네덜란드, 핵심 디지털 공급업체의 미국 인수 차단

 (politico.eu)
1P by GN⁺ | ★ favorite | 댓글 1개
  • 네덜란드 정부가 미국 기반 Kyndryl의 Solvinity 인수를 차단해 핵심 온라인 신원확인 인프라의 외국 통제 우려에 대응함
  • Solvinity는 DigiD 앱 플랫폼을 운영하며, DigiD는 진료 예약·주택 구매·공공기관 이용 시 온라인 본인 인증에 쓰임
  • 투자 심사 당국은 인수가 공익에 대한 잠재적 위험을 만들 수 있다고 판단했고, 정부는 월요일 권고를 받아들여 차단함
  • 네덜란드는 외국 기술 기업의 경제적 가치를 인정하면서도, 투자자 국적과 무관한 독립적 투자 심사 체계를 적용한다고 강조함
  • 이번 결정은 EU의 기술 주권 패키지 공개를 앞두고 나왔으며, 유럽의 클라우드·마이크로칩·AI 외국 기술 의존 논의와 맞물림

Solvinity 인수 차단

  • 네덜란드 정부가 미국 기반 기업 Kyndryl의 네덜란드 IT 공급업체 Solvinity 인수 시도를 차단함
  • Solvinity는 네덜란드 DigiD 앱 플랫폼을 운영함
  • DigiD 앱은 네덜란드 시민의 온라인 본인 인증에 쓰이며, 진료 예약, 주택 구매, 공공기관 이용에 사용됨
  • Kyndryl은 11월 Solvinity 인수 계획을 발표했고, 핵심 온라인 신원확인 도구가 외국 통제 아래 놓일 수 있다는 우려가 커짐

투자 심사와 공익 위험

  • 네덜란드 디지털경제 담당 국무장관 Willemijn Aerdts는 화요일 공개된 의회 서한에서, 투자 심사를 맡은 국가 당국이 정부에 인수 차단을 권고했다고 전함
  • 해당 인수는 공익에 대한 잠재적 위험을 초래할 수 있는 거래로 판단됨
  • 네덜란드 정부는 월요일 이 권고를 받아들여 인수를 차단하기로 결정함
  • 네덜란드는 외국, 특히 미국 기반 기술 기업의 존재와 네덜란드 경제·디지털 인프라에 대한 부가가치를 중시한다고 강조함
  • 동시에 공익 보호를 위한 독립적 투자 심사 체계를 유지하며, 투자자의 출신 국가와 관계없이 동일하게 적용함

유럽 기술 의존 논의

  • 유럽 전역에서 미국 기술 의존을 둘러싼 우려가 커지고 있음
  • 이번 결정은 European Commission의 기술 주권 패키지 공개를 일주일 앞두고 나옴
  • 이 패키지는 클라우드, 마이크로칩, AI 영역에서 유럽의 외국 기술 의존을 줄이기 위한 제안 묶음임

Kyndryl 입장

  • Kyndryl은 성명에서 이번 결정에 대해 “매우 실망했다”고 반발함
  • Kyndryl은 “이 절차의 정치화가 이번 거래가 Solvinity 고객과 네덜란드 시민에게 가져왔을 명확하고 중요한 혜택을 가렸다”고 비판함

함께 보면 좋은 글 β

GN⁺   [-]
Hacker News 의견들

  • 드디어 됐네요

    온 나라가 몇 주 동안 이걸 요구했는데 정부는 완전히 침묵했음. 몇 주 전 의회 전체가 단 한 정당만 반대하고 Solvinity와의 계약 종료 동의안을 통과시켰지만, 정부는 오히려 계약을 연장했고 결국 인수 자체를 막는 것만 남았는데 정부가 그렇게 할 거라는 신뢰도 크지 않았음

    핵심 이유는 Solvinity가 네덜란드 전자 신원 시스템인 DigiD를 호스팅하기 때문임. DigiD는 모든 정부 시스템과 의료 같은 민감한 시스템의 인증을 처리함. 미국 회사가 보유한 데이터는 호스팅 위치와 무관하게 미국 정부가 접근할 수 있어야 한다는 미국 법 때문에, 이 시스템은 분명 미국 손에 들어가면 안 됨

    물론 Microsoft, Amazon 같은 미국 회사 손에도 여전히 민감한 데이터가 많이 있음. 그건 언제 처리할지 모르겠음

    • 그보다는 조금 더 복잡함

      DigiD 스택을 실제로 소유하고 관리하는 곳은 Logius이고, Solvinity는 전문성 때문에 고용된 것뿐임. 내가 알기로 Solvinity는 데이터에 접근할 수 없음

      지금은 못 찾겠지만 Tweakers에 내부자가 긴 댓글을 남겼는데, Logius가 현재 스택이 어떻게 동작하는지에 대한 지식이 거의 없고 맞춤형 요소가 많다고 설명했음. 전형적인 벤더 종속임. 정부, 정확히는 Logius는 이제 Solvinity에서 벗어나고 싶어 하지만 아마 5년 이상 걸릴 과정으로 보임

      이런 건 EU의 “빠른 고리”가 함께 해야 할 일 같기도 함. Estonia의 스택을 기반으로 Sweden, Denmark, Finland, The Netherlands가 채택하고 공동 개발하는 식임. 각국에 필요한 맞춤 요소를 확장 가능하게 만들고, 몇 년마다 어떤 맞춤 확장을 일반화하고 모듈화할 수 있는지 점검하면 훨씬 나은 제품이 될 것임. 꿈은 꿀 수 있잖음 :)

    • 일부 기능에서 DigiD 자체가 iOS 또는 Android 앱을 요구함. 그러려면 Apple이나 Google과 계약 관계를 맺어야 하고, 앱을 설치하고 사용할 수 있는지 여부도 그들이 결정함

      이 경로가 추가 민감 데이터 접근을 허용하지 않는 건 이해하지만, 그래도 이 기업들이 특정 개인의 DigiD 앱 접근을 막을 힘을 갖게 됨

      대부분 기능에는 앱이 필요 없지만, 몇몇 의료 관련 작업에서는 대체 수단 없이 앱만 가능함

    • “드디어”라기엔 한발 늦었음. 여기서 먼저 봤다는 말이 2년 뒤 다시 떠오를 것임

      이 결정은 회사가 항소하면 네덜란드와 유럽 법원에서 모두 뒤집힐 가능성이 큼. 특히 Mark Rutte Daddy가 전화를 걸고 나면 더 그럴 것임. 이 조치의 유일한 목적은 네덜란드 정부가 체면을 세우는 것이고, 국내용임. 이미 그런 내용을 담은 내부 법률 검토도 어딘가에 숨겨놨을 것임. 그리고 나중에 “우리는 하려고 했지만 법원이 막았다”고 말하겠지

      네덜란드 외교부를 포함한 네덜란드 외교·공무원 조직 전체가 일상 업무, 클라우드 서비스, 이메일에서 Microsoft 인프라를 광범위하게 씀. 그리고 유출도 됨

      “Microsoft Accused Of Sharing Dutch Officials’ Data with U.S. Government” - https://www.yahoo.com/news/politics/articles/microsoft-accus...

      항소하는 회사도 이걸 핵심 법리로 삼을 것임. 이 결정이 정치화됐고, 근거가 부족하며, 구속력 있는 기술·법적 보호 장치로 위험을 해결할 수 있었으니 비례적이지 않다고 주장할 것임. 그리고 외교부가 Microsoft를 광범위하게 쓰는 걸 예로 들겠지 :-)

      결국 네덜란드 정부의 또 다른 Polder식 위선일 뿐임

    • 지금 아는 바를 놓고 보면 이 흐름은 꽤 논리적임. 다만 뒤에서 또 무슨 일이 벌어지고 있는지 우리가 모를 뿐임

      데이터를 분리해 유지하는 방법 같은 협상이 있었을 테고, 완전히 차단하는 건 최후 수단으로 남겨뒀을 것임

      그래도 결과 자체는 좋음

    • “미국 회사가 보유한 데이터에 미국 정부가 접근할 수 있어야 한다는 미국 법”이라면, 정확히 어떤 법을 말하는 거임?

  • “이 과정의 정치화가 이 거래가 Solvinity 고객과 네덜란드 시민에게 가져왔을 명확하고 중요한 이익을 가려버렸다”

    이건 정말 뻔뻔함. 시민의 사생활과 이익 보호가 정치인의 일임. 요즘 미국 기준으로는 이상한 생각일 수도 있겠지만

  • 이래서 정책으로 보장하는 사생활 보호보다 아키텍처로 보장하는 사생활 보호가 더 중요함. 네덜란드는 “Solvinity는 데이터에 접근할 수 없다”는 정책을 믿었지만, 아키텍처는 어쨌든 가능하게 만들어놨음

    진짜 해법은 미국 법이 뭐라고 하든 공급업체조차 수학적으로 사용자 데이터에 접근할 수 없는 암호학적 주권 시스템임. “보지 않겠다고 약속한다”가 아니라 “문자 그대로 볼 수 없다”여야 함

    이 방향으로 작은 걸 만들고 있음. 신원은 BIP-39 시드 문구이고 메시지는 애플리케이션 수준이 아니라 프로토콜 수준에서 종단 간 암호화되는 메시 네트워크임. 목표는 개발자인 나조차 사용자 메시지를 읽을 수 없게 하는 것임. 아직 초기지만, 지금 설명하는 문제가 바로 이런 게 존재해야 하는 이유임

    • “신원이 BIP-39 시드 문구”라면

      다시 단일 지식 기반 인증 요소 하나가 신원이 되는 거임?

      그런 아이디어가 존재하지 않는 데는 이유가 있음

    • 아니면 데이터를 우리 나라에 법인을 둔 회사가 우리 나라 안에서 호스팅하면 됨. 즉 주권 클라우드

  • 네덜란드 시민으로서, 왜 2천만 사용자를 대상으로 시간당 3만 요청을 처리하는 오픈소스 신원 솔루션을 자체 호스팅할 수 없는지 이해가 안 됨. 그게 얼마나 어렵다고?

    • 네덜란드 정부가 정확히 그걸 하도록 지원하는 미국 시민으로서 나도 궁금함

      https://openwallet.foundation/staff/

    • 은행이나 정부에서 일할 유능한 엔지니어를 뽑는 게 얼마나 어려울 수 있나 싶음

    • 시간당 3만 요청? 5유로짜리 VPS로도 쉽게 처리 가능함

  • ‘Kyndryl’은 처음 들어봄

    https://en.wikipedia.org/wiki/Kyndryl

    “2021년 말 공식 출범한 Kyndryl은 IBM의 인프라 서비스 부문 분사로 만들어졌다”

    “Kyndryl은 2021년 11월 기준 63개국에서 운영됐다”

    • 더 많은 언론이 이걸 제대로 써줬으면 함. Kyndryl은 예전 IBM이고 전 세계 직원이 73,000명임. 이 뉴스가 처음 나왔을 때 아무도 들어본 적이 없어서 무작위 소규모 호스팅 회사처럼 들렸지만, 실제로는 거대함
    • Kyndryl을 고용했다고 해고당하는 사람은 없음

  • 그렇게 중요한 네덜란드 인프라라면 왜 애초에 민간 손에 있는 거임?

    • DigiD 자체는 정부 소유지만, 인프라는 민간 회사인 Solvinity가 관리함. 미국 정부가 스택 절반을 AWS에서 돌리는 것과 크게 다르지 않음

    • 정부 급여 체계 아래에서 일하려는 IT 역량 있는 사람이 너무 적기 때문임. 대부분의 경우 민간·기업 쪽으로 가면 더 많이 벌 수 있음

      그래서 네덜란드 IT 프로젝트 대부분이 민간 회사로 가고, DigiD나 보안·공식 메시징 플랫폼 같은 경우 호스팅 업체가 터무니없는 요금을 매길 수 있게 됨. Berichtenbox로 메시지 하나 보내는 데 25센트가 든다는 걸 알고 있었나? 정부가 매년 “세금 신고할 시간입니다” 메시지를 보낼 때 수백만 유로를 내야 함. 대량 할인 계약이 없다면 말임

    • 매우 강력한 민간 벤처캐피털과 투자은행들이 정부가 자본에 비해 무력한 상태로 남도록 만들고 싶어 하기 때문임. 서구 세계에 온 걸 환영함

    • 민영화 때문임

  • 좋은 일이긴 하지만, 특히 현 미국 정부를 보면 이게 마지막은 아닐 것 같음. ASML도 2013년에 미국 회사 Cymer를 인수할 때, 엄격한 기술 공유와 수출 통제 합의 아래에서야 허가를 받았음. Cymer는 실제로 가치 있는 EUV 광원 기술을 갖고 있었음

    네덜란드가 기술 통제 우려로 미국 측 인수를 막는 건 Washington의 심기를 건드릴 게 분명함

    • 이건 독자 기술을 만드는 회사 같은 게 아니라, 우리 정부의 가장 중요한 인프라 일부를 다루는 회사임. 사생활 보호 우려를 충분히 상상할 수 있음. 완전히 다른 사례임

    • 2013년이었다면 같은 거래가 통과됐을 가능성이 큼. Obama 시절인 2013년의 미국-네덜란드 관계와, Trump 2기 아래의 지금 관계는 완전히 다름. 오늘날 Obama 때 일을 근거로 상호주의를 말하는 건 설득력이 없음. Trump가 Obama가 했던 거의 모든 것에 반대한다는 걸 다 아니까

    • 이건 그림을 더 복잡하게 만드는 큰 세부사항임. ASML의 리소그래피 기술은 미국 에너지부 연구에서 큰 혜택을 봤음

      “1997년 ASML은 극자외선 사용으로 전환하는 방안을 연구하기 시작했다. 2년 뒤 Intel과 다른 두 미국 반도체 업체가 포함된 컨소시엄에 합류해 미국 에너지부가 수행한 기초 연구를 활용했다. 이 컨소시엄이 따르는 Cooperative Research and Development Agreement(CRADA)는 미국 정부 자금으로 운영되기 때문에, 라이선스는 Congress 승인을 받아야 한다”

    • ASML은 필요한 기술을 Cymer가 만들지 못했기 때문에 내부로 들여왔고, 필요한 결과를 실제로 만들려면 공급업체 프로젝트에 자원과 엔지니어를 쏟아부어야 했음. Cymer는 10W EUV 광원밖에 못 만들었고 ASML은 250W 광원이 필요했기 때문에, 원하는 걸 실행하기 위해 회사를 산 것임. ASML이 갈아탈 수 있는 다른 광원 업체들도 있었음

      말 그대로 필요한 걸 해내지 못해서 인수한 것임. 그런데 많은 미국인들은 특유의 미국 예외주의식으로, ASML이 사실 미국 기술을 코트 안에 숨긴 마법 같은 존재인 것처럼 세계를 다시 쓰고 싶어 함. 모든 게 somehow 미국인에게 빚지고 있다는 식임

      미국 정부는 미국의 상전인 Israel을 방어한다는 이유로 모든 미국 회사가 ICC 판사나 직원과 일하지 못하게 강제했음. 이것 하나만으로도 모든 해외 국가에서 미국 회사가 쫓겨나야 함. 미국에 주소를 둔 회사에 국내 인프라 기술 통제권을 주는 발상은 미친 짓이고, 거의 반역 수준임. 이걸 밀어붙이는 사람은 철저히 조사받아야 함. 마찬가지로 UK가 Palantir의 쓰레기 같은 것들을 계속 도입하는 사실도 그 나라가 완전히 망가졌고 대대적인 공무원 조직 개편이 필요하다는 명백한 증거임

      이 모든 건 각종 떼쓰기, 기괴한 수준의 부패, 동맹을 공개적으로 위협하는 행태와는 별개임

      분명 “심기를 건드리기”는 하겠지만, 미국은 이미 판을 너무 크게 벌렸음. 이제는 그 바보 국가의 소아성애자, 얼간이, 사익 추구 범죄자 패거리가 뭐 때문에 난리 치든 아무도 신경 쓰지 않음. 이쯤 되면 미국은 NATO에서 내보내고, 모든 기지를 폐쇄하고, 각자 핵무장을 해야 함

  • 좋은 소식임. 우리 사회의 이렇게 핵심적인 부분이 다른 나라, 그것도 불안정하고 노골적으로 적대적인 나라의 변덕에 좌우됐다면 참담했을 것임

  • 앞으로 미국 소유권 차단 흐름을 더 자주 보게 될 것임. 관계가 아무리 좋아도 어떤 정부도 자국 정부와 시민 데이터에 대한 접근권을 해외 인수자에게 넘겨서는 안 되고, 넘길 수도 없음

    별개로, 이 일은 미국 통제력의 더 선명한 그림을 보여줌. 잃어가고 있다는 것임. 미국은 위협으로 보이고, 데이터를 소유한 뒤 그것을 통제 수단으로 쓰는 강압적 관행이 시작되고 있음

    • 시민 데이터가 이전된다고 가정하는 것 같은데, 그 증거가 있음?

  • 네덜란드가 Five Eyes나 Fourteen Eyes와 정보 공유 협정을 맺고 있다면, 이 모든 데이터는 여전히 미국과 다른 동맹국이 이용할 수 있을 것임. 물론, 바라건대 네덜란드 정부가 문지기 역할을 하겠지만

    • 데이터만의 문제가 아님. 예컨대 Greenland에 대한 선제공격의 일환으로 미국이 네덜란드의 세금 징수나 병원 진료 같은 걸 사실상 꺼버릴 수 있는 위험이 문제임

      물론 가능성은 낮음. 하지만 현재 분위기에서는 사람들이 불안해하고, 굳이 위험을 감수하지 않는 게 좋음. 현 정부는 이미 더 많은 핵심 소프트웨어 인프라를 국내로 되돌리는 장기 전략을 시작했는데, 핵심 신원 제공자 소프트웨어를 해외에 파는 건 현 정책과 정면으로 배치됨

    • 핵심은 사생활 보호 우려라기보다, “잠재적 적대국에 가장 중요한 인프라 조각 중 하나를 넘기지 말자”에 가까웠음. DigiD는 네덜란드의 거의 모든 정부 사이트 사용자 인증 플랫폼임. 외국 정부가 접근 제한을 통해 네덜란드 개인을 압박해 따르게 만들 수 있음

    • 바로 그 문지기 역할이 여기서 차이를 만듦. 모든 데이터를 다른 나라에 넘기고 필요할 때 조각을 돌려달라고 요청할 것인가, 아니면 직접 호스팅하고 그 나라 수사에 관련 있는 부분만 공유할 것인가의 문제임. 누군가 DigiD를 쓰려 할 때마다 그 나라가 막을 수 있는 구조여서는 안 됨

    • “Netherlands가 Fourteen Eyes와 정보 공유 협정을 맺고 있다면”이라면, 네덜란드는 Fourteen Eyes 회원국이니 꽤 안전한 가정임

    • 사생활 보호가 아니라 통제권의 문제임

답변달기