美 정부의 무분별한 클라우드·민간인 사찰··· 유럽연합의 '디지털 독립' 단초 됐다
[IT동아 남시현 기자] 지난 4월 8일, 프랑스 정부 산하 디지털 업무 총괄국(DINUM)이 프랑스 정부의 역외 디지털 의존도를 줄이는 방안과 관련한 세미나를 개최했다. 세미나에는 기업총국(DGE), 프랑스 국가 사이버보안청, 국가조달청이 참가했으며 프랑스 장관과 정부부처 관계자, 공공기관 및 민간 부문 이해관계자들이 한자리에 모였다. 세미나의 핵심은 프랑스 정부가 총 250만 대의 마이크로소프트 윈도우를 리눅스 운영체제 기반으로 변경할 것, 2026년 말까지 의료 데이터 및 국민건강보험기금 데이터를 정부 부처 간 디지털 플랫폼 등으로 전환할 것을 담고 있다.
DINUM은 앞으로 유럽 외 공급 업체에 대한 의존도를 줄이기 위한 부처 간 계획을 수립하며, 올해 가일까지 통신사업자를 포함해 작업용 PC, 협업 도구, 백신 소프트웨어, AI, 데이터베이스, 가상화 및 네트워크 등 분야에서 어떻게 대체할지에 대한 계획을 수립하기로 했다. 데이비드 아미엘 프랑스 공공사업회계부 장관은 “우리는 미국산 도구에 대한 의존도를 낮추고 디지털 미래에 대한 주도권을 되찾아야 한다. 우리의 데이터와 인프라, 전략적 결정이 우리가 통제할 수 없는 규칙, 가격, 위험성을 지는 설루션에 의존하도록 둘 수 없다”는 취지로 말했다.
사실 프랑스 정부가 기술 독립을 내세우는 건 어제오늘 일은 아니다. 20여년 전인 2007년 당시 프랑스 정부는 하원의원 및 보좌관들이 사용하는 1100여 대 PC를 우분투 리눅스로 교체했었고, 2008년에도 국가 헌병대가 약 7만 대의 PC를 우분투 기반 커스텀 OS 운영체제로 변환했다. 다만 당시 조치는 안보보다는 윈도우 라이선스 비용을 절감하기 위한 경제적 목적이 컸고, 가능한 부분에 한해 일부 진행한 터라 큰 효과를 거두진 못했다.
그러다 2021년 이후부터는 정부 조직 내 민감 데이터를 마이크로소프트 365, 구글 워크스페이스에서 쓸 수 없도록 제한하는 조치를 시작했다. 또한 미국-중국발 갈등이나 글로벌 빅테크의 데이터 독점 문제가 대두되고, 결정적으로 미국 정부가 개인을 상대로 소프트웨어 사찰 및 제재를 가하면서 유럽 내에서 미국산 소프트웨어, 운영체제 의존도를 낮추기 시작했다. 이제는 경제적 문제가 아닌 안보, 국가 주권 문제인 만큼 소프트웨어 전환은 반강제적 성격을 띠고 있다.
트럼프 정부가 쏘아올린 국가 디지털 주권의 중요성
유럽 국가들이 소프트웨어 자립에 나선 것은 내부적 요인보다는 2025년 2월 당시 트럼프 대통령이 서명한 행정명령 14203호 때문이다. 행정명령은 미국 시민과 미국 동맹국을 조사하기 위해 ICC에 협력하는 이들에 대한 비자를 제한하고, 재정적으로 처벌한다는 내용을 담고 있다. 2024년 11월 당시 국제형사재판소(ICC)가 이스라엘 총리인 베냐민 네타냐후, 전 이스라엘 국방장관 요아브 갈란트에 대한 체포 영장을 발부한 것에 따른 보복 조치다.
이어서 트럼프 첫 임기 당시 아프가니스탄에서 발생한 미국의 전쟁 범죄 가능성을 조사한 것에 따른 처벌로 ICC의 수석 검사 파투 벤수다와 그의 동료, 카림 아흐마드 칸 ICC 수석검사 등 한 달 주기로 ICC 판사 및 검사 등을 대상으로 제재가 내려지고 있다. 이에 네덜란드, 유럽 이사회 의장 등이 국제 사법기관에 대한 독립성을 위협한다며 미국 정부를 비판했다.
제재 대상에 오른 캐나다 국적의 킴벌리 프로스트 ICC 판사는 음성인식 비서 알렉사와 아마존 계정 정지를 시장으로 신용카드와 은행 사용 정지, 미국 내 자산 동결, 직계가족에 대한 비자 취소 등이 이뤄졌다며 사소한 불편함이 한꺼번에 닥치며 삶에 마비되는 것 같다고 밝힌 바 있다. 특히 카림 칸 수석검사에게 내려진 조치가 유럽 내 각국 정부의 소프트웨어 독립을 일으키는 도화선이 됐다.
지난해 5월 마이크로소프트는 행정명령을 근거로 카림 칸을 비롯한 여러 공식 이메일 계정 접근을 차단했다. 브래드 스미스 마이크로소프트 부회장이 유럽에서 사용자 권리 보호를 위해 싸우겠다고 약속했는데, 일주일만에 미국 정부 명령으로 계정 접속이 차단된 것이다. 프랑스와 독일, 이탈리아 등 주요 국가는 기밀 데이터를 자국 데이터센터에서 운영하긴 하나, 기술력의 한계로 인해 마이크로소프트나 구글, AWS와 합작 법인 등의 형태로 운영하거나 함께 활용하는 하이브리드 클라우드 형태로 쓰고 있다. 데이터가 유럽연합 영토 내 있긴 해도 완벽히 안전하다고 보긴 어렵다는 게 드러났다.
유럽연합의 디지털 주권 확보, 제도 구축부터 클라우드로 번져
미국이 유럽연합 내 디지털 주권을 침해하는 신호는 동시다발적으로 나오고 있다. 유럽 디지털 정책 및 인프라 전문 싱크탱크인 미래기술연구소(FOTI)가 발간한 유럽연합 내 국방 클라우드 조사 보고서에 따르면 미국 기업의 유럽 클라우드 시장 점유율은 약 80%에 따르며 유럽 28개 국가 중 23개국이 국방 또는 안보 체계를 미국 클라우드 서비스에 의존하는 것으로 나타났다. 이중 16개 기관은 미국과 직접 계약을 맺어 ‘킬 스위치’로 인해 언제든지 무력화될 수 있는 것으로 나타났다.
미국 클라우드법은 미국의 법 집행기관이 해외에 저장된 데이터의 접근 권한에 관여할 수 있다. 실제로 지난 2025년 초 미국 국가지리정보국의 조치로 미국의 위성이미지 제공 업체인 멕사(Maxar)가 우크라이나에 위성 데이터 제공을 중단한 사례가 있다. 또한 지난해 로이터는 미국 협상단이 우크라이나가 휴전 협상 중 광물 거래를 수용하지 않는다면 스타링크 접속을 차단할 수 있다고 경고했다고 보도했다.
각 유럽 국가는 하이퍼스케일러의 글로벌 클라우드 인프라와 정부 시스템에 간극을 두는 ‘에어 갭 시스템’을 구축 중이다. 독일의 ‘델로스 클라우드’는 마이크로소프트 애저 서비스가 기반이지만 독일 기업 SAP와 도이치텔레콤이 운영한다. 독립적으로 운영되므로 향후 사후지원 등이 끊기더라도 일시적으로 자체 운영하거나 서비스될 수 있다. 프랑스 정부는 탈레스와 구글 클라우드와 합작해 S3NS라는 자체 클라우드를 만들었고, 프랑스 사이버보안청이 SecNumCloud라는 자체 인증 제도를 통해 미국계 기업의 진입을 가로막고 있다.
이외에도 오픈소스 소프트웨어 전략을 통해 공공 소프트웨어 개발 시 유럽 전역에서 활용할 수 있도록 지원하고, 디지털 커먼즈 제도를 통해 개발자들이 유럽산 소프트웨어를 공동 개발하고 유지보수할 수 있도록 자금을 지원한다.
미국 압박에 IT 인프라 장벽 해제한 대한민국, 국내기업 경쟁력 강화해야
소프트웨어와 클라우드는 단순한 IT 시스템이 아닌 국가 체제를 위협할 수 있는 지정학적 무기가 되고 있다. 유럽은 전통적인 우방국인 미국에 클라우드 인프라의 80%를 위탁했고, 결국 잠재적인 위협으로 돌아왔다. 반면 우리나라는 클라우드보안인증(CSAP) 인증제도를 사실상 폐기하며 국정원 보안성 검토와 통합하기로 결정했다. 그간 클라우드 사업자와 서비스는 CSAP 인증을 받은 뒤 국정원 보안성 검토까지 취득해야 했다. 하지만 기업 부담 완화와 중복 규제 철폐를 이유로 이달 들어 CSAP 인증 제도를 사실상 폐지했다.
그간 우리 정부는 CSAP 인증 제도를 통해 물리적 망 분리, 국내 데이터센터 확보 등을 이유로 외산 클라우드 진입을 막아왔지만, 미국 무역대표부(USTR)가 지난해 발간한 국가별 무역장벽 보고서에 CSAP를 직접적인 장벽으로 지목하며 압박한 탓이다. 장기적으로는 국내 클라우드 공급자(CSP) 지원 사업을 보조금이라며 압박하고, 국내 공공 클라우드 산업을 유럽처럼 잠식해 나갈 가능성이 생긴 것이다.
우리가 유럽처럼 소버린 AI, 디지털 주권의 주도권을 확고히 다지기 위해서는 네이버클라우드, NHN클라우드 등 국산 CSP 기업들이 외산 클라우드보다 객관적으로도 우수한 상품성과 경쟁력을 갖춰야 한다. 또한 소프트웨어 측면에서도 과감히 오픈소스를 지원하고, 이에 참여하는 개발자와 생태계를 적극 지원해야 할 것이다.
IT동아 남시현 기자 (sh@itdonga.com)
