데이터와 클라우드가 지역화되면서, 글로벌 CIO들은 점점 더 지역 중심으로 변하는 디지털 시대에 적응해야 한다는 긴박감을 느끼고 있다.
디지털 주권(digital sovereignty) 움직임이 빠르게 확산되고 있다. 전 세계 각국 정부가 데이터의 현지 저장이나 처리 의무를 규정하는 지역별 법률을 잇달아 도입하고 있는 것이다. 유럽의 가이아-X(Gaia-X) 주권 클라우드 프로젝트를 비롯해 EU의 GDPR, 인도의 DPDP법, 캐나다 주 단위 규제, 미국 캘리포니아주의 CCPA 등 초지역화 데이터법이 대표적인 사례다.
데이터 주권 논의는 수년 전부터 이어져 왔지만, 최근 들어 그 중요성이 급격히 부각되며 모든 디지털 환경과 클라우드에서 주목받고 있다. 디지털 전환 서비스 기업 서덜랜드글로벌(Sutherland Global)의 CIO 겸 CDO 더그 길버트는 “디지털 주권을 둘러싼 긴급성이 뚜렷하게 커졌고, 이제는 외면할 수 없는 상황”이라고 말했다.
지정학적 갈등 심화와 탈세계화 기조 속에서 CIO들은 지역에 구애받지 않는 이동 가능한 아키텍처를 모색하고, 온프레미스·코로케이션·국내 프라이빗 클라우드 같은 대안을 다시 검토하고 있다. 동시에 하이퍼스케일러와 엔터프라이즈 플랫폼도 각국의 규제를 충족하기 위해 새로운 서비스와 복잡한 설정을 내놓고 있다.
그럼에도 많은 CIO들은 여전히 현황을 파악하고 대응 전략을 준비하는 단계다. CIO 전략 자문가이자 업계 애널리스트인 팀 크로퍼드는 “명확한 가이드라인이 많지 않다”라며 “수동적으로 기다리지 말고 주의 깊게, 성실하게 대응하며 앞으로 나아가야 한다”라고 말했다.
따라서 지금이 행동해야 할 시점이다. 글로벌 CIO들은 디지털 주권이 자사에 어떤 영향을 미치는지 점검하고, 미래의 규제 분절화에 대비할 수 있는 전략을 수립해야 한다.
글로벌 긴장이 주권 대응 촉발
IT 서비스 및 컨설팅 기업 젭리아(Xebia)의 글로벌 CIO 스밋 샨커는 지정학적 갈등, 세계 불안정, 무역 문제 등이 디지털 주권에 대한 우려를 높이고 있다고 지적했다. 그는 “이는 반드시 고민하고 해결해야 할 매우 중요한 과제가 됐다”라고 말했다.
샨커는 AI가 주목받고 있지만, 디지털 전략의 기본을 건너뛰어서는 안 된다고 경고했다. 그는 “AI 준비와 차별화를 위해서는 디지털 자산을 통제할 수 있어야 하며, 그 지점에서 주권은 대단히 중요한 의미를 가진다”라고 덧붙였다.
클라우드 기반 데이터 저장 기업 스노우플레이크(Snowflake)의 CIO 마이크 블란디나는 “조직은 데이터가 어디에 저장되고, 누가 접근할 수 있으며, 어떻게 보호되는지 알고 싶어 한다”라며 “CIO의 역할은 혁신을 희생하지 않으면서 기업이 이러한 변화를 헤쳐 나갈 수 있도록 지원하는 것”이라고 설명했다.
ERP 소프트웨어 기업 에피코어(Epicor)의 CCO 겸 CIO 리치 머는 불이행에 따른 벌금 위험을 또 다른 핵심 요인으로 꼽았다. 그는 “지역별 데이터 규제는 이미 수년간 존재했지만, 점점 더 많은 관할권이 자체 기준을 마련하고 있다”라며 “복잡성이 커질수록 대응 시급성은 높아진다”라고 말했다.
길버트 역시 벌금 위험이 중요한 동기임을 인정하면서도, 미·중 기술 갈등 같은 지정학적 요인 또한 각국이 데이터 생태계를 강화하는 이유라고 분석했다. 그는 “개인정보 보호에 대한 대중의 우려와 끊이지 않는 사이버 공격이 회복력 강화를 더욱 필요하게 하고 있다”라며 “데이터와 기업 평판을 지키기 위해 디지털 주권 대응을 우선시해야 하는 이유가 분명해졌다”라고 말했다.
운영을 바꾸기 시작한 디지털 주권
국가별 데이터 주권 법률은 글로벌 기업 운영에 막대한 압박을 가하고 있다. 애스퍼리타스컨설팅(Asperitas Consulting)의 파트너 스콧 휠러는 “중국은 인프라 점검 권한을 요구하는 등 기업에 큰 부담을 준다”라며 “이런 규제는 종종 현지 인프라를 이중으로 구축하거나 개인정보 감사 절차를 추가해야 하는 상황으로 이어진다”라고 지적했다.
SAP 클라우드 운영을 지원하는 레몬그라스(Lemongrass)의 CTO 이먼 오닐도 대체 클라우드에 대한 관심이 늘어나고 있다고 전했다. 그는 “이는 단순히 규제 준수 때문만이 아니라, 전통적인 하이퍼스케일러보다 주권 클라우드가 더 높은 보안성과 회복력을 제공하기 때문”이라고 설명했다.
이에 대응해 하이퍼스케일러들은 자체 주권 클라우드를 선보이고 있다. 오닐은 “이들은 다양한 지역과 관할권에서 새롭게 등장하는 통제 프레임워크를 면밀히 추적하며 대응하고 있다”라며 “이는 명백히 고객 수요가 이끄는 혁신 사이클이고, 빠르게 확산되고 있다”라고 말했다. 그는 또 “자동화가 이러한 대응을 유연하고 적응력 있게 구현하는 핵심 요소”라고 덧붙였다.
나중에 대응하기보다 지금 계획하는 것이 낫다
이처럼 다양한 요인이 맞물리면서 많은 기업들이 이미 행동에 나서고 있다. 서덜랜드글로벌의 길버트는 “우리는 더 이상 ‘지켜보자’는 태도에서 벗어나 전략을 적극적으로 재편하고 있다”라며 “전환점은 두 가지였다. 임박한 규제 시한과 이해관계자의 신뢰를 지켜야 한다는 절대적 필요성”이라고 말했다. 길버트의 팀은 데이터 흐름을 점검하고, 지역별 규제에 맞추며, 새로운 인프라 전략에 투자하고 있다.
선제적으로 움직인 조직들은 이미 성과를 보고 있다. 클라우드 기반 데이터 저장 기업 스노우플레이크의 CIO 마이크 블란디나는 “우리는 정책 변화 이전부터 일찍 투자하기 시작했다”라며, 현지 인프라 구축과 클라우드 제공업체와의 협력을 통해 데이터 현지 저장, 개인정보 보호, 규제 준수 요구를 충족시켜왔다고 설명했다. 그는 “변화에 반응하기보다는 변화에 대비하는 것이 혼란을 헤쳐 나가는 유일한 방법”이라고 강조했다.
ERP 소프트웨어 기업 에피코어(Epicor)의 CCO 겸 CIO 리치 머 역시 “글로벌 기업으로서 여러 관할 규제를 동시에 준수해야 하므로, 컴플라이언스와 리스크 회피는 반드시 선제적으로 다뤄야 하는 사안”이라며 “대부분의 경우 ‘지켜보자’는 선택지는 존재하지 않는다”라고 말했다.
다만 일부 CIO들은 여전히 상황을 평가하고 실행 전략을 모색하는 단계다. IT 컨설팅 기업 젭리아(Xebia)의 글로벌 CIO 스밋 샨커는 “지금은 적극적인 평가와 검토 단계”라며 “요건이 완전히 확정된 것은 아니므로, 모듈형·확장형·보안형·지역 친화형 솔루션을 시장과 규제 요건에 맞춰 설계하기 위해 기본으로 돌아가야 한다”라고 전했다.
CIO들이 주도하는 적응 전략
디지털 주권과 지역별 데이터 규제의 확산은 이미 글로벌 기업들의 클라우드·데이터·운영 전략을 재편하고 있다. 이에 글로벌 CIO들은 워크로드 본국 회수, 주권·지역 클라우드 존 구축, 엣지 데이터센터 도입, 데이터 통제 및 감사 강화 등 다양한 대응책을 주도하고 있다.
길버트는 “이러한 규제는 우리의 운영 환경을 근본적으로 바꿔놓았다”라며 “엄격한 데이터 현지 저장법을 시행하는 아랍에미리트(UAE) 같은 국가들 때문에 우리는 민감한 데이터를 어디에 저장할지 재검토할 수밖에 없었다”라고 말했다. 서덜랜드글로벌은 주요 클라우드 제공업체의 현지 데이터센터, 즉 주권 클라우드를 활용하고 있으며, 국경 간 데이터 이전 제한을 준수하기 위해 접근 통제도 강화했다. 물론 비용은 늘었지만 불가피한 조치라는 설명이다.
샨커는 젭리아가 한 걸음 더 나아가 자체 설계한 ‘지역 중립적 데이터 인프라’를 검토 중이라고 밝혔다. 그는 “이러한 역량을 선제적으로 개발하는 것이 나중에 요건이 의무화될 때 허둥대지 않는 길”이라며 “데이터 현지 저장, 암호화 키 관리, 주권 친화적 데브옵스(DevOps) 교육에 투자하고 있다”라고 말했다.
애스퍼리타스컨설팅(Asperitas Consulting)의 파트너 스콧 휠러는 또 다른 전략으로 ‘범관할권 시스템 구축’을 꼽았다. 그는 “국제적으로 사업을 운영하는 미국 기업들은 종종 GDPR 수준의 기준을 전 세계적으로 적용한다”라며 “이는 각국별로 별도 체계를 운영하는 것보다 비용 효율적일 수 있지만, 전체 비용을 끌어올리는 요인도 된다”라고 말했다.
스노우플레이크의 블란디나는 특히 플랫폼 제공업체 CIO들이 가장 큰 운영 부담을 떠안고 있다고 설명했다. 그는 “디지털 주권은 스노우플레이크로 하여금 새로운 클라우드 리전 지원, 지역 경계 통제, 주권 시장 내 배포 등을 추진하게 만들었다”라며 “핵심은 지역별 요건을 충족할 만큼 유연하면서도 글로벌 확장성을 보장할 수 있는 보안 데이터 아키텍처를 구축하는 것”이라고 강조했다. 이어 그는 “주권은 장애물이 아니라, 오히려 강력하고 미래지향적인 데이터 전략을 설계할 수 있는 촉매가 될 수 있다”라고 말했다.
규제 준수 책임, 플랫폼에 더 무게
디지털 주권 규제 준수 책임은 클라우드 플랫폼에 있을까, 아니면 이를 사용하는 기업에 있을까? 일부 기업들은 자체 호스팅이나 지역 중립적 아키텍처를 개발하려 하지만, 대부분의 기업들은 클라우드 제공업체가 지역별 통제를 구현해 규제를 충족해주기를 기대한다. 최근에는 ‘서비스형 데이터 현지화(Data Localization-as-a-Service)’ 같은 신흥 클라우드 서비스도 등장하고 있다.
ERP 소프트웨어 기업 에피코어(Epicor)의 CCO 겸 CIO 리치 머는 “우리는 오랫동안 SaaS 솔루션을 활용해왔고, 앞으로도 같은 벤더들이 글로벌 디지털 주권 요건을 충족해줄 것으로 기대한다”라며 “이 역시 다른 기술 진화와 마찬가지로 X-서비스 모델로 자리 잡아 손쉽게 활용할 수 있을 것”이라고 말했다.
규제 준수를 플랫폼에 위임하면 ‘베스트 오브 브리드(Best-of-Breed)’ 접근도 가능해진다. 머는 “이들 플랫폼은 디지털 주권 솔루션을 제공할 인프라와 전문성을 보유하고 있으며, 동시에 이를 수익화할 막대한 기회도 가지고 있다”라고 설명했다.
크로퍼드는 “최종 사용자가 모든 요건을 숙지하기엔 부담이 너무 크다”라며 “기업들은 벤더가 툴에 규제 준수를 내재화해주기를 기대할 수밖에 없다”라고 말했다. 그는 SAP가 거래 데이터, IBM이 대규모 엔터프라이즈 시스템, 세일즈포스가 고객 데이터, 서비스나우와 워크데이가 직원 데이터를 관리하는 식으로, 비즈니스 데이터와 밀접한 업체가 적합하다고 덧붙였다.
젭리아의 샨커도 CRM과 ERP 벤더 같은 플랫폼 제공업체가 주권 규제 준수 기능과 서비스를 내장해야 한다고 보았다. 다만 그는 아키텍처 설계, 데이터·운영 거버넌스는 여전히 기업의 몫이라고 강조했다.
스노우플레이크의 블란디나는 “규제 준수는 분담할 때 최선의 효과가 나온다”라며 “플랫폼 제공업체는 보안성과 규제 준수 설계가 내재된 인프라를 구축해야 하고, 최종 사용자는 툴 활용 과정에서 적극적으로 거버넌스를 수행해야 한다. 이렇게 해야 더 강력하고 회복력 있는 규제 준수 태세를 갖출 수 있다”라고 설명했다.
CIO를 위한 디지털 주권 대응 지침
특히 미국 기반 글로벌 CIO들은 갈수록 파편화되는 글로벌 규제 환경에 직면해 있다. 젭리아의 샨커는 “이러한 현실은 기술 공급업체 생태계를 재편하고, 새로운 혁신과 선두주자를 탄생시킬 수 있다”라며 “전통적 파트너십을 넘어 새로운 기회를 모색할 필요가 있다”라고 말했다.
이 불안정한 환경에서 기업들은 수동적이 아니라 선제적으로 대응해야 한다. 즉, 각 시장과 관할권의 요구를 충족하고, 기본적으로 이러한 기능을 제공하는 플랫폼을 선택해야 한다.
머는 “디지털 주권 솔루션을 내재화한 SaaS 공급업체를 활용하라”라고 조언했으며, 블란디나는 “글로벌 기업들은 설정 가능성, 투명성, 규제 준수 설계가 보장된 플랫폼과 파트너십에 투자해야 한다”라고 덧붙였다. 그는 “선택권을 확보할 수 있는 모듈형·규제 준수형 아키텍처를 설계하는 것이 핵심”이라며 “규제 환경은 계속 진화할 것이고, 디지털 주권 요건은 점점 더 정교해질 것”이라고 전망했다.
또한 규제 위반 발생 시 즉시 파악할 수 있는 모니터링 체계도 필요하다. 크로퍼드는 “법적으로 침해가 발생하면 즉시 시계가 작동하며, 피해자 통지가 의무화된다”라며 “문제는 거버넌스가 없다면 침해 사실조차 모를 수 있다는 점”이라고 지적했다.
클라우드는 더 이상 국경 없는 공간이 아니다
현재 미국 내 20개 주가 포괄적 데이터 프라이버시법을 제정한 상태이며, 국가별 규제 확산으로 세계는 점점 더 ‘탈세계화’되고 ‘분절화’된 국면으로 향하고 있다. 이는 지정학적 불확실성과 개인정보 보호 우려, 그리고 디지털 데이터의 사회적·경제적 중요성을 반영한다.
블란디나는 “디지털 주권은 앞으로 경제 정책, 국가 안보, 혁신의 중심축이 될 것”이라며 “이제 막 본격적인 수요가 드러나기 시작했을 뿐이며, 이 분야에서 혁신하는 기업과 플랫폼이 미래를 주도할 것”이라고 내다봤다.
샨커는 “앞으로 더 엄격한 데이터 현지화 요건, 규제 파편화, 디지털 자산 통제 강화가 예상된다”라며 “기업 IT는 효율성 중심에서 주권 회복력 중심으로 진화해야 하며, 표준화와 효율성을 유지하면서도 선택권을 확보하는 것이 새 과제”라고 설명했다.
대부분의 글로벌 CIO들에게 이제 불이행 위험은 무시할 수 없을 만큼 커졌다. 벌금은 물론, 시장 배제와 평판 손실은 기업에 치명적일 수 있다. 주권 요건은 지역마다 다르기에 정밀한 대응이 필수다.
크로퍼드는 “애플리케이션 아키텍처와 데이터 거버넌스를 훨씬 더 세밀하고 정교하게 설계해야 한다”라며 “생성형 AI가 일부 지원을 제공할 수 있겠지만, 각국의 데이터법은 구체적이고 끊임없이 변화하기 때문에 비결정론적 AI는 위험한 선택”이라고 경고했다. 그는 “민첩성을 유지하고 새로운 주권 규제에 대비하라”라며 “지금 탑승해 안전벨트를 매고 흔들림을 견뎌야 한다”라고 비유했다.
dl-ciokorea@foundryco.com
