"EU 내 본사 둬야 클라우드 서비스 제공 가능”…美빅테크들 반발

유럽네트워크정보보안기구(ENISA)가 제안한 클라우드 인증제도 개정안에 반대하는 성명서에 이름을 올린 기관들

[이데일리 정다슬 기자] 비(非)유럽연합(EU) IT 기업들이 EU 내에서 클라우드 서비스를 제공할 경우, 지켜야 할 방침을 담은 클라우드 서비스를 위한 유럽 사이버 보안인증제도(EUCS) 개정안 발표가 임박하면서 미국 빅테크 기업의 반발이 거세지고 있다.

4일 로이터 등에 따르면 미국 상공회의소와 외국무역협의회, 컴퓨터통신산업협회 등과 일본 신경제동맹, 영국 기술조합(테크UK), 라틴아메리카 인터넷연합 등은 지난 1일(현지시간) 성명서를 내고 유럽네트워크정보보안기구(ENISA)가 제안한 클라우드 인증제도를 채택하지 말 것을 촉구했다. 이 성명은 유럽위원회와 EU 각국 정부, ENISA 등 관계자에게 발송됐다.

ENISA는 지난 5월 클라우드 서비스 보안을 위해 EU 소속 국가들이 클라우드 서비스 공급자(CSP)를 선택하는 과정에서 비EU국가의 간섭을 방지하고 제한하는 것을 목표로 하는 규정 초안을 내놓았다.

개정안은 EU 회원국에 본사와 글로벌 본사가 있고 EU법인이 완전히 소유하고 관리하는 회사만 입찰할 수 있도록 했다. 또, 클라우드 유지관리서비스는 EU지역 내에서 운영·유지 관리돼야 하며 모든 클라우드와 관련된 고객 데이터 역시 EU 지역 내에서 저장 및 처리돼야 한다.

이외에 이 조항은 유럽법원에 분쟁에 대한 관할권을 부여하고 비EU 투자자들은 EU 내 서비스에 관여하지 않는다는 내용을 포함하고 있는 것으로 알려졌다.

공동성명서는 “이러한 EUCS 요구사항은 비EU 업체가 EU업체와 동등한 조건으로 EU시장에 접근할 수 없도록 하는 것”이라며 “이는 유럽에서 사용할 수 있는 클라우드 제품의 수를 상당히 줄여 잠재적으로 더 높은 비용을 초래할 것”이라고 주장했다. 또 이 계획이 세계무역기구(WTO) 협정과 EU의 정부조달협정을 준수하는지에 대해서도 의문을 제기했다.

ENISA는 EUCS 개정에 대한 작업이 아직 완료되지 않았다고 설명했다. 또 제안된 변경 사항 중 많은 부분이 민감한 정부 데이터나 중요 인프라와 관련되는 등 ‘최고 수준의 보안이 필요한 경우’에 한정될 것이라고 말했다. 또 EU 회원국들이 자발적 판단에 따라 이 조항을 받아들일지 여부를 결정할 것이라며 “만약 주어진 보안 수준에서 클라우드 서비스의 안정성이 보장되지 않는다는 사실이 국내법에 의해 정의되지 않으면 적용되지 않을 것”이라고 말했다.

EU 내에서도 해당 규정에 대한 찬반은 엇갈린다. 일찌감치 ‘트러스트 클라우드 독트린’과 ‘SecNumCloud’을 도입한 프랑스를 비롯해 독일, 이탈리아, 스페인 등은 찬성의사를 밝히고 있다. 반면, 미국 정치전문 매체 폴리티코가 보도한 바에 따르면 아일랜드, 스웨덴, 네덜란드는 해당 조항들이 사이버보안인증체제에 해당하지 않는다는 입장을 취하는 것으로 알려졌다.

EU의 규정 개정은 클라우드 시장을 미국의 주요 클라우드 업체들이 독식하면서 데이터 주권을 빼앗기고 있다는 문제의식에서 비롯됐다. 올해 초 시너지리서치그룹 보고서에 따르면 유럽 클라우드 매출의 72%가 아마존의 AWS, 구글클라우드, 마이크로소프트 애저와 같은 미국 빅테크였던 것으로 알려졌다. 상위 6개 제공업체 모두 미국에 기반을 두고 있다.

구글, MS, 아마존, 오라클 등 주요 클라우드 제공업체는 이같은 움직임에 대응하기 위해 공공기관을 대상으로 하는 소버린 클라우드 서비스를 출시했으며 MS는 EU 고객 데이터는 EU 내에서 처리되도록 하겠다고 밝힌 상황이다.