클라우드 컴퓨팅의 사전적 의미는 ‘사용자의 직접적인 관리 없이 특히, 데이터 스토리지와 컴퓨팅 파워와 같은 컴퓨터 시스템 리소스를 필요시 바로 제공하는 것’ 이다. 사전적 의미에서부터 드러나 있듯이, 클라우드 컴퓨팅은 AI 기술이 활용됨에 있어서 필요한 요소들을 직접적으로 갖추고 있다. 즉, 클라우드 컴퓨팅의 ‘데이터 스토리지’와 빠르게 복잡한 연산을 수행할 수 있는가를 의미하는 ‘컴퓨팅 파워’가 복잡한 계산을 빠르게 수행하기를 요구하는 AI 기술에 매우 적합하다.
보다 구체적으로 설명하자면, 클라우드 컴퓨팅 기술을 통해 단순한 데이터 처리 및 보관뿐만 아니라 보관된 데이터를 가공하고 소프트웨어 형태로 활용하는 것이 가능해지면서 AI 기술 성능에 직접적인 영향을 미치는 매개변수를 보다 자유롭게 저장하고 관리가 가능해졌다. 클라우드 컴퓨팅이 AI 기술 개발에 활용된 이후로 기존에 AI 기술 구현이 개별 PC 수준에서 구현이 어렵다는 단점을 극복하게 하였고, 일반적인 개인이 고성능의 GPU나 메모리 장치를 소유하고 있지 않아도 AI를 활용한 서비스를 쉽게 접근할 수 있게 되었으며 클라우드 인프라를 자체적으로 보유한 마이크로소프트와 구글이 생성형 AI 시장을 선도하는 원동력이 되고 있다. 이러한 이유로 2022년 11월 Open AI의 GPT-3.5가 출시된 이후 생성형 AI 시장의 폭발적인 성장이 클라우드 시장의 수요 증가를 견인하는 중이다. 생성형 AI를 비롯한 IT 신기술들이 보다 많은 산업으로 확장될 것으로 전망됨에 따라 클라우드 시장의 성장세 역시 지속될 것으로 보인다.
하지만 생성형 AI 시장에서 발생하는 여러 문제점 역시 클라우드 시장에 영향을 미치고 있다. 이것의 가장 대표적인 예시는 ‘데이터 주권’ 문제이다. 현재 대부분의 생성형 AI는 ‘지도학습’ 방식으로 작동하는데, 이 과정에서 AI 모델이 편향된 학습 데이터로 인해 예측이 부정확 해지거나, 특정 집단에 대한 편견을 반영할 수 있고 생성형 AI 모델의 알고리즘이 거대화됨에 따라, 최종 사용자가 AI 모델이 어떠한 과정을 거쳐 결과물을 생성해 내는지 파악하기 어려워지는 ‘모델의 블랙박스화’를 야기해 최종 사용자의 판단 능력을 방해할 위험성도 있으며 AI 모델이 활용하는 학습용 데이터에 민감한 개인정보 및 국가 정보가 포함되어 데이터가 무단으로 노출되거나 유출될 경우 개인 및 국가의 보안이 위협받을 수 있다. 2023년 8월 개인정보보호 기업 프라이버시호크(Privacy Hawk)가 공개한 설문조사에 따르면 설문조사에 응답한 80%는 자신의 개인 데이터가 AI 모델 학습에 사용되는 것을 우려했으며, 92%는 국가 차원의 개인정보 보호법이 필요하다고 응답했을 정도로 이미 AI 활용에 의한 개인정보 침해에 대한 우려는 팽배해 있는 상황이다. 이에 대응하기 위해 EU는 최근 의료, 교육을 비롯한 공공 서비스나 선거, 자율주행 등에서 AI 기술을 사용할 경우, 사람이 반드시 감독하고 위험관리시스템을 구축해야 된다는 등의 내용을 담은 법안을 가결하는 등 AI 학습으로 인한 개인정보 침해 및 국가 데이터 주권 침해를 방지하기 위한 국가 차원의 움직임도 활발하다.
단순 AI기술 뿐만 아니라, 클라우드 컴퓨팅을 활용하는데 있어서도 민감한 데이터에 대한 저장 및 관리의 어려움은 증가하고 있다. IDC(International Data Corporation)에 따르면 유럽과 중동, 아프리카 조직의 64%는 민감한 데이터의 양이 증가하고 있음에도 불구하고 63%가 현재 기밀 데이터를 퍼블릭 클라우드에 저장하고 있다고 발표하였다. 이러한 우려에 대응하기 위해, 정확히는 재해 및 사이버 공격과 같은 대외적 위협 요인뿐 아니라 AI 워크로드를 위한 데이터 활용 수요 증가라는 내부적 요인으로 인해 데이터 주권 및 회복 탄력성을 모두 제공하는 클라우드 서비스 도입에 대한 기업들의 수요가 증가하고 있다. 이러한 이유로 많은 기업들은 퍼블릭 클라우드 도입에서 나아가, 사내에 구축할 수 있는 프라이빗 클라우드와 소버린 클라우드의 도입 전략도 사전에 고려해야 할 필요성을 느끼고 있다.
소버린 클라우드란 현지 국가의 데이터 주권을 보장하기 위해 현지 법률과 규정을 준수하여 현지에 데이터 센터를 두고, 데이터 접근이 이루어지도록 설계하고 구축된 클라우드 컴퓨팅 아키텍처를 의미한다. 소버린 클라우드 서비스 제공업체는 메타데이터를 포함한 각 가입자의 데이터를 외부 접근으로부터 보호하고 데이터가 발생한 나라의 개인정보 보호 의무를 준수하여 저장하도록 보장한다. 소버린 클라우드는 특정 국가, 지역 또는 특정 지역에 서비스를 제공하는 클라우드 제공업체가 소유, 제어, 운영하는 준공공 클라우드 서비스이며, 지방 정부가 직접 소유하거나 민간 및 공공 기관으로 구성된 컨소시엄이 소유할 수 있고, 때로는 정부와 긴밀히 협력하는 민간 기업이 소유하는 예도 존재한다.
소버린 클라우드는 데이터에 대한 통제권과 소유권을 강화하여 특정 국가나 지역에 데이터를 보관하는 등 현지 규정과 법률을 준수해 데이터를 저장하고 관리할 수 있도록 함으로써 퍼블릭 클라우드를 사용하며 발생 가능한 백업 및 복구 작업과 같이 의도치 않은 이유로 데이터가 국외로 이동될 위험을 회피가 가능한 서비스를 제공한다. 또한 소버린 클라우드는 암호화, 액세스 제어, 네트워크 세분화 등의 강화된 보안 조치를 제공하며, 특정 국가나 지역에 맞게 조정 가능한 서비스를 제공한다. 현재도 대형 퍼블릭 클라우드도 동일하거나 더 나은 서비스를 제공 가능하지만, 소버린 클라우드의 보안 시스템은 특정 국가의 법률과 규정을 위해 특별히 설계되었기 때문에 해당 국가의 데이터 보안 조치를 지원하는 것에 있어 차별점을 갖고 있다. 이와 더불어 소버린 클라우드를 활용하는 것으로 상용 클라우드 제공업체로부터의 독립성을 강화하여 외국 기술 및 인프라에 대한 의존도를 낮출 수 있다는 장점도 존재한다.
이러한 장점들을 바탕으로 소버린 클라우드는 기존 퍼블릭 클라우드 환경보다 보다 데이터 주권을 보호하는 서비스를 제공 가능하지만 몇 가지 리스크를 동반한다. 첫째, 소버린 클라우드는 다른 클라우드 인프라와 호환되지 않을 수 있으며, 이에 따라 상호운용성 및 데이터 교환 문제가 발생하고 있다. 퍼블릭 클라우드와 프라이빗 클라우드 환경을 동시에 활용하거나 여러가지의 상용 클라우드 서비스를 동시에 활용하는 하이브리드 클라우드 컴퓨팅이 일반적인 클라우드 서비스 활용방안으로 자리잡고 있는 트렌드에서 이러한 리스크는 치명적인 단점으로 작용할 가능성이 있다. 둘쨰, 소버린 클라우드의 가장 큰 강점인 데이터 프라이버시와 데이터 주권에 대한 보호 강화가 활용 환경에 따라 정부가 시민의 데이터를 수집하고 감시하는 데 사용될 수 있어 온전한 프라이버시 및 데이터 주권 보호를 달성하지 못할 수도 있는 리스크가 존재한다. 마지막으로 정부 또는 컨소시엄의 운영에 크게 의존하는 소버린 클라우드의 경우 상용 클라우드를 활용할 때보다 활용에 있어서 유연성과 자율성이 제한되는 한편 새로운 기술과 서비스를 채택하는 속도가 느려 혁신과 경쟁력 유지에 한계가 있을 수 있다는 리스크가 있다.
앞서 설명한 여러가지 리스크에도 불구하고, 여전히 개별 소비자들과 국가적 차원의 데이터 주권 보호에 대한 관심과 프라이버시 및 기밀 유지 침해에 대한 우려는 날이 갈수록 커지고 있기 때문에 이미 소버린 클라우드 활용을 적극적으로 고민하고 소버린 클라우드 도입을 적극적으로 추진하는 사례가 등장하고 있다. 2024년 3월 6일 네이버그룹이 아람코디지털과 ‘중동 및 북아프리카 지역(NEMA) 디지털 혁신(DX)를 위한 파트너십’을 체결한 것이 가장 대표적이다. 해당 파트너십을 통해 네이버와 아람코는 중동지역에서 데이터 주권을 보장가능한 DX를 성공적으로 수행하기 위해 AI와 클라우드 분야에서의 협력을 약속했다. 두 회사는 중동 지역에 최적화된 AI모델과 클라우드 환경을 구축하고 아랍어 LLM(거대언어모델) 기반의 ‘소버린AI’를 개발하는데 중점을 두고 협력할 예정이다. 이 파트너십은 데이터 주권 이슈가 클라우드와 AI 산업의 공통 관심 분모로 자리잡은 것을 명확히 보여주는 사례이며, 향후 소버린 클라우드가 AI 산업에서 ‘소버린 AI’라는 이름으로 영향력을 미칠 것이라는 전망을 확실히 보여주는 사례이기도 하다.
해당 사례 외에도 이미 클라우드 서비스를 제공하는 기업들은 소버린 클라우드 경쟁에 적극적으로 참여하고 있다. VM웨어는 이미 전세계 14개국 이상의 국가에 국가별 클라우드 서비스 제공사와 협업해 VM웨어 소버린 클라우드를 공급하였다. AWS는 제공하는 클라우드 서비스가 원천적으로 디지털 주권을 강화하는 방식으로 설계될 것이라는 내용을 포함한 ‘AWS 디지털 주권 서약: 타협 없는 제어’를 공개하였고, 오라클은 독일과 스페인에 유럽연합용 소버린 클라우드 리전을 설립할 예정이라고 발표하였으며, 마이크로 소프트는 ‘주권을 위한 클라우드’라는 용어를 앞세워 정부 영역에 특화된 소버린 클라우드를 공개하며 일부 국가에 소버린 클라우드 리전을 설립 및 소버린 클라우드 전용 플랫폼을 제공할 것이라는 계획을 발표하였다.
소버린 클라우드는 아직 국내외에서 보편적인 클라우드 컴퓨팅의 활용 형태로 자리잡지는 못하였으나 AI 시장 성장에 필연적으로 요구되는 클라우드 내의 데이터 주권 확보에 대한 갈증을 해결할 주요한 열쇠로 주목을 받고 있다. 과연 소버린 클라우드가 급변하는 데이터 환경에서 개인 및 조직, 그리고 국가의 데이터 주권을 안정적으로 지켜내는데 성공하여 향후 확실한 클라우드 컴퓨팅 옵션으로 자리잡을 수 있을까.
작성자: ITS 25기 이강훈