Michael Chen | Content Strategist | 2024년 5월 2일
데이터 주권(data sovereignty)이란 사용자의 데이터에 관한 법률 적용을 의미하는 개념입니다. 구체적으로는 해당하는 사용자 데이터에 어떤 관할권의 법률이 적용되는지, 그리고 개인정보 보호, 기업의 데이터 사용, 동의와 관련하여 각 개인 사용자가 보호받을 수 있는 권리들을 의미합니다. 데이터 주권 원칙과 관련하여 가장 잘 알려진 사례는 유럽연합(EU)의 일반개인정보보호법(General Data Protection Regulation, GDPR)이 있습니다. 이는 개인 데이터의 수집 및 사용 과정에서 EU 시민의 개인정보를 보호하는 방법이 정의된 법입니다.
데이터 주권이란 데이터에는 해당 데이터의 소유자가 위치한 지역의 법률과 규정이 적용된다는 개념을 의미하는 표현입니다. 일반적인 데이터 주권 관련 규정은 사용자 데이터를 관리 및 보호할 책임을 해당 데이터를 수집하고 처리하는 기업에 부여합니다. 사용자 개인정보 보호 및 보안과 관련된 문제는 반드시 해당 데이터를 사용하는 기업이 해결해야 하고, 기업은 사용자가 거주하는 국가 또는 주의 관련 규정을 반드시 준수해야 합니다. 즉, 여러 국가에 걸친 사용자 기반을 보유한 기업의 경우 그만큼 다양한 계층의 규제 준수를 필요로 하게 됩니다. 예를 들어, EU 및 미국에 걸친 사용자 기반을 보유한 기업은 유럽연합의 GDPR 뿐만 아니라 미국 내 각 주별 데이터 주권법을 함께 준수해야 할 수도 있습니다.
일반적으로 세계 각국의 데이터 주권 관련 법률의 내용은 상당 부분 중복되고, 개중 일부 법률은 다른 법률보다 더 제한적입니다.
핵심 요점
데이터 주권은 다양한 요소들로 이루어진 중요한 개념이지만, 개중 가장 기본적인 사항은 다음과 같이 세분화할 수 있습니다.
관련 당사자. 데이터 주권의 관련 당사자는 여럿일 수 있지만, 그와 관련된 궁극적 책임은 데이터를 수집하거나 판매하는 기업에게 부여되는 경우가 많습니다. 관련 당사자로는 기업, 데이터를 수집하는 개인, 데이터를 저장하는 클라우드 제공업체, 데이터를 감독하는 기본법을 규정하는 국가/지역/주 등이 있습니다. 기업 내 데이터 주권 감독자로는 IT 부서 및 법무팀 등이 있습니다.
관련 위험. 데이터 주권 규제 지침을 준수하지 않는 기업에게는 복잡하고 국제적인 법적 문제와 벌금이 발생할 수 있습니다. 법적 문제는 특정 지역에서의 고객 상실 또는 비즈니스 운영 중단과 같은 더 큰 문제로 이어질 수도 있습니다.
기업은 규제 준수를 위한 투자를 통해 규제 요건을 충족할 수 있습니다.
혜택을 누리는 대상. 데이터 주권은 데이터의 보호 및 감독에 집중하므로 본질적으로는 개인 데이터 소유자를 위한 것이이지만, 기업이 누릴 수 있는 이점도 있습니다. 일차적으로 기업은 현재의 운영을 계속하고, 향후의 규제 준수를 위한 견고한 기반을 구축한다는 직접적인 이점을 얻을 수 있습니다. 또한 일관적인 규제 준수는 대중의 신뢰를 구축하는 데에도 도움이 될 수 있으며, 이는 기업의 홍보 또는 마케팅 메시지의 일부로 활용되어 추가적인 비즈니스를 유치하는 데 도움이 될 수도 있습니다.
데이터 주권이 중요한 이유는 데이터에 적용되는 법률과 규정의 준수를 보장해 주기 때문입니다. 지난 20년 동안 기업 내에서 데이터를 사용하는 방식이 완전히 바뀌었으므로, 데이터 주권을 실현한다는 것은 갈수록 만만치 않은 일이 되어 가고 있습니다. 오늘날의 동적이고 모바일화된 데이터는 더 큰 위험에 직면하게 되었습니다. 파일이 더 이상 로컬 드라이브와 디바이스의 테두리 안에 머물지 않게 되었고, 데이터베이스가 몇 가지 특정 애플리케이션을 훨씬 넘어서는 방대한 기록을 저장하기 시작했기 때문입니다. 이와 같이 확장된 데이터의 범위는 다양한 유형의 위험을 초래했습니다. 특히 사이버 공격 방식이 정교해지고, 데이터 전송이 국경을 넘나들기 시작하며 이와 관련된 위험에 대한 보호 태세를 갖추는 것이 갈수록 중요해지고 있습니다.
오늘날 데이터 주권의 가장 중요한 영역은 다음과 같습니다.
법률. 최근 몇 년 간 다양한 국가 및 지역에서 개인정보 보호, 보안, 물리적 데이터의 저장 위치와 관련된 데이터 보호 규정을 제정했습니다. 가장 중요한 사례는 EU의 GDPR 법입니다. 이러한 유형의 규제는 웹 사이트 방문자 데이터 및 제품 사용 데이터 등의 영역에 적용됩니다. 관련 규제를 준수하지 않을 경우 복잡한 법적 문제가 발생할 수 있으며, 이는 운영 및 재정적 문제로도 이어질 수 있습니다.
보안. 민감한 데이터에 대한 액세스 권한이 누구에게 주어져야 할까요? 금융 데이터, 개인 정보, 조직의 지적 재산 등 민감한 데이터에 대한 액세스를 통제하는 것은 데이터 주권의 중요한 요소입니다. 경우에 따라 지역 법률에서 데이터 수집의 개인정보 보호 측면을 다루기도 합니다. 이상의 모든 요소들이 데이터 보안, 액세스, 저장 관련 통제를 유지해야 할 필요성을 시사해 줍니다.
연속성. 전 세계적으로 데이터를 분산 관리하는 현재, 이론적으로 퍼블릭 클라우드 제공업체는 다른 국가에 위치한 데이터센터에 백업을 저장할 수 있습니다. 그러나 심각한 정전이나 자연재해로 인해 타국의 데이터센터에 대한 액세스 및 연결이 중단되는 문제가 발생할 수도 있습니다. 또한 이는 누군가 클라우드 제공업체의 데이터센터를 해킹할 경우 다양한 국가에 분포된 사용자들을 보호하기 위해 어떤 법률을 적용해야 할 것인지에 대한 관할권 문제도 야기합니다. 데이터 주권 전략은 특정 지역 내의 데이터 저장소에 데이터를 보관하도록 강제하는 데 기여합니다. 그와 같은 지역적 제한은 극한 상황에서의 데이터 액세스 측면에서 지리적 거리로 인한 지연 문제나 지역 법률로 인한 법적 액세스 문제가 없는 신속한 백업 연결을 가능케 합니다.
데이터를 수집하고 저장하는 기업은 사업을 운영하는 국가의 데이터 주권법을 준수해야 하며, 그와 관련된 작업으로는 특정한 위치에 데이터를 저장하고, 보안 조치를 구현하고, 데이터가 현지 규정을 준수하여 처리되는지 확인하는 것 등이 있습니다. 이는 복잡하고 까다로운 절차이며, 여러 관할권에 걸친 사업을 운영하는 다국적 기업인 경우 더욱 그렇습니다.
데이터 주권 관련 규제 준수를 위한 기본적인 워크플로는 다음과 같습니다.
데이터 주권은 상호 연결된 다양한 요소를 포함하는 복잡한 개념입니다. 관할권, 법률, 하드웨어의 위치 모두 데이터 주권의 공식에 영향을 미치는 동적 요소들입니다. 가장 중요한 요소는 다음과 같습니다.
데이터 주권(data sovereignty)의 핵심은 데이터가 생성된 국가의 규정에 따라 데이터를 법적으로 감독하는 것입니다. 이같은 초기의 데이터 주권 개념은 오늘날 글로벌 사용자 기반, 원격 근무자, 클라우드 스토리지 데이터 센터 등의 변수로 인해 훨씬 더 복잡해졌습니다. 따라서 데이터 주권 관련 문제를 이해하기 위해서는 데이터의 저장 위치, 수집 위치, 수집 방법과 같은 요소들을 필수적으로 파악해야 합니다.
데이터 현지화(data localization)는 데이터 레지던시와 데이터 주권 사이에 존재하는 개념입니다. 이는 한 지역의 시민이 생성한 데이터는 해당 지역의 외부에서 사용되기 전까지 해당 지역 내에 저장되어 있어야 한다는 개념입니다. 많은 경우 데이터 현지화 관련 제한은 민감한 개인정보나 금융 데이터를 취급하는 기업의 개인정보 보호 및 보안 문제로부터 비롯됩니다.
데이터 레지던시(data residency)는 기업 데이터의 물리적 위치를 의미합니다. 데이터가 생성된 국가 또는 지역이 아닌 다른 국가나 지역에 저장되어 있는 경우 해당 지역의 데이터 거주지 법이 적용되어 관련 규제 준수가 더욱 복잡해집니다.
데이터 프라이버시(data privacy)는 사용자의 개인 데이터를 보호하는 것을 의미합니다. 웹사이트와 애플리케이션은 양식, 사용자 제공 정보, 웹사이트 쿠키와 같은 여러 가지 방법으로 개인 데이터를 수집할 수 있습니다. 개인 데이터 수집 동의 및 수집 적법성 등의 문제는 데이터 프라이버시 문제의 최전선에 자리하고 있으며, 세계 각지에서는 사기 및 데이터 남용으로부터 시민을 보호하기 위해 자체적인 데이터 프라이버시 법률을 제정하기 시작했습니다.
데이터 주권, 데이터 현지화, 데이터 레지던시, 데이터 프라이버시의 주된 차이점은 서로의 관계에서 비롯됩니다. 데이터 주권은 관할권, 시민, 기업, 법률이 포함된 포괄적인 우산과도 같은 개념입니다. 데이터 현지화는 사용자 데이터를 어떻게 처리해야 하는지를 규정하고, 데이터 레지던시 및 데이터 프라이버시는 보다 광범위한 개념을 검토할 때 사용되는 표현입니다. 다음 그림은 이상의 개념들이 함께 작동하는 방식을 시각적으로 보여줍니다.
주권 vs 현지화 vs 레지던시
데이터 프라이버시는 개인 정보 및 민감한 정보를 보호해야 한다는 요구 사항을 의미하며, 데이터 프라이버시를 보호하지 못한 기업은 고객 신뢰 상실, 악의적 언론 보도, 심지어 벌금 및 기소의 등의 위험에 노출되게 됩니다.
데이터 주권 | 데이터 현지화 | 데이터 레지던시 |
---|---|---|
데이터가 생성 및/또는 처리되는 국가의 규정에 의거하는 데이터에 대한 법적 감독 | 이는 한 지역의 시민이 생성한 데이터는 해당 지역의 외부에서 사용되기 전까지 해당 지역 내에 저장되어 있어야 한다는 개념 | 기업이 데이터를 저장 및/또는 처리하는 물리적 위치 |
컴퓨터가 방 하나를 통째로 차지하던 거대한 컴퓨터로부터 데스크톱 컴퓨터로 진화하는 과정에서 데이터 액세스 방식도 함께 발전했습니다. 보안은 물리적 저장 매체, 근거리 통신망, 데이터 센터를 아우르는 영역이 되었습니다. 데이터의 휴대성이 높아지고 동적으로 전송할 수 있게 됨에 따라 데이터 주권이라는 개념이 처음으로 등장했습니다. EU에서는 1995년 제정된 데이터 보호 지침(Data Protection Directive)에 따라 EU 시민이 생성한 데이터의 처리 및 저장 지역을 국경 내로 제한했습니다. 대서양 건너 미국에서도 데이터 주권을 다양한 각도에서 고려했습니다. 미국 정부가 합법적으로 액세스할 수 있는 시민 데이터의 범위에 근본적인 변화를 가져온, 2001년 제정된 애국자 법(PATRIOT Act)이 대표적입니다. 해당 법에 따라 연방 정부는 미국 관할권 내에 저장된 데이터뿐만 아니라 미국 국경 내에서 운영되는 기업이 관리하는 데이터에 액세스할 수 있게 되었습니다.
해당 법들이 제정되던 시기에는 물리적 미디어, 전화 접속 모뎀, 틈새 서비스로서의 인터넷이 데이터 전송 수단의 전부였습니다. 하지만 이후 몇 년 간 가정용 인터넷 액세스, 온라인 금융 거래, 소셜 미디어를 통한 개인 데이터, 일상적인 클라우드 스토리지, 디지털 통화, 사물인터넷(IoT) 장치에 이르기까지 다양한 산업과 커뮤니티 전반에 걸친 디지털 혁신이 광범위하게 이루어졌습니다. 갑자기 데이터 주권의 중요성이 기하급수적으로 증가했습니다. 기업들은 국경을 넘어 데이터를 공유하기 시작했고, 사이버 범죄는 일상적인 위험이 되었으며, 시민들은 먼 지역의 제품을 온라인으로 구매하고, 정부가 개인 데이터를 불법적으로 감시하다 적발되기도 했습니다. 이같은 급격한 변화로 인해, 특히 여러 관할권이 관련된 혼돈 속에서의 질서를 확립해야 할 필요성이 생겨났습니다.
오늘날, 데이터 주권이라는 개념은 현지 법률, 개인정보 보호 문제, 클라우드 스토리지 서버의 물리적 위치 등의 광범위한 주제를 포괄하는 개념으로 진화했습니다. 전자기기들이 일상 생활의 모든 측면에 통합되고 기업이 원격 근무의 한계를 넓혀감에 따라 데이터 주권의 개념 또한 해가 갈수록 더욱 복잡해지고, 그 중요성은 더욱 커질 것입니다.
1995년, 인터넷 시대의 여명기에 EU의 데이터 보호 지침(DPD)이 발효되었습니다. 공식적으로는 Directive 95/46/EC로 알려진 DPD는 기본권과 자유의 관점에서 데이터 프라이버시를 바라보는 전 세계적 시각의 기초가 되었습니다. DPD의 주요 주제는 다음과 같습니다.
이후 20년 간 가정용 광대역 인터넷 접속, 소셜 미디어의 등장, 스마트폰과 같은 사물인터넷(IoT) 디바이스의 사용으로 인해 전 세계적 데이터 사용량이 폭발적으로 증가했으며, 상술한 모든 요소들이 대량의 개인 데이터를 지속적으로 수집하게 되었습니다. 이러한 변화로 인해 이전에는 상상할 수 없었던 방식으로 데이터가 흐르기 시작함에 따라 DPD의 보호 기능에 빈틈이 드러났습니다.
2016년에 채택되어 2018년부터 시행된 일반개인정보보호법(General Data Protection Regulation, GDPR)은 DPD를 대체하였으며, 기본 데이터 권리, 감독 당국에 대한 규정, 제3국으로의 개인 데이터 전송 제한을 비롯한 DPD의 모든 주요 원칙을 바탕으로 수립되었습니다. 중요한 것은 GDPR이 기업이 주체의 동의, 계약상 의무, 공적 권한의 공익적 목적 등 법적으로 승인된 방식으로만 개인 데이터를 수집하고 처리하도록 규정하는 법률이라는 것입니다. 데이터 관련 동의 및 정부 권한에 대한 우려는 GDPR이 시행되기 10년 전부터 미국 애국법에 따른 미국인의 데이터 사용과 관련된 폭로와 함께 제기되었습니다. GDPR은 개인 데이터에 대한 액세스, 소유권, 동의, 불만 제기, 제한 등을 명확화 및 단순화하여 법적 경계 및 개인의 소유권을 강화함과 더불어 데이터와 관련된 책임과 의무를 기업과 데이터 컨트롤러로 이전했습니다.
역사상 가장 영향력 있는 데이터 보호법으로 널리 알려진 GDPR은 전 세계적으로 데이터 보호에 대한 조치를 촉진하는 데 기여했습니다. 미국에서는 캘리포니아 소비자 개인정보 보호법(California Consumer Privacy Act), 콜로라도 개인정보 보호법(Colorado Privacy Act) 등 여러 주에서 주민이 생성한 데이터에 관한 자체 법률을 통과시켰습니다. 남아프리카공화국, 태국, 싱가포르 및 기타 국가들도 그 뒤를 따랐습니다.
데이터 주권 관련 규정을 준수하는 것은 독특하면서도 어려운 여정이 될 수 있습니다. 기업이 일단 관련 목표를 달성하더라도 진화하는 규정과 새로운 영역의 가이드라인으로 인해 관련 여정이 계속해서 이어지기 때문입니다. 기업은 중요한 IT 관련 의사결정을 내리고 그 파급 효과를 평가할 때 모든 관련 변수를 파악하고 있어야만 합니다. 다음 목록은 데이터 주권과 관련된 가장 일반적인 도전 과제입니다.
여러 국가에서의 운영. 여러 국가에서 사업을 운영하는 기업의 경우 데이터 주권 준수는 더욱 복잡해집니다. 데이터 수집 규정은 해당 프로세스가 진행되는 관할권에 따라 달라집니다. 다국적 기업은 사업을 운영하는 지역마다 조금씩 달라지는 데이터 법률의 차이를 파악해야 하는 경우도 있습니다.
지속적으로 변화하는 관련법. 다른 관할권에서 자체적인 데이터 보호 체계를 도입하더라도, EU GDPR 및 미국의 CCPA와 같은 기존 법률도 함께 지속적으로 업데이트될 수 있습니다. 데이터 프라이버시 및 보호에 대한 법적 책임은 개인이 아닌 법인에 부과될 수 있으므로, 각 기업은 관련 변경 사항을 추적하여 규제 준수를 유지할 책임을 집니다. 예를 들어 영국은 2020년 EU 탈퇴 이후에도 여전히 GDPR의 표준을 유지하고 있지만, 원할 경우 영국 거주자들에게 적용되는 법이 어떻게 변화할지 독자적으로 결정할 수 있습니다.
공급업체 스토리지 위치. 데이터 관련 니즈에 따라 퍼블릭 클라우드를 사용하는 기업의 경우, 퍼블릭 클라우드의 물리적 저장 및 처리 위치가 중요한 고려사항이 될 수 있습니다. 데이터 프라이버시 관련법에 따라 데이터를 사용자의 관할권 내에 저장해야 하는 경우, 기업은 지리적 위치와 관련된 특정 법적 요건에 대해 공급업체와 소통할지 여부를 결정할 수 있습니다.
초기 투자. 데이터 주권은 재정적 투자를 필요로 합니다. 로컬 데이터 센터를 실행 중인 경우 클라우드로 마이그레이션해야 할 수도 있습니다. 재무 정보와 같은 민감한 데이터를 수집하는 경우에는 새로운 보안 계층을 구현해야 할 수도 있습니다. 건실한 데이터 주권 체계를 구축하는 데 필요한 구체적인 단계는 기업마다 다릅니다. 또한 관련 세부 사항에 대한 직원 재교육에 상당한 시간과 노력이 필요할 수도 있습니다. 데이터 주권 여정이 어떻게 진행되든, 예상치 못한 도전 과제는 언제든 발생할 수 있으므로 기업은 관련 비용을 반드시 준비해 두어야 합니다.
성공의 비용. 소규모 지역 비즈니스로 시작한 기업이 제품이나 서비스의 인기에 힘입어 운영 범위를 확장하는 경우도 있습니다. 이러한 확장과 함께 더 큰 고객 기반이 생겨나고, 특히 다른 규제가 적용되는 새로운 지역으로 고객 범위를 확장하는 경우 데이터 주권 관련 문제가 더 커지게 됩니다. 데이터 주권을 무시하면 추후 심각한 법적 결과를 초래할 수 있으므로, 데이터 주권은 사업 확장과 성장을 계획할 때 반드시 고려해야 하는 부분입니다.
데이터 주권과 관련하여 모든 기업에 적합한 단일 솔루션은 없습니다. 그러나 기업이 사용해 온 기존 기술 또는 기업의 비즈니스 목표와 관계없이 일관되게 적용되는 몇 가지 광범위한 요구 사항이 존재합니다. 다음은 데이터 주권 달성을 위한 6단계 가이드입니다.
1. 작업 대상 파악하기
데이터가 어떻게 저장되어 있나요? 현재 어디에 저장되어 처리되고 있나요? 로컬 데이터 센터, 클라우드 제공업체 또는 이 두 가지를 혼합하여 사용하고 있나요? 어떤 역할 기반 액세스 및 다른 보안 조치가 마련되어 있나요? 관할권 경계에 가까운 지점에 위치한 엣지 디바이스를 사용하거나, 그와 관련된 지원이 필요한가요? 향후 어떻게 확장할 계획인가요? 데이터 주권에 대한 결정을 내리기 전에 기업은 이상의 질문에 답하며 규제 준수 관련 작업이 필요한 전체 범위를 파악해야 합니다.
2. 원하는 것이 무엇인지 파악하기
위 질문에 답하셨나요? 그렇다면 이제 파악한 내용을 바탕으로 무엇이 필요한지, 무엇을 원하는지 생각해 볼 때입니다. 규제 준수 요구 사항을 충족하는 것도 물론 중요합니다. 그러나 관련 전략은 해당 기업의 IT 관련 결정, 법무팀, 예산 등에도 영향을 미치므로, 규제 준수 프로세스의 일부로서 명확한 비즈니스 목표도 함께 수립해야 합니다. 일반적인 로드맵, 하드웨어 및 데이터 관련 니즈 목록, 최상/최악의 시나리오 평가는 모두 데이터 주권 전략 수립에 기여하는 핵심 기준이 될 수 있습니다.
3. 사용 가능한 솔루션 파악하기
많은 경우 기업은 자사의 규제 준수, 비즈니스, 운영 관련 니즈를 모두 충족하는 클라우드 솔루션을 선택합니다. 구체적인 고려사항으로는 하이브리드 모델을 통해 기존 로컬 데이터 센터를 연결하는 것, 로컬 데이터 센터를 클라우드로 마이그레이션하는 것, 클라우드 제공업체의 제안 중에서 규제 준수에 필요한 실질적인 요구 사항을 충족하는 요소를 파악하는 것 등이 있습니다. 기업은 자사의 기술, 재무, 규제 준수 관련 니즈 전반을 충촉하기 위해 마이그레이션 서비스, 물리적 데이터센터 위치, 서비스 지역 등의 요소를 고려하여 클라우드 공급업체를 평가해야 합니다.
4. 하나 또는 그 이상의 클라우드 업체 선택하기
지금까지 기업은 현황을 이해하고, 구체적인 니즈을 나열하고, 여러 클라우드 공급업체의 기능을 살펴봤습니다. 이상의 모든 결과를 종합하면 몇몇 공급업체로 추려진 명확한 최종 후보 목록이 만들어집니다. 각 공급업체를 인터뷰하고 가능하면 데모나 평가판을 받아보는 것이 좋습니다. 다음은 필요한 공급업체를 선택하고 마이그레이션 로드맵을 구축할 차례입니다. 본 단계의 일부로서 각 공급업체의 서비스 수준 계약(SLA)을 철저히 검토하여 서비스가 자사의 기능적 요구 사항에 부합하는지 여부를 확인할 수 있습니다.
5. 변경 사항 파악하기
클라우드 마이그레이션 및 실행 이후에도 기업은 모든 것이 계획대로 진행되고 있는지 확인하기 위해 기능, 보안, 규제 준수 등과 관련된 주요 성능 메트릭 및 보안 문제를 모니터링해야 할 수 있습니다. 정기적인 감사는 오늘날의 데이터 기반 비즈니스 운영에 필요한 요소이며, 지역적 규제 업데이트 및 새롭게 등장하는 법률도 고려해야 합니다. 이 단계에서 기업은 실적이 저조한 공급업체와의 관계를 끊을 필요가 있는 최악의 시나리오에도 대비해야 합니다.
6. 필요에 따라 수정하기
선택한 공급업체의 서비스가 만족스럽지 않은 경우 항상 다른 옵션을 염두에 두어야 합니다. 또한 활용할 수 있는 새로운 기술 및 기능도 언제나 존재합니다. 비즈니스가 순조롭게 운영되고 있다 해도 마이그레이션의 어려움을 고려하여 새로운 옵션을 고려하는 것은 결코 나쁜 일이 아닙니다. 선택 가능한 모든 옵션을 파악하는 것은 계약 중인 공급업체에 문제가 발생한 경우, 예를 들어 SLA에 명시된 성능 기준을 충족하지 못하거나 고객 서비스가 미흡한 경우 특히 중요해질 수 있습니다.
어떤 경우든 기술에 관해서는 항상 재평가와 수정이 계획의 일부가 되어야 하며, 데이터 중심의 경제성 및 보안과 관련된 경우에는 더욱 그래야 합니다.
데이터 주권이 모든 상황에 적용되는 획일적인 솔루션의 형태를 취하는 경우는 드물지만, 거의 모든 상황에 적용 가능한 다양한 모범 사례가 존재합니다. 해당 사례는 다음과 같습니다.
데이터가 어디로 이동하는지 파악하기. 데이터의 저장, 처리, 전송의 경우 위치가 중요한 요소입니다. 올바른 데이터 주권 체계를 구축하기 위한 첫 번째 단계는 모든 물리적 로케일을 파악하는 것입니다. 해당 목록을 작성한 기업은 관련 지역 법률을 검색하여 규제 준수 여부를 확인하고, 규제 미준수 시 위험을 파악할 수 있습니다.
현명한 데이터 현지화 관련 결정 수행하기. 데이터 현지화는 데이터를 수집한 관할 지역 내에 물리적으로 보관하도록 함으로써 규정 및 규제 준수 관련 위험 관리를 간소화합니다. 많은 경우 데이터 현지화가 관련 규제 준수를 위한 가장 빠른 방법일 수 있으므로, 데이터 현지화를 통해 데이터가 국경 또는 주 경계를 넘을 때 발생하는 많은 복잡성을 제거할 수 있습니다.
민감한 데이터 보호하기. 민감한 개인 데이터와 웹사이트가 수집하는 일반적인 사용자 메트릭 사이에는 차이가 있습니다. 의료, 재무 등의 민감한 데이터는 법적, 윤리적 가이드라인을 충족하기 위한 적절한 보호 장치가 필요합니다. 기업은 민감한 데이터를 관리하고 보호하기 위한 정책을 특별히 수립해야 할 수도 있습니다. 규제 준수를 유지하기 위해 기업은 관련 정책을 주기적으로 검토하고 업데이트하는 것이 좋습니다.
클라우드 공급업체 꼼꼼히 점검하기. 클라우드 스토리지는 속도, 비용, 확장성 등 로컬 데이터 센터에 비해 상당한 이점을 제공합니다. 그러나 사용자 데이터를 처리하는 모든 기업은 데이터 수집이 이루어지는 위치를 알고 있어야 합니다. 이론적으로 클라우드 공급업체는 전 세계 기업에 서비스를 제공할 수 있으므로, 공급업체를 조사하고 지역별 규제 준수에 적합한 데이터 보존 옵션을 제공하는지 확인하는 것은 해당 업체를 이용하는 기업의 몫입니다.
이상 나열된 모범 사례의 중요하고 일관된 측면은 지역별 법률 및 규정 관련 정보를 항상 최신 상태로 유지해야 한다는 것입니다. 규제 준수는 역동적이고 지속적인 프로세스이며, 늘 새로운 기술이 등장하고 관련 지침이 지속적으로, 때로는 매우 빠르게 변화하기도 합니다. 기업은 데이터 주권 원칙을 수립한 후에도 지속적인 검증 및 규제 준수 여부를 모든 관련 지역 및 관할권에서 정기적으로 확인해야 합니다.
Oracle은 전 세계 고객의 다양한 데이터 주권 요구사항 충족을 지원하고자 OCI의 모든 기능을 활용하여 특정 상업용 및 정부용 클라우드 요구사항을 해결할 수 있도록 설계된 배포 모델인 Oracle Cloud Infrastructure(OCI) Sovereign Cloud 솔루션을 제공합니다. Oracle의 오퍼링은 기업의 데이터 레지던시, 데이터 액세스, 규제 준수 인증 관리를 지원합니다. 또한 Oracle National Security Regions은 고도로 기밀이 유지되고 민감한 워크로드 실행을 위한 안전한 정부용 네트워크를 제공하고, Oracle EU Sovereign Cloud는 EU 규제 준수 관련 니즈에 부합하는 퍼블릭 클라우드 서비스, 가격, 프로그램을 제공합니다.
데이터 주권이란 어떤 개념인가요?
데이터 주권이란 특정 관할권 내에서 저장되고 생성된 데이터에는 해당 관할권의 데이터법이 적용된다는 개념을 말합니다. 따라서 특정 국가 내 사용자의 개인 데이터는 해당 국가의 법률을 적용받습니다. 마찬가지로 클라우드 제공업체가 고객과 다른 관할권 내에 데이터를 저장하는 경우 다수의 규정이 적용될 수 있습니다. 대부분의 경우 관련 규정을 준수할 책임은 스마트폰 앱을 보유한 기술 기업과 같이 사용자 데이터를 획득하고 클라우드 제공업체에 서비스 비용을 지불하는 기업에게 부여됩니다.
데이터 주권 원칙과 관련된 사례로는 어떤 것들이 있나요?
데이터 주권 원칙과 관련된 가장 잘 알려진 사례 중 하나는 EU의 GDPR입니다. 2016년 구상되어 2018년부터 시행된 GDPR은 EU 시민에게 적용되며, 개인 데이터 프라이버시, 데이터 수집, 데이터 보호 및 자동화된 데이터 사용 등과 관련된 규정을 담고 있습니다. GDPR은 현존하는 데이터 프라이버시 법 중 가장 영향력 있는 법으로 꼽히기도 합니다.
데이터 주권이 중요한 이유는 무엇인가요?
플로피 디스크 시대에는 데이터 전송 기능이 제한되어 있었으므로 데이터 주권에 대한 논의가 많지 않았습니다. 그러나 오늘날에는 연결성 및 IoT 디바이스의 성능이 향상됨에 따라 모든 곳에서 데이터가 끊임없이 생성되고, 국경을 넘어 전송되고 있습니다. 데이터 주권은 기업이 사용자 데이터, 특히 소셜 미디어를 통해 수집된 개인 데이터 또는 은행 앱을 통해 수집된 금융 데이터 등을 활용하여 할 수 있는 일을 결정하는 데 도움을 주는 중요한 개념입니다. 또한 모든 전자기기 및 웹사이트는 해커로 인한 잠재적인 개인정보 위험에 노출될 수 있으므로 데이터 프라이버시 및 보안을 누가 책임져야 하는지에 대한 의문이 제기될 수 있습니다. 데이터 주권 이니셔티브는 데이터를 수집, 처리, 저장하는 기업에 대한 명확한 지침, 제한 사항, 책임을 수립하는 데 도움이 됩니다.
미국의 데이터 주권 현황은 어떤가요?
미국에는 자국민을 보호하기 위한 포괄적 단일 데이터 주권법이 없습니다. 미국 연방거래위원회는 데이터 프라이버시 정책을 준수하지 않는 기업을 조사하고 기소할 수 있는 권한을 가지고 있습니다. 주 단위에서 캘리포니아의 CCPA는 EU의 GDPR과 동일한 영역을 다수 다루고 있으며, 이는 캘리포니아가 미국 전체 경제, 특히 기술 부문에 상당한 기여를 하고 있다는 점을 고려할 때 특히 중요한 사실입니다. 오리건주, 콜로라도주, 버지니아주 등 다른 주에서도 데이터 프라이버시 법을 시행하고 있으며, 최근 몇 년 동안 다양한 범위의 법안을 도입하는 주가 늘어나고 있습니다. 이와 관련하여 미국에서는 GDPR 이전부터 2001년 미국 애국자법(USA PATRIOT Act)의 제정을 계기로 데이터 프라이버시 및 데이터 윤리에 관한 많은 질문이 제기된 바 있습니다. 2018년 제정된 클라우드 법(CLOUD Act)은 데이터 주권과 관련된 법이라는 사실에 유의해야 합니다. 그러나 해당 법은 법 집행 기관이 영장이나 소환장을 제시할 경우 클라우드 서비스 제공업체 및 해당 업체가 보관 중인 데이터에 부과되는 의무를 집중적으로 규정하고 있습니다.