유럽 클라우드 13개사, 미국發 '데이터 사각지대' 막기 위해 EU 기술 주권 패키지 전격 지지

이는 유럽 각국 정부에 근본적인 역설을 안겨준다. 아마존, 마이크로소프트, 구글 같은 이른바 '하이퍼스케일러'들이 유럽 현지 법인을 통해 프랑크푸르트나 파리의 데이터센터에 EU 공공기관 데이터를 저장하더라도, 그 데이터는 법적으로 여전히 미국 당국의 접근 권한에 노출된다는 의미다.

전문가들은 이를 두고 '주권 세탁(Sovereignty Washing)'이라는 용어를 써왔다. 아무리 데이터 현지화 마케팅을 해도, 미국 법률의 역외 적용을 무력화할 수는 없다는 비판이다 . 여기에 더해, 최근 몇 달 사이 미국 사이버 보안 및 인프라 보안국(CISA)의 자체 클라우드 암호화 키가 노출되는 사건마저 발생하며 신뢰는 더욱 약화되었다 . 그 결과, EU 정책 입안자들 사이에서는 클라우드법의 적용 대상이 아닌 사업자만이 진정한 기술적 주권을 제공할 수 있다는 공감대가 확산되고 있다.

기술 주권 패키지, 그 실체는?

당초 몇 차례 연기된 끝에 5월 27일 공식 발표된 이번 패키지는, 관계자들이 '유럽형 기술 스택'이라 부르는 통합 생태계를 구축하기 위한 4가지 주요 이니셔티브로 구성된다 .

클라우드 및 AI 개발법 (CADA)

입법의 중심축이다. 향후 5~7년 내에 EU 역내 데이터센터 용량을 최소 3배로 확충하는 것을 목표로 하며, 특히 EU 법률 역사상 처음으로 '주권 클라우드'의 법적 정의를 내리는 중대한 전환점이 될 전망이다 . 공공 행정 및 조달에 관한 EU 차원의 단일 클라우드 정책을 수립하는 것도 골자다. 유출된 초안에 따르면, '초고위험군' 국가 입찰에서 클라우드 서비스에 대한 엄격한 기준을 제시함으로써, 아마존웹서비스(AWS), 마이크로소프트 애저, 구글 클라우드 같은 미국 사업자를 사실상 배제하는 효과를 의도한다 .

반도체법 2.0 (Chips Act 2.0)

첫 번째 반도체법이 공급 역량 구축에 집중했다면, 이번 개정판은 전략적 전환을 선언한다. 특히 인공지능(AI) 분야에서 유럽산 반도체에 대한 수요를 정부 주도로 끌어올리는 데 방점이 찍혔다 . 새 프레임워크에는 수요 집계 메커니즘과 위기 관리 도구가 포함된다. 가장 공격적인 조항은, 위기 상황 발생 시 브뤼셀이 기존 민간 계약을 무시하고 EU 주문을 최우선으로 생산하도록 반도체 제조사에 강제할 수 있는 권한을 담고 있다 .

오픈소스 소프트웨어 전략 및 에너지 로드맵

이 외에도 독점적인 미국 소프트웨어의 대안으로 유럽산 오픈소스 디지털 생태계를 육성하기 위한 전략과, 에너지 분야의 AI 도입을 위한 분야별 전략 로드맵이 포함된다 .

공공 부문 클라우드 계약, 이렇게 바뀐다

가장 체감이 큰 변화는 EU 27개 회원국 정부의 정보기술(IT) 조달 시장에서 발생할 전망이다. 이번 제안은 민감한 공공 부문 데이터 처리에 미국 클라우드 플랫폼을 사용하는 것을 범주적으로 제한하기 때문이다 .

• 대상 분야: 의료 기록, 금융 시스템, 사법 데이터가 명시적으로 거론된다 .
• 제한 방식: 전면적인 상업적 금지는 아니다. 대신 CADA는 인증 및 조달 규칙을 통해 미국 기업들이 충족하기 까다로운 구조를 설계하여, 고부가가치 정부 계약에서 이들을 효과적으로 밀어내는 '사실상의 유럽산 우선 구매(Buy European by Design)' 접근법을 취한다 .
• 즉각적 영향: EU 각국 정부는 이러한 민감 업무 환경을 OVH클라우드, 스칼웨이, STACKIT 같은 유럽 사업자로 이전해야 한다. 앞서 언급된 1억 8천만 유로 규모의 집행위 자체 계약은 그 시범 사례라 할 수 있다 .

'탈미국 의존', 산적한 구조적 난제들

규제의 추진력에도 불구하고, 전문가들은 의존도를 줄이는 과정이 길고 비용이 많이 들 수밖에 없는 구조적 장벽을 지적한다.

클라우드법의 역설은 계속된다. 설사 성공적으로 완전한 유럽산 클라우드로 이전하더라도 클라우드법으로부터 완전한 면책권을 얻는 것은 아니다. 해당 유럽 사업자의 공급망 어딘가에 미국 기업이 관여되어 있다면, 데이터는 여전히 법적 위험에 노출된다. 이는 지속적이고 해결하기 어려운 취약점을 남긴다 .

경제적 중력과 시장 집중도. 유럽 클라우드 시장의 약 70%는 3대 미국 하이퍼스케일러가 장악하고 있다 . 유럽의 기업과 정부는 AWS, 애저, 구글 클라우드 생태계에 깊숙이 종속되어 있으며, 개별 유럽 사업자들이 당장 따라잡기 어려운 고급 AI 서비스와 글로벌 엣지 인프라에 의존하고 있다. 급격한 강제 이전은 공공 IT의 공급 부족, 성능 격차, 그리고 상당한 비용 증가를 초래할 위험을 안고 있다 .

파편화의 망령. 브뤼셀이 조화를 추구하지만, 회원국들은 자국의 조달 정책에 상당한 재량권을 보유한다. 이는 일부 국가가 미국 기술에 대한 우회적 의존을 유지하게 만들어, 동 패키지가 목표로 하는 역내 단일 디지털 시장을 오히려 파편화시킬 수 있다는 위험성을 내포한다 .