[컴퓨터월드] 소버린(Soverign)은 ‘자주적인’, ‘주권이 있는’이라는 사전적 의미가 있다. 이를 산업적인 맥락으로 확장하면 클라우드 및 인공지능(AI) 등과 같은 해외 빅테크 중심의 기술 분야에서 자국 기술 개발·운영에 대한 자주성을 가지는 것으로 해석할 수 있다.

최근 새정부 출범으로 ‘소버린 AI’에 대한 관심이 높아지고 있다. 정부가 AI를 미래 먹거리로 보고 AI 분야에 총 100조 원 규모의 투자 계획을 발표한 가운데 업계에서는 소버린 AI 실현을 위한 데이터 활용 범위 기준, 인재 확보 등에 대한 논의가 이어지고 있다. 한편 클라우드 업계에는 2022년 즈음 ‘소버린 클라우드’란 개념이 등장했다. 업계에서는 최근 대두되고 있는 소버린 AI 구현을 위한 기반 인프라로서 소버린 클라우드에 대한 관심과 투자 또한 함께 이뤄져야 한다고 목소리를 높이고 있다.

소버린 클라우드는 소버린 AI를 실현하기 핵심 인프라로, AI의 연료인 데이터를 안전하게 저장·처리·관리할 수 있는 기반을 제공한다.

세부적으로 살펴보면 데이터가 해당 국가나 법적으로 정해진 영역 안에서 저장되고 처리될 수 있도록 하며, 미국의 클라우드 액트(CLOUD Act)와 같은 외국 정부의 법적 접근으로부터 자국의 데이터를 보호한다. 또한 자국에서 대규모 AI 모델을 학습하고 배포할 수 있는 슈퍼컴퓨팅 리소스와 그래픽처리장치(GPU) 클러스터, AI 플랫폼 등을 확보해 AI 개발‧운영의 자율성을 높이는 것을 목표로 한다.

이를 위해서는 데이터와 클라우드 환경 구성에 적용되는 각종 법·규제를 준수할 수 있는 아키텍처 설계가 필수적이다. 우리나라는 로컬 시장에서 미국 빅테크와 경쟁이 가능한 국산 클라우드 기업들을 갖고 있다. 이는 국내 클라우드 생태계를 소버린 클라우드를 통해 더욱 활성화할 수 있는 기반이 된다.

최근 정부가 소버린 AI를 핵심 기치로 내세우며 다양한 논의가 이어지고 있는 한편 AI 생태계의 기반이 되는 소버린 클라우드에 대한 논의는 부족한 실정이다.
 

‘운영 독립’ 강조하는 국내, ‘접근 통제’ 내세우는 해외

소버린 클라우드는 국가의 법률과 규정을 준수하면서 데이터에 대한 통제권, 소유권, 자주권을 부여하는 클라우드 인프라 아키텍처로 정의할 수 있다. 이러한 소버린 클라우드에 대해 국내 기업과 해외 기업은 서로 다른 접근 방식을 보였다.

먼저 국내 기업들은 ‘운영 주제의 독립성’을 강조했다. 국내 기업이 소버린 클라우드를 바라보는 핵심 기준으로 △클라우드 자원의 물리적 위치 △클라우드 운영 주체 △클라우드상의 데이터 관리 주체 등 세 가지 요소를 제시했다. 예를 들어 자국 내에 데이터센터가 위치하고, 해당 인프라 및 클라우드를 자국 기업이 운영해야 하며, 해당 클라우드에 저장된 데이터의 사용 권한 도 자국 내 기관·기업·개인이 갖는 것이 이상적인 소버린 클라우드의 모습이라는 설명이다.

네이버 클라우드 관계자는 “소버린 클라우드는 특정 국가 내에 서비스를 제공하는 퍼블릭 클라우드 개념에 가깝다”고 설명했다. 카카오엔터프라이즈 관계자는 “국내 테크 기업 입장에서 클라우드에 대한 기술 내재화와 운영 독립성까지 포함된 영역”이라고 강조했다.

해외 기업은 ‘접근 통제와 규정 준수 체계’에 초점을 뒀다. 대표적으로 오라클의 경우 소버린 클라우드에 대한 기준을 여섯 가지로 정립했다. 오라클은 △접근 통제(지정된 조직이나 개인만 클라우드에 접근 가능) △데이터 위치와 주권 제어(고객이 데이터 저장 위치와 데이터센터 소유 여부를 직접 결정) △정부·산업 규제 및 법적 요구사항을 충족하는 컴플라이언스 체계

△보안 인가를 받은 인력에 의한 운영 지원 △인터넷과 분리된 전용 네트워크 환경(에어갭) △고객이 직접 키를 관리하는 고급 암호화 체계 등을 제시했다.

국내와 해외 기업은 자원의 물리적 위치, 클라우드 운영 주체, 클라우드 상의 데이터 관리 주체성이 해당 국가에 있는지 여부에 대해 공통적으로 중요하게 여겼다. 다만 국내 기업은 ‘개발운영 주체성’을, 해외 기업은 ‘고객에게 얼마나 안전한 소버린 클라우드 환경을 마련할 수 있는가’에 초점을 맞췄다.
 

EU, ‘가이아-X’ 통해 디지털 주권 강화

소버린 클라우드는 2018년 미국의 클라우드 액트(CLOUD Act) 제정을 계기로 유럽연합(EU)을 중심으로 확산되기 시작했다. 이 법에 따라 미국 보안 기관이 요청할 경우 역외 서버에 있는 데이터까지도 전달해야 하는 상황에 직면한 EU는 소버린 클라우드 구축을 통해 자국민의 개인 데이터를 보호하려는 움직임을 보였다.

EU는 클라우드 액트 이전부터 일반정보보호규정(GDPR)과 개인정보보호지침(ePrivacy Directive)을 시행하며 EU 기반 사용자로부터 얻은 데이터를 반드시 EU 내에서 저장하고 처리해야 한다는 법적 요구 사항을 가지고 있었다. 이러한 EU의 데이터 주권 강화 노력은 클라우드 액트의 역외 데이터 접근권과 상충하는 지점이 있어, 소버린 클라우드의 필요성을 더욱 부각시켰다.

EU에서는 프랑스와 독일을 중심으로 유럽의 데이터 주권 및 디지털 주권을 확보하기 위해 ‘가이아(GAIA)-X’ 프로젝트를 추진 중이다. 가이아-X는 유럽 내 안전하고 투명하며 연합된 디지털 생태계 구축을 목표로 하는 이니셔티브다. 이를 바탕으로 EU는 클라우드 간 상호호환성 확보를 위한 표준화 및 시범사업 등을 추진하고 있다.

지난 6월 클라우드 컴플라이언스 기업 클라우드데이터엔진(CDE)은 지난 6월 프랑스 기술 박람회 ‘비바테크(VivaTech) 2025’에서 가이아-X 신뢰 프레임워크 준수 여부를 자동으로 모니터링할 수 있는 소프트웨어 제품군(Suite)을 공개했다. 기존에는 클라우드 서비스가 가이아-X의 규정들을 제대로 지키고 있는지 일일이 확인이 어려웠으나, 해당 솔루션을 통해 서비스 설계부터 운영 단계까지 가이아-X의 규정 준수 여부를 자동으로 확인할 수 있게 됐다.

글로벌 CSP, 해외 소버린 클라우드 시장 공략

이러한 가운데 글로벌 클라우드 서비스 제공사(CSP)는 유럽과의 파트너십을 강화하고 있다. 아마존웹서비스(AWS)는 지난 2023년 ‘AWS 유러피언 소버린 클라우드(AWS European Sovereign Cloud)’를 발표했다. 올해 말까지 독일 브란덴부르크주에 첫 번째 AWS 리전을 출시할 계획이다. AWS는 이 프로젝트를 위해 78억 유로(약 12조 6,800억 원) 규모의 인프라·고용 등 투자를 진행하고 있다.

마이크로소프트(MS)는 지난 4월 향후 2년간 유럽 내 데이터센터 용량을 40% 확장할 계획이라고 발표했다. 확장 전략의 일환으로, ‘소버린 클라우드(Sovereign Cloud)’ 데이터센터 구축도 병행하고 있다. 프랑스에서는 MS가 캡제미니(Capgemini), 오랑주(Orange)와 손잡고 합작사 블루(Bleu)를 설립했다. ‘신뢰할 수 있는 클라우드(cloud de confiance)’를 표방하는 블루는 프랑스 정부의 관리하에 ‘마이크로소프트 애저(Microsoft Azure)’ 서비스와 ‘마이크로소프트 365(Microsoft 365)’를 이용할 수 있다

오라클은 데이터 주권에 대한 유럽 시장의 요구사항을 반영하고자 ‘EU 소버린 클라우드(EU Sovereign Cloud)’를 통해 클라우드 애플리케이션 제품군을 소버린 환경에서 제공하고 있다고 밝혔다. 특히 해당 소버린 클라우드는 EU 내 법인이 소유·운영하며, 인프라 관리 또한 EU 기반 인력이 담당한다고 설명했다. 고객이 직접 암호화 키를 관리해, 오라클 본사나 외부 인력은 접근할 수 없는 구조라고 강조했다.

한편 아시아에서는 일본이 해외 CSP와 협력해 정부 클라우드 구축을 추진 중이다. 지난 2021년 일본 디지털청은 AWS와 구글의 구글 클라우드 플랫폼(GCP)을 정부 클라우드 이니셔티브의 파트너로 선정했으며, 2022년에는 MS와 오라클을 추가 파트너로 선정해 공공 부문의 데이터 주권 강화와 디지털 정부 혁신 등을 추진하고 있다.
 

“CSAP 중심 소버린 클라우드 정책 기준 세워야”

국내에서 대표적인 소버린 클라우드 사례로 클라우드보안인증제(CSAP)와 민관협력형 모델(PPP)을 꼽을 수 있다. 먼저 CSAP는 과학기술정보통신부에서 마련한 인증 프로그램으로, 국내 CSP가 공공 클라우드 시장에 진출하려면 반드시 CSAP를 획득해야 한다.

한국인터넷진흥원의 CSAP 안내서에 따르면 해당 인증제는 국가·공공기관에 안정성 및 신뢰성이 검증된 민간 클라우드서비스를 공급하고, 객관적이고 공정한 인증제도를 통해 이용자의 보안 우려 해소 및 클라우드 서비스의 경쟁력을 확보하고자 마련됐다.

현재 보안인증 유형은 IaaS, SaaS, DaaS가 있으며 유효기간은 모두 5년이다. 보안 인증 등급은 시스템의 중요도에 따라 상·중·하로 구분된다. 외교 분야와 같은 민감 정보나 행정 내부업무 운영 시스템의 경우 상등급으로 분류된다. 비공개 업무 자료를 다루는 시스템은 중등급, 개인정보가 포함되지 않은 공공데이터를 다루는 경우 하등급으로 분류될 수 있다. 현재 하 등급만 먼저 시행 중이며, 상‧중등급은 고시 개정을 거친 후 시행될 예정이다.

기존 CSAP는 물리적 망 분리를 내세워 해외 CSP가 공공 시장에 진출하지 못하게 하는 장벽 역할을 해왔으나, 지난 2023년 하 등급을 논리적 망분리로 완화해 공공 시장에 외산 기업이 진출할 수 있는 길을 열었다. MS는 지난해 12월 2일 한국인터넷진흥원(KISA)으로부터 CSAP 하 등급 인증을 획득했으며, 이어서 구글 클라우드는 지난 2월 3일, AWS는 4월 1일 인증을 획득했다.

이후 오라클, 알리바바 클라우드 등이 CSAP 하 등급 인증을 준비중이라고 밝혔다. 더불어 해외 클라우드 기업들이 CSAP 중 등급 이상 개방을 요구하는 가운데, 국내 클라우드 업계 관계자는 “CSAP를 중심으로 명확한 소버린 클라우드 정책 기준을 세우는 것이 시급하다”며 “정책의 명확성과 일관성이 확보되면 글로벌 기업의 공공 클라우드 시장 진입도 합리적으로 관리할 수 있다”고 설명했다. 이와 함께 실제로 현장에서는 정책의 불명확성으로 인해 기업들이 비즈니스 계획을 세우기 어렵다고 지적했다.

한편 공공 클라우드 시장에서 민감 데이터가 포함된 서비스의 경우 민관협력형 모델(PPP)을 중심으로 사업이 진행되고 있다. PPP는 국가정보자원관리원이 추진하는 민관협력형 클라우드 사업으로, 대구 공공데이터센터의 일부 공간(상면)을 민간 CSP에 임대해 이들이 직접 클라우드 인프라를 구축·운영하고, 행정‧공공기관에 클라우드 서비스를 제공하는 사업이다.

현재 삼성SDS, KT클라우드, NHN클라우드 등 3개사가 참여하고 있으며, 국가정보자원관리원의 물리적 보안과 내부망 연계 등을 기반으로, 망분리 환경에서 운영되고 있다.

진행 중인 서비스로는 행정안전부의 공무원용 서비스 ‘온나라서비스(Onnara)’, 재외동포 365민원포털 ‘대한민국 아포스티유’, 서울소방재난본부의 소방안전지도 등이 있다.

일각에서는 PPP가 가진 폐쇄적인 특성에 대한 우려가 나오고 있다. 업계 관계자는 “PPP의 경우 외부와의 망 연계가 분리된 환경이기 때문에 기술 혁신이 일어나기 어려우며, 한정적인 대구센터 상면 임대 등이 클라우드의 확장성과도 맞지 않다”고 지적했다.

이에 정부도 제도 개선에 나설 움직임을 보이고 있다. 최근 국가정보자원관리원 관계자는 한 행사에서 “현재 PPP 입점 기업만이 상등급 정보시스템을 운영할 수 있다”며 “향후 상등급 정보시스템 운영 허용 범위를 대구센터에 한정하지 않고 외부 민간 클라우드 기업까지 확대하는 방향으로 논의 중”이라고 밝혔다.
 

네이버 클라우드, ‘뉴로클라우드’로 데이터 주권 강화

국내 주요 클라우드 기업들 또한 소버린 클라우드 구현을 위한 기술 내재화와 인프라 확충에 나서고 있다. 대표적으로 네이버클라우드는 완전 관리형 하이브리드 클라우드 서비스 ‘뉴로클라우드 포 하이퍼클로바X(Neurocloud for HyperCLOVA X)’를 출시해 공공, 금융은 물론 기업 고객에게도 AI 클라우드 서비스를 제공하고 있다.

뉴로클라우드는 고객사 데이터센터 내부에 직접 설치할 수 있으며, 그래픽처리장치(GPU) 클러스터를 결합해 하이퍼클로바X 모델과 학습·운영도구들을 패키지 형태로 제공한다.

뉴로클라우드는 고객사 데이터센터 내 폐쇄된 사내망으로 네트워크 환경을 구성하기 때문에 보안 침해나 유출에 대한 우려가 적고, 안전하게 자사 데이터를 학습시킨 특화된 대규모언어모델(LLM)을 만들 수 있다.

네이버 클라우드는 인프라 측면에서 데이터센터 ‘각 세종’과 ‘각 춘천’을 통해 AI 풀스택 전략을 추진 중이다. 첫 번째 데이터센터인 ‘각 춘천’은 친환경 설계를 기반으로 했다. ‘각 춘천’을 10년 동안 운영한 경험을 기반으로 설립한 두 번째 데이터센터인 ‘각 세종’은 하이퍼스케일 데이터센터로 초대규모 AI, 클라우드 서비스, 디지털 트윈, 로봇 등 각종 네이버 미래 서비스와 기술을 안정적으로 운영할 수 있는 환경이다.

더불어 팀네이버(네이버∙네이버클라우드∙네이버랩스)는 북아프리카 모로코 차세대 AI 데이터센터 구축에 참여하고 있다. 이는 ‘소버린 AI’ 컴퓨팅 서비스 제공을 목표로 진행되는 사업으로 500메가와트(MW)급 재생에너지 기반 데이터센터를 구축해 효율적이고 안정적으로 AI 인프라를 제공하는 것을 목표로 하고 있다.
 

민간 CSP들도 기술·인증 내재화 총력

삼성SDS는 삼성클라우드플랫폼(SCP)을 통해 비즈니스별 법·규제에 최적화된 클라우드 환경을 제공하고 있다. 특히 공공부문을 대상으로 SCP 소버린(Sovereign) 서비스를 제공·운영 중이며, 민관협력형 PPP 클라우드로 국가자원정보관리원 대구센터에 SCP 소버린 사우스(Sovereign South) 리전을 구축했다. 또한 지난 6월 국가정보원으로부터 국가기관의 정보등급 ‘상’에 해당하는 데이터 및 시스템까지 수용 가능한 보안인증을 획득했다.

민관협력형 PPP 클라우드 사업자 중에서는 유일하게 GPU 환경을 구성하고, 지신들의 생성형 AI 솔루션인 패브릭스(FabriX)와 브리티 코파일럿(Brity Copilot) 등을 탑재해 서비스를 제공하고 있다. SCP를 통해 삼성전자 반도체 부문의 클라우드 서비스와 같은 국가핵심기술 데이터에 대한 클라우드 환경도 제공 중이다.

이외에도 삼성SDS는 소버린 클라우드 구성 요소(국내 데이터센터, 국내 운영, 국내 데이터 관리)를 모두 확보하고 있어, 일반 기업이 AI 도입 시 주권(sovereignty) 확보가 필요한 경우, 해당 기업을 위한 전용 클라우드를 프라이빗 클라우드, 엣지 클라우드 등의 형태로 제공한다고 설명했다.

카카오엔터프라이즈는 고성능 AI 클라우드 인프라 구현을 위해 지속적인 기술 개발과 고도화에 매진하고 있다. 그 결과로 GPU 클러스터 규모로는 국내 최대인 256노드를 자체 기술로 구현했고, 2024년 기준 슈퍼컴퓨팅 TOP 500에서 41위를 기록했으며, GPU의 이론상 최대 연산량 대비 89.7% 달하는 실 연산량을 달성하며 글로벌 수준의 기술력을 입증했다.

가비아의 자회사 KNIX는 운영 중인 과천 데이터센터(IDC)가 AI 워크로드를 위한 20㎾ 이상의고전력 설계, 초저지연 네트워크, 유연한 무정전 전원 공급장치(UPS) 구성 등 첨단 인프라를 갖췄다고 설명했다. 특히 국내 클라우드 연결 플랫폼인 클라우드허브(CloudHub) 기반으로 주요 국내외 CSP 자원 연결이 가능한 개방형 구조를 지향한다. 완전한 소버린 클라우드로 규정짓기는 어렵지만, 국내 인프라 기반으로 클라우드 시장의 다양한 요구에 대응하고 있다는 점에서 주목받고 있다.
 

수도권 쏠림 넘어 지방 분산…울산 초대형 AI 데이터센터 착공

AI 데이터센터는 대규모 연산이 필요한 AI 학습과 추론 작업을 수행하는 고성능 컴퓨팅 인프라로, 클라우드 기반 AI 서비스 핵심 시설이다. 특히 국내 독자 AI 파운데이션 모델 개발과 주요 산업의 AI 실증·서비스 제공에서 AI 데이터센터의 역할이 강조되고 있다. 업계 관계자들은 “국내에서 직접 개발·운영·통제 가능한 AI 데이터센터를 확보해야 데이터 주권이 실질적으로 구현될 수 있다”고 입을 모으고 있다.

정부는 올해 초 ‘국가 AI컴퓨팅 센터’ 구축을 위한 민간참여자를 공모했으나, 두 차례 유찰되며 난항을 겪고 있다. 업계에서는 불확실한 투자 대비 수익성, 기업의 고가 장비(GPU 등) 부담, 공공 51%·민간 49%의 지분구조 등 문제로 꼽았다. 이에 과기정통부는 업계 의견 수렴과 관계 부처 논의를 거쳐 공모 요건을 재조정할 방침이다. 지난 7월 24일 삼성SDS 클라우드서비스사업부 이호준 부사장은 “국가 AI 센터와 같은 정부 주도 사업에 대한 참여를 검토하고 있다”고 밝히며 3차 재공모에 대한 기대감을 나타냈다.

한편 수도권에 AI 데이터센터가 과도하게 편중된 점도 앞으로 해결해야 할 과제다. 2023년 기준 국내 데이터센터 중 76%가 수도권에 몰려 있으며, 향후 2029년까지 이들 중 단 6.7%만이 안정적으로 전력을 공급받을 수 있을 것으로 예측됐다. 이에 정부는 지방 분산 정책을 강화하고 있다. 대표적으로 울산에 SK그룹과 AWS, 울산광역시가 협력해 초대형 AI 전용 데이터센터를 구축한다. 오는 9월에 착공해 2027년 11월 41㎿를 우선 가동하고, 2029년 2월 103㎿ 전체 가동할 예정이다.

새 정부가 내세운 ‘AI 고속도로’ 정책은 AI 데이터센터 구축을 통해 국가 혁신거점 육성을 목표로 한다. 여기에는 비수도권 데이터센터 확충, 민간 투자 유도, 세제 지원 등이 포함된다. 그러나 지방 데이터센터 확산에는 여러 과제가 남아있다. 전력 공급 인프라 부족, 숙련 인력 확보의 어려움 등이 현실적 난관이다. 이에 정부와 한국데이터센터연합회(KDDC) 등이 맞춤형 무료 컨설팅, 인력 교육 등을 지원하지만, 업계에서는 사업성·지역 격차 등을 앞으로 보완돼야 할 정책적 숙제로 꼽았다.

한편 클라우드 업계 일각에서는 AI데이터센터 지원도 중요하지만 그만큼 국내 CSP의 데이터센터 활용도 필요하다는 의견도 나왔다. 데이터 주권 관점에서 민감 데이터 처리는 소버린 클라우드 환경 기반의 국내 데이터센터를, 공공성·연구생태계 강화 등에는 정부 AI 데이터센터 인프라를 적절히 혼용한다는 전략이다.
 

‘규모의 경제’ 확보 최우선 과제

클라우드 업계에서는 소버린 클라우드 기술 생태계 발전을 위해 공공기관의 클라우드 전환 속도를 높여 ‘규모의 경제’를 확보하는 것이 중요하다고 입을 모았다. 한 업계 관계자는 “아직도 많은 공공기관이 온프레미스 환경에 머물러 있다”며 “클라우드 전환이 보다 적극적으로 이뤄져야 한다”고 강조했다.

실제로 행정안전부가 지난해 발표한 ‘행정 및 공공기관의 정보자원 현황 통계’에 따르면, 공공부문 정보시스템의 클라우드 이용률은 29.22%에 머무른 것으로 집계됐다. 기관 유형별로는 중앙행정기관이 48.38%로 가장 높았고, 공공기관은 26.36%로 가장 낮았다.

공공기관의 클라우드 전환이 소버린 클라우드와 AI 생태계 활성화의 핵심 기반이라는 게 업계의 목소리다.

2020년부터 진행된 초기 클라우드 전환 사업은 온프레미스에서 운영되던 기존 시스템을 그대로 클라우드로 이전하는 데 집중해 단순하고 빠르게 진행됐지만, 최근에는 클라우드 네이티브, SaaS, AI 등 다양한 키워드가 더해지며 사업이 복잡해지고 전환 속도도 더뎌졌다는 분석이다. 사업이 복잡해질수록 공공기관 담당자들이 보수적으로 변하고, 이로 인해 전환이 위축된다는 우려도 나온다. 업계 관계자는 “공공기관의 클라우드 전환을 촉진하려면 단순하고 명확한 지원 정책이 필요하다”며 “지원금 확대나 평가 가점 등 실질적인 인센티브가 필요하다”고 강조했다.

또 다른 업계 관계자는 “정부의 독자적 클라우드 구축이 아닌, 민간이 기술을 내재화하고 시장을 확대해 나가는 방식으로 지속 가능한 기술적·사업적 성장을 도모해야 한다”며 “정부 대민·행정 시스템의 고도화와 보안성 강화를 위해 민간 클라우드와의 협력 사업을 더욱 확대해, 레퍼런스를 확보하고 역량도 함께 키워가기를 기대한다”고 밝혔다.