01 EU의 1억 8천만 유로 소버린 클라우드 인프라 구축

│한상기 테크프론티어 대표

전 세계 디지털 클라우드 시장은 2027년에 2,600억 달러 이상에 달할 것으로 예상되며, 2030년까지 미국을 제외한 기업의 75%가 디지털 주권 전략을 수립할 것으로 보인다.¹⁾ 유럽의 접근 방식은 고립된 실험이 아니라 전 세계적인 변화의 선두에 서 있고자 한다.

EU의 소버린 1.0은 2008년 금융 위기 이후 등장했으며, 클라우드와 데이터 규제는 주로 데이터의 저장 위치에 초점을 맞췄다. 이에 따라 데이터는 지역 데이터센터에 저장되었지만, 실제 운영 통제권(접근 프로토콜, 암호화 키, 패치 주기)은 여전히 ​​유럽 이외 지역에 확고히 자리 잡고 있었다. 이는 소버린 클라우드에 대한 상징적인 쇼에 불과했다는 것이 세계 경제 포럼에 기고한 두 사람(왕립 합동군사연구소의 윌리엄 딕슨과 액센츄어의 스콧 윌키)의 의견이다.²⁾ 

일부 EU 국가에서 5G 장비의 50% 이상을 중국에서 공급받는다는 사실, 러시아의 우크라이나 침공, 미국과 중국의 기술 경쟁은 이제 EU에서 중국에 대한 의존이 새로운 시스템적 취약이 되었다는 것을 인식하게 되었다. 서유럽 CIO의 61%는 지정학적 위험 때문에 글로벌 클라우드 제공업체 이용에 제약을 받을 것이고 이에 따라 국가 주도의 인프라 2.0으로 정책적 변화를 가져오게 만들었다. 이는 운영 자율성에 초점을 맞추는데, 잠재적인 외국의 강요로부터 자유롭게 상주 직원, 인프라 및 지원을 통해 서비스를 독립적으로 운영함으로써 전체 시스템을 처음부터 끝까지 제어하는 ​​것을 의미한다.

EU가 지향하는 방향을 실질적으로 이해할 수 있는 문서로 지난 10월 EU의 집행위는 1억 8천만 유로 규모의 소버린 클라우드 인프라 구축 입찰 계획을 발표했다.³⁾ 집행위원회는 이 입찰이 세계 최대 무역 블록인 유럽에서 "클라우드 서비스에 주권이 실제로 어떻게 적용되는지에 대한 기준을 제시한다"고 언급했으며, 새로운 클라우드 주권 프레임워크를 기반으로 기술 주권에 대한 실질적이고 구체적이며 확실한 정량적 지표를 처음으로 요구했다.

클라우드 III 동적 구매 시스템(Cloud III DPS)에 따라 경쟁 입찰로 시작된 이번 사업은 EU 기관, 기구, 사무소 및 대행사가 6년간 소버린 클라우드 서비스를 조달할 수 있도록 한다. 이에 따라 클라우드 III DPS에 등록된 최대 4개 공급 업체에게 새로운 클라우드 소버린 프레임워크에 따른 계약이 이루어진다. 이 프레임워크는 8가지 구체적 목표를 기준으로 주권을 측정하는데, 전략적, 법적, 운영적, 환경적 고려 사항은 물론 공급망 투명성, 기술 개방성, 보안 및 EU 법률 준수를 포함한다. 

클라우드 소버린 프레임워크

디지털 서비스 총국(Directorate-General for Digital Services)이 제시한 클라우드 소버린 프레임워크 문서를 보면 본 절차에서 요구하는 클라우드 서비스 제공과 관련한 ‘주권 목표(Sovereignty Objectives)’를 정의한다.⁴⁾ 이 목표들은 프랑스의 주요 대기업 및 공공기관들로 구성된 디지털 분야의 선도적인 협회인 CIGREF의 '신뢰할 수 있는 클라우드 참조 모델 v2(Trusted Cloud Referential v2)', 가이아-X 정책 규칙 및 아키텍처, 그리고 유럽 사이버 보안 인증 체계(ENISA, NIS2, DORA)와 같은 유럽의 주요 이니셔티브를 기반으로 한다. 또한 프랑스의 '클라우드 드 공피앙스(Cloud de Confiance)', 독일의 '소버린 클라우드(Souveräner Cloud)'와 같은 국가별 클라우드 소버린 전략에서 얻은 교훈은 물론, 수출 통제, 공급망 회복탄력성 및 보안 감사 가능성에 관한 국제적 관례를 반영하고 있다.

클라우드 주권 프레임워크는 전략적, 법적, 운영적, 기술적 차원에서 클라우드 서비스의 주권을 평가하기 위한 EU 집행위원회의 기준, 보증 수준(SEAL) 및 점수 산정 방법을 정의하고 있다. 먼저, 보안 보증 요구사항에 주권 특화 보호 조치를 보완하여, '주권'이 구체적으로 무엇을 의미하는지 명확히 정의해 소버린 클라우드를 위한 8가지 목표는 다음과 같이 정의했다.

평가는 입찰 제안서에 명시된 바에 따라, 입찰자에게 제시되는 개방형 또는 폐쇄형 질문, 입찰자가 제출한 증빙 자료 및 서비스의 공개 문서를 바탕으로 진행하며, 다음의 두 가지 방식으로 이루어진다.

• 주권 실효성 보증 수준(SEAL): 발주처는 각 주권 목표에 대해 입찰자가 제공하는 보증 수준을 '주권 실효성 보증 수준(SEAL, Sovereignty Effectiveness Assurance Level)'을 통해 평가한다. SEAL 지표는 최소 보증 수준으로 활용되는데, 입찰 제안서에는 클라우드 서비스 제공자가 각 주권 목표에 대해 반드시 달성해야 하는 최소 SEAL 수준을 명시하고 있다. 모든 목표에 걸쳐 요구되는 (최소) 보증 수준을 일관되게 충족하지 못하는 제안서는 탈락 처리한다.

• 주권 점수(Sovereignty Score): 발주처는 SEAL 평가를 보완하여, 각 클라우드 서비스의 주권적 특성에 따라 순위를 매기기 위한 '주권 점수'를 산출한다. 이 주권 점수는 낙찰 기준(Award Criterion)으로 제안서의 품질 점수에 반영한다.

평가 결과는 단순히 입찰 단계에서 끝나는 것이 아니라, 실제 운영 단계에서 "어떤 데이터를 어떤 클라우드에 올릴 것인가"를 결정하는 가이드라인이 된다. 서로 다른 위험 프로필에 따라 각기 다른 수준의 보증이 요구되기 때문에, 시스템의 중요도나 데이터의 민감도(위험 프로필)에 따라, 그에 걸맞은 주권 보증 수준(SEAL 등급 등)을 가진 업체만 선택적으로 사용할 수 있다. 

SEAL 등급에 대한 설명도 제시하고 있는데 아래와 같다.

• SEAL-0: SEAL 등급 체계 중 가장 낮은 단계(주권 보증이 거의 없는 상태)를 정의하는 것으로 서비스의 의사결정권이나 운영 주도권이 전적으로 유럽 외부 세력에 있음을 의미한다. 분쟁이나 데이터 접근 요청 시 유럽법(GDPR 등)이 아닌 제3국의 법이 우선 적용되는 상태이다.

• SEAL-1 (관할권적 주권 (Jurisdictional Sovereignty): EU 법이 형식적으로는 적용되나 실질적인 집행력은 제한적으로 서비스, 기술 또는 운영이 비(非) EU 제3자의 독점적인 통제하에 있다. 서류상으로는 EU 법(GDPR 등)을 준수한다고 되어 있으나, 실제 분쟁이나 외국 당국의 데이터 요청이 발생했을 때 EU 법이 실질적으로 힘을 발휘하기 어려운 상태를 의미한다. 유럽 외 국가의 기업이나 당국이 서비스의 핵심 운영권이나 데이터 접근권을 쥐고 있어, EU의 개입 여지가 거의 없음을 말한다.

• SEAL-2 (데이터 주권): EU 법이 적용되고 집행 가능하지만, 실질적인 비(非) EU 의존성이 남아 있고 서비스, 기술 또는 운영이 비 EU 제3자의 간접적인 통제하에 있음을 의미한다. 법적으로는 EU 보호 아래 있으나, 기술적·구조적으로는 여전히 외부(미국 등 비 EU 국가)의 부품, 소프트웨어, 혹은 인프라에 의존하고 있어 완전히 자유롭지 못한 상태를 의미한다. 외국 본사가 자회사를 통해 영향력을 행사하거나, 핵심 원천 기술을 보유함으로써 서비스 운영에 간섭할 수 있는 여지가 남아 있음을 말한다.

• SEAL-3 (디지털 탄력성): EU 법이 적용 및 집행 가능하며, EU 주체들이 완전하지는 않으나 유의미한 영향력을 행사한다. 서비스, 기술 또는 운영에 대한 비(非) EU 제3자의 통제가 미미한 수준을 말한다. EU 내부의 기업이나 기관이 의사결정 과정이나 운영 정책에 있어 실질적인 목소리를 낼 수 있는 구조를 갖추었음을 의미하며, 비 EU 측의 개입 여지가 기술적 사양이나 단순 지원 업무 등 서비스 운영의 본질을 해치지 않는 지엽적인 부분에 국한되어 있다.

• SEAL-4 (완전 디지털 주권): 기술 및 운영이 EU의 완전한 통제하에 있으며, 오직 EU 법의 지배만을 받는다. 비(非) EU 국가에 대한 핵심적 의존성이 전혀 없음을 의미한다. 기술 스택, 인력, 운영 의사결정 등 모든 프로세스를 EU 내 주체가 독립적으로 결정하고 실행하며, 제3국의 법적 효력이 전혀 미칠 수 없는 환경으로, 법적 분쟁이나 데이터 요청은 오직 EU 법과 법원을 통해서만 처리할 수 있음을 말한다. 

발주처가 수행하는 평가는 입찰자의 답변을 기초로 하며, 해당 답변과 관련하여 제출된 증빙 서류 및 입찰자가 공개한 공적 정보(Public Information)를 보완 자료로 활용하여 종합적으로 이루어진다.

각 목표에 대한 평가를 위한 기여 요인들도 정리하고 있는데, 예를 들어 데이터와 AI 주권을 위한 평가 요인은 다음과 같다.

• 데이터에 대한 암호화 접근권을 서비스 제공자가 아닌 고객만이 실질적으로 제어할 수 있도록 보장함.

• 데이터 접근 시점, 장소, 주체에 대한 가시성 확보. 여기에는 AI 모델 사용 내역에 대한 감사 가능성, 검증 가능한 증거를 동반한 데이터의 영구적 삭제 보장 메커니즘이 포함됨.

• 제3국으로의 예외적 이전(Fallback) 없는, 유럽 관할권 내로의 저장 및 처리 시설에 대한 엄격한 국한.

• AI 모델과 데이터 파이프라인이 EU의 통제하에 개발, 학습, 호스팅 및 거버넌스되는 정도. 이는 비(非) EU 기술 스택에 대한 의존도를 최소화하는 것을 의미함.

이는 제공업체가 암호화 키에 접근할 수 없어야 한다는 점을 강조하며, 단순한 보안 설정을 넘어, AI 모델이 데이터를 어떻게 학습하고 사용하는지까지 투명하게 공개되어야 함을 요구한다. 또한 어떠한 비상 상황(Fallback)에서도 데이터가 EU 밖으로 나가는 것을 금지하는 강력한 로컬라이제이션을 명시하고 있으며, AI의 전 과정(학습~호스팅)이 유럽 내에서 이루어져야 하며, 외산 오픈소스나 라이브러리에 대한 의존도를 낮출 것을 요구한다.

이 항목에 대해 높은 점수나 SEAL 등급을 받으려면 다음 자료가 필요할 수 있다. 

• 암호화 아키텍처 다이어그램: 고객 전용 키 관리 서비스 증빙

• 데이터 처리 위치 확약서: 제3국 백업 서버가 없음을 증명하는 계약서

• AI 거버넌스 문서: 모델 학습 데이터의 기원 및 처리 프로세스 설명서

클라우드 주권 프레임워크는 클라우드 제공업체를 위한 기준점이자, 특히 공공부문에서 EU 클라우드 시장의 성장을 촉진하는 촉매제가 될 것으로 기대한다. 입찰 결과는 2025년 12월에서 2026년 2월 사이에 나올 것으로 예상한다.

EU의 소버린 인프라 2.0에 대한 평가

이번에 발표한 프레임워크를 통해 EU가 소버린 클라우드를 지향하는 가운데 EU가 취하는 전략적 행보가 어떤 의미와 방향성을 갖는지 알 수 있다. 첫째는 선택적 상호 의존을 통한 전략적 자율성이다. AI 개발, 공급망 자동화, 국경 간 무역에 필수적인 컴퓨팅 능력과 상호 운용성을 확보하면서도, 어떤 특정 세력도 유럽의 이익에 반하는 행동을 강요할 수 없도록 보장하는 것이다. 글로벌 하이퍼스케일 기업들이 유럽의 운영 조건에 맞춰 경쟁할 수 있도록 하면서 강력한 디지털 신원 인증 제도, 사이버 보안 통제, 회원국 간 상호 운용성과 더불어 지역 및 하이퍼스케일 기업 간의 파트너십을 유도해 균형을 유지하고자 한다. 

두 번째 핵심 요소는 주권 확보가 혁신을 저해한다는 가정에 이의를 제기한다. 하이퍼스케일 기업들은 새로운 소버린 기술 역량 확보에 수십억 달러를 투자하고 있으며, 사우디아라비아, 아프리카 연합, 남아프리카 공화국 등은 데이터 통제를 통해 경제 성장을 연동하고 있다. 주권 데이터 프레임워크 하에서 지역 자본과 하이퍼스케일러 파트너십을 모두 유치하고자 하는 이니셔티브라고 볼 수 있다.

세 번째는 조달력을 통한 공급망 회복력 강화로 이제 공급업체는 데이터 상주 주장뿐 아니라 운영 제어 메커니즘도 입증해야 한다. 이는 정책 의도를 실제 구매력과 일치시키고, 주권이라는 개념을 이상적인 목표에서 구체적이고 강제력 있는 요건으로 전환하는 것이다.

이번 EU의 소버린 클라우드 프레임워크를 통해서 살펴보면 소버린 개념이 추상적인 개념이 아닌 접근 권한, 운영 권한 및 규제 관할권과 관련된 구체적인 지표를 사용할 수 있음을 보여준다. 또한 전략적 자율성이란 모든 외부 의존성을 제거하겠다는 비현실적인 기대가 아니라, 진정한 대안과 이를 실행할 수 있는 운영 역량을 갖추는 것을 의미한다. 이를 위해서는 멀티벤더 아키텍처, 이식 가능한 워크로드, 그리고 특정 독점 생태계에 종속되지 않는 것이 필요하다.

고도로 집중된 클라우드 및 컴퓨팅 인프라에 대한 전 세계적인 의존성은 더 깊은 구조적 위험을 내포하고 있다. 세계는 클라우드나 AI를 덜 필요로 하는 것이 아니라, 더욱 탄력적인 기반을 필요로 하고 있으며, 디지털 주권이 중요한지 여부가 아니라, 또 다른 위기가 닥쳐오기 전에 다른 지역 블록들이 유사한 접근 방식을 채택할 것인가 하는 점이다. EU가 보여주고 있는 이런 전략적 행보는 새로운 인프라의 최종 승자는 하이퍼스케일러와 지역 강자의 혼합 형태가 앞으로의 방향이며, 유럽이 "주권을 강화"하는 동시에 "신뢰할 수 있는 파트너 국가들과 긴밀한 협력"을 유지해야 할 필요성을 보여주는 것이다.

참고문헌

1) Johan David Michels, “Sovereign Cloud for Europe: Independent Research Report prepared for Broadcom,” SSRN, Feb 20, 2025

2) William Dixon and Scott Wilkie,” Sovereignty 2.0: Why Europe’s €180 million cloud bet matters,” WEF, Nov 19, 2025

3) EC, “The Commission moves forward on cloud sovereignty with a EUR 180 million tender,” Oct 10, 2025

4) EC, “Cloud Sovereignty Framework,” Oct 20, 2025