서도 디지털 주권에 대한 인식에 대한 질문을 중점적으로 소개했다.

PQC로 데이터 주권 심각한 도전 받아

보고서에서는 APAC 지역 응답자의 82%가 데이터 주권, 개인정보 보호 규정이 클라우드 배포 계획에 영향을 미칠 것을 우려하고 있으며, 58%는 개인정보 보호·데이터 보호 규정을 클라우드 환경에서 관리하는 것이 온프레미스보다 더 복잡하다고 답했다.

양자암호로 인해 디지털 주권을 지키는 것이 더 어려워 질것이라는 예상도 나온다. 응답자의 60%가 양자내성암호(PQC) 기술이 현실 세계에서 실현되고 있다고 생각했으며, 네트워크 암호 해독을양자 컴퓨팅 보안의 최대 위협 요소로 지목했다.

보고서에서는 “디지털 주권을 위해 기업은 개인정보 보호법에 맞게 공개적으로 식별 가능한 중요 정보를 보호할 수 있는 거버넌스를 마련해야 한다. 디지털 주권을 보장하면 이해 관계자와 시민에게 더 나은 서비스를 제공할 수 있게 된다”며 “또한 특정 클라우드 사업자(CSP)에 종속되지 않고 데이터 보안 제어권을 직접 통제해 더 많은 성장 기회를 가질 수 있다”고 설명했다.

적절한 암호화로 디지털 주권보장

디지털 주권을 보장하는 방법 중 하나가 적절한 암호화 전략이다. 암호화된 데이터는 키가 없이는 복호화 할 수 없기 때문에 데이터에 대한 완벽한 가시성을 갖지 못해도, 복호화 키를 기업이 갖고 있다면, 암호화 데이터를 통제하고 있다고 인정받을 수 있다. 세계 여러 지역에 데이터와 백업 데이터가 분산 저장되어 있어도, 디지털 주권을 보장할 수 있도록 키를 관리한다면 강력한 규제를 준수하면서 고객정보와 기밀정보를 안전하게 보호할 수 있다.

이 점을 알고 있는 96%의 응답자들은 디지털 주권을 위해 전체 데이터 암호화 의향이 있다고 답했다. 그러나 키 통제를 완벽하게 갖지는 못한 상태로, 57%는 CSP의 키관리 도구와 암호키를 사용하면서 CSP에 전적으로 의존하고 있다고 답했다. 이는 2022년 조사 59%보다 약간 감소한 수치로, 데이터 주권을 보장하려는 노력에 진전이 없거나 더딘 것으로 분석된다.

기어이 CSP에 의지할 수밖에 없는 이유는 여러 데이터 암호화 솔루션을 사용하면서 키 관리 복잡성이 높아지기 때문이다. 58%의 응답자는 5개 이상 엔터프라이즈 키관리 시스템을 보유하고 있다고 답했으며, 54%는 관리자를 5~10명 두고 있으며 여러 클라우드에서 데이터를 일관성 있게 관리하기 어렵고 비용이 많이 든다고 답했다.

여러 클라우드를 사용하는 환경에서 데이터 보호는 어려운 일이 될 수밖에 없다. 응답자의 80%가 하나 이상의 퍼블릭 클라우드에서 프로덕션 워크로드를 실행하고 있으며, 조직마다 2.3개의 CSP를 사용하고 있다. 여러 클라우드를 사용하면서 클라우드가 사이버 공격의 1차 표적이 되고 있다는 사실에 걱정을 나타냈다.

또 클라우드 혹은 백업 서버를 먼저 노리는 클라우드에 대한 걱정도 높다. 이번 조사응답자의 23%가 랜섬웨어 공격을 받았다고 답했으며, 전체 응답자의 50%가 공식 랜섬웨어 대응계획을 갖고 있다고 답했다.

클라우드 보안 위협에서 가장 큰 것은 인적오류로, 응답자의 62%가 인적오류로 인한 클라우드 사고가 매우 위험하다고 답했다.

탈레스 보고서에서는 “소비자, 파트너, 고객, 규제 기관 등 다른 이해 관계자들과 협력하면 데이터 보안을 강화할 수 있다. 기업은 데이터 보호에 모든 이해 관계자를 참여시켜 강력하고 유연한 제어 기준을 마련할 수 있다”고 설명했다.

김선애 기자 다른기사 보기