3P by GN⁺ | ★ favorite | 댓글 1개
  • 유럽 정부와 사회 운영이 미국 클라우드에 계속 묶이면 편의성의 대가로 미국 정부의 선의에 크게 의존하게 됨
  • 네덜란드 정부의 Google 통계 사용 사례는 데이터 이전 문제를 법적·기술적 문구로 덮으려는 태도를 보여줌
  • DPIA, DTIA, “EU 서버”, “특수 키”만으로 미국 클라우드 안에 안전한 공간을 만들 수 없고, EU-US Data Privacy Framework의 법적 기반도 흔들리고 있음
  • 정부·기업 업무 프로세스를 미국 기업에 맡기면 감시 위험뿐 아니라 미국 쪽 결정으로 서비스가 멈추고 데이터를 되찾지 못할 가능성까지 생김
  • MS Teams, Office, Outlook의 익숙함 때문에 전환을 미루기보다, 유럽 정부가 예산 일부를 대안 소프트웨어에 쓰면 대안 시장을 만들 수 있음

편의성이 만든 미국 클라우드 의존

  • 유럽 사회와 정부 운영을 미국 클라우드로 계속 이전하는 선택은 더 이상 합리적이지 않다는 입장임
  • 핵심 위험은 “편리하다”는 이유로 미국 정부의 선의에 100% 의존하는 구조를 만드는 데 있음
  • Trump가 “King of America”처럼 행동한다는 표현과 함께, 미국에 사회 운영 기반을 맡기는 판단 자체가 위험해졌다고 봄
  • 예전에는 “모든 것을 미국으로 옮기지만은 말자”는 타협이 가능해 보였지만, 이제는 대부분의 시스템을 넘기는 것 자체가 문제로 바뀜

네덜란드 정부 사례와 현실 회피

  • 네덜란드 정부 장관 3명이 보낸 문서는 미국 클라우드와 데이터 이전 문제를 직시하지 않는 사례로 다뤄짐
  • 정부 채용 사이트에서 지원자 정보를 Google에 보내 통계를 얻는 것이 적절한지에 대해, 정부는 “Google cannot see the IP address”라고 답함
    • 이 답변은 IP 주소가 실제로 Google로 전달된다는 반박과 함께 말이 안 되는 주장으로 비판받음
    • 미국으로 지원자 데이터를 보내는 이유로는 더 저렴하고, 이미 비용을 낸 유럽 대안 통계 소프트웨어가 덜 쓰기 쉽다는 설명이 등장함
  • 1930년대 네덜란드가 위험해지는 세계 정세 속에서 독일에서 무기와 탄약을 사려 했던 사례도 함께 언급됨
    • 주문한 무기가 제때, 또는 원하는 방식으로 전달되지 않았다는 점이 현실을 외면한 판단의 예로 연결됨

법적 정당화와 EU-US Data Privacy Framework

  • 조직들은 DPIADTIA 같은 절차로 데이터와 프로세스를 미국으로 이전하는 일을 정당화하려 함
  • “특수 키”나 “EU 내 서버”가 있으면 미국 클라우드 안에서도 안전한 공간을 만들 수 있다는 믿음은 충분하지 않다고 봄
  • 문제의 초점이 미국에 데이터 통제권을 넘기는 일이 현명한지가 아니라 합법인지로 좁혀져 있었다는 비판이 나옴
  • Trump가 EU-US 데이터 이전을 합법화하는 데 필요한 특별 법원의 기반을 약화시켰고, 이로 인해 미국 기업과 개인정보를 공유하는 법적 근거가 사라졌다고 봄

업무 연속성까지 흔드는 클라우드 의존

  • 미국이 더 이상 신뢰할 수 있는 파트너가 아니라는 인식과, 대형 미국 기업들이 Trump의 의지에 굴복한다는 인식이 동시에 등장함
  • 그럼에도 정부와 기업은 여전히 자체 업무와 사회 운영을 미국 클라우드로 이전하려 함
  • 위험은 데이터가 미국 감시에 노출될 가능성에 그치지 않음
    • 정부와 기업의 업무 프로세스가 미국에서 버튼 하나로 중단될 수 있음
    • 서비스가 멈춘 뒤 데이터를 되찾을 수 있을지도 불확실함
    • 이 상황은 이론적 시나리오가 아니며, 유사한 일이 이미 있었음
  • 네덜란드 정부 일부는 모든 것을 미국으로 이전하지 않기로 결정하는 움직임을 보임
    • 다만 정책상 데이터가 자체 서버에 머무르는 것은 “for now”라는 단서가 붙음
    • 현재의 “partial cloud” 계획으로 데이터를 전적으로 네덜란드 안에 둘 수 있는지에 대해서도 전문가들이 의문을 제기함

익숙한 소프트웨어와 유럽 대안 구매

  • 미국 클라우드와 소프트웨어에 의존하는 이유로 “American software is just so easy to use”가 제시됨
  • MS Teams, Office, Outlook은 많은 사람이 반드시 좋아해서가 아니라, 이미 매우 익숙해졌기 때문에 계속 사용된다고 봄
  • 시민 데이터와 업무 프로세스를 “King of America”에게 맡기는 이유가 결국 다른 워드프로세서에 익숙해지거나 다른 소프트웨어를 지원하기 귀찮아서라면, 그 판단은 비정상적이라는 결론임
  • 미국과의 80년 관계가 끝났다는 인식을 받아들이기 어렵지만, 복잡한 법적 논리로 시민 데이터를 미국에 두는 일을 정당화하는 시도는 중단해야 한다는 입장임
  • 유럽 정부는 LibreOfficeopenDesk 같은 다른 소프트웨어와 서비스를 사용할 용기를 가져야 함
  • 정부가 대안에 예산의 몇 퍼센트만 써도 수십억 유로 규모가 되며, 수익 가능성이 있어야 혁신도 일어날 수 있음
  • MAGA, Donald Trump, Elon Musk에 사회가 100% 의존하지 않도록 만드는 비용으로는 작은 대가이며, 현재 세계는 그런 의존을 감당하기에 너무 위험하다고 봄

댓글과 토론

Hacker News 의견들
  • “새로울 게 없다”는 반응도 있지만, 핵심은 이 글을 쓴 Bert Hubert가 평범한 활동가나 순수주의 리눅스 해커가 아니라는 데 있음
    그는 네덜란드 정부 IT 자문을 여러 차례 맡았고 정부 IT 담당자들이 귀 기울이는 인물이며, 기술과 정부 운영을 둘 다 깊게 이해하는 드문 사람임. 라디오와 TV에도 자주 나오는 만큼, 이 글이 네덜란드와 다른 EU 정부가 미국 클라우드에서 벗어나는 촉매가 되길 바람

    • 정부가 활동가들의 경고를 듣지 않은 책임을 활동가에게 돌릴 수는 없지만, 이 위협은 적어도 15년 전부터 명확했고 Bert Hubert 정도의 지식인이라면 당시에도 알아챘어야 한다고 봄
      최근 미국 행정부 변화 때문에 이제서야 들을 준비가 된 것이라면, 전환 비용은 이미 100~1000배 커졌고 미국 빅테크와 정부가 함께 보복할 가능성도 훨씬 높아짐. 유럽인들이 생각하는 주권과, 미국 및 미국 기업과의 관계에서 드러나는 경제·군사·문화적 취약성 사이의 괴리가 지금의 거친 충격 중 하나임. 장기 보안을 중시하는 사람에게는 작은 대가처럼 보여도, 단기 정치 성과를 중시하는 사람에게는 받아들이기 어려운 비용일 수 있음
    • 나도 그렇게 되길 바라지만, 어디로 옮길 것인가가 문제임
      Scaleway나 UpCloud 같은 EU 클라우드 제공업체가 비슷한 수준의 서비스를 갖췄는지 의문임. 컨테이너나 가상 머신만 쓰고 있다면 Hetzner 등으로 옮기기 쉽지만, Azure Functions 같은 클라우드 특화 앱은 어떻게 할지 난감함. EU가 수십억을 쏟아붓지 않는 한 다른 플랫폼용으로 다시 만드는 건 현실성이 낮아 보임. 그래도 우리 조직의 클라우드 이전이 너무 느려서 이제야 첫 앱을 배포한 게 오히려 다행스럽고, 지금 만든 것들은 거의 어디서든 돌릴 수 있어 온프레미스로 돌아가도 기반 작업에 쓴 시간 외에는 낭비가 적음
    • 우려 자체는 새롭지 않음. 영국 정부 프로젝트 여러 곳에서 AWS 이전을 검토한 적이 있었고, 미국 기반 제공업체로 옮기는 문제는 매번 큰 고려사항이었음
      특히 데이터를 다루는 관리형 서비스 사용이 뜨거운 쟁점이었고, 위험 평가에는 미국 정부가 악의적 행위자가 되면 어떤 일이 생길지까지 포함됐음. 당시에는 영향은 크지만 가능성은 극히 낮다고 봤는데, 그 평가가 틀렸던 것처럼 보이기 시작함. 미국 클라우드로 향하던 흐름이 느려지고 되돌아가는 데는 시간이 걸리겠지만, 이제 실제로 일어나도 놀랍지는 않을 듯함
    • 프로그래밍 일자리를 찾으며 정부 공고까지 수백 개를 훑어봤는데, 누구나 AWS/Azure/GCP 지식을 필수처럼 요구하고 있었음
      이런 클라우드 요소가 시스템 관리자나 데브옵스가 아닌 직무에서도 의무 유행어가 됐음. 이전 직장에서는 제공업체나 온프레미스 간 이동이 가능하도록 시스템을 클라우드 비종속적으로 유지했고, CTO로서 그 방향을 지키려 압박도 버텼음. 하지만 그런 경우는 드물고, 대부분은 몇천 요청 처리하면서도 초대형 규모, Lambda, BigQuery를 꿈꾸는 듯함. 흐름이 바뀔지 지켜볼 일이고, 공급업체 종속은 보통 생각하는 것보다 훨씬 깊은 아키텍처와 생명주기 영향을 남김
    • 의사결정자들이 그에게 귀 기울이길 바람
  • 어떤 정부든 어떤 비밀도 클라우드로 옮기는 건 애초에 안전하지 않았음
    미국 정부가 자기 비밀을 그렇게 다루는 걸 지금도 이해하기 어렵고, 하드웨어를 가진 사람에게서 비밀을 숨길 수는 없음

    • 경우가 모두 같지는 않지만, 미국은 대형 클라우드 회사들이 설계한 물리적으로 독립된 정부용 클라우드를 자체 시설에서 운영하는 경우가 많음
      공개 클라우드를 비분류 업무에 쓸 때도, 데이터는 정부가 심사한 특정 데이터센터에만 둘 수 있고 모든 미국 리전이 같은 승인을 가진 것은 아님. 예를 들어 공개 클라우드의 S3 버킷에 있는 정부 데이터는 같은 리전 안에서만 접근·처리해야 할 수 있어 인프라가 다른 곳에 있으면 번거로움. 정부의 클라우드 활용에서는 미국이 많은 나라보다 앞서 있고, 다른 선진국은 미국 사례에서 배우지만 기술 요구사항에 덜 익숙해 도입이 느려짐

    • 미국 정부에는 자체 GovCloud 데이터센터 리전이 있음. Azure와 AWS가 운영하지만 사용 자격 제한이 있어 사실상 공개 클라우드는 아님
      https://aws.amazon.com/govcloud-us/?whats-new.sort-by=item.a...

      https://learn.microsoft.com/en-us/azure/azure-government/doc...

    • 동의함. 금과 비슷하다고 봄. 누군가가 당신의 금을 들고 있으면, 당신은 그 사람에게 약점을 잡힌 것과 같음
      오늘날 데이터의 중요성을 생각하면 일반 시민들이 저장 데이터(Data at rest) 원칙에 익숙하지 않은 게 놀라움

    • 미국 정부의 비밀은 일상적으로 계약업체가 보관하고 처리함
      전형적인 정부 기밀은 Lockheed Martin이 설계하고 제조한 항공기 설계도 같은 것임

    • “비밀”은 급여 정보부터 CIA 비밀 작전의 역사까지 포함하는 넓은 말이고, 그중 일부만 클라우드에 저장됨

  • 새 얘기는 아님. Microsoft는 프랑스 정부와 Bleu라는 주권 클라우드를 만들기로 합의했고, Orange와 Capgemini가 Azure 및 Microsoft 365 기술로 운영하기로 했음
    독일 정부도 비슷하게 SAP와 Arvato Systems가 운영하는 Delos Cloud를 출시했음

    [1] https://www.globenewswire.com/en/news-release/2021/05/27/223...

    [2] https://www.bertelsmann.com/news-and-media/news/first-sovere...

  • 이런 태도가 점점 널리 퍼지는 건 반가움. IT 업계에서 늘 카산드라처럼 보였고, 2019년에 데이터 주권, 클라우드 회귀, 공급업체 종속, 변하는 지정학을 걱정했던 내 연구가 틀리길 바랐지만 결국 여기까지 왔음
    데이터센터 운영과 방산 계약에서 일을 시작했기 때문에, 공개 클라우드의 진짜 비용은 주요 제공업체를 통제하는 국가와 기업에 주권을 넘겨주는 것이라고 즉시 알 수 있었음. 해법은 핵심 정부 인프라를 제3자에게 외주 주는 게 아니라 내부에서 만들고 운영 인재를 채용하는 것이었고, 대부분의 선진국 정부 예산으로 충분히 가능한 일이었음. 공개 클라우드 제공업체에 외주를 주며 정부들은 국가 주권을 공허한 약속과 맞바꾼 셈임. 5년 뒤에는 공개 클라우드 제공업체를 믿을 수 있느냐가 아니라, 믿을 수 없는 클라우드 위에서 인프라를 어떻게 설계하느냐가 질문이 될 것 같음. 제공업체 도구를 믿고 키를 보호할 수 없다면 저장소 암호화는 어떻게 할 것인지, 적대적 외국 정부에 etcd나 네트워크 계층 접근을 열어주는 제공업체에서 K8s 클러스터를 어떻게 오케스트레이션할 것인지, 서로 다른 국가들이 데이터와 인프라 상주 요건을 요구할 때 조직 내부의 데이터 경계를 어떻게 다룰 것인지가 문제가 됨. 지역별로 자기 디지털 왕국을 만들고 복종 아니면 추방을 요구하는, 전 세계 규모의 “중국식 방화벽” 문제가 될까 걱정됨

    • 동형 암호가 신뢰할 수 없는 클라우드 플랫폼에서 서비스를 돌리는 해법의 일부가 될 수도 있음
      다만 Microsoft의 최근 양자 프로세서 돌파구를 보면, 양자가 도움이 될지 방해가 될지는 모르겠음
  • 캐나다 정부 IT는 거의 전부 Microsoft
    정부가 자기들끼리 이메일을 보내도, 캐나다를 집어삼키려는 나라(미국)에 본사를 둔 Microsoft를 거쳐야 함. 미친 일임

    • EU 정부 대부분도 마찬가지임. 미국 클라우드로 가기 훨씬 전부터, 자체 이메일 인프라를 호스팅할 능력을 잃었음
    • 빅테크는 10년 동안 클라우드를 밀어붙여 왔음
      마침 광고와 데이터 채굴을 주된 기능으로 삼는 회사들이기도 하니, 그런 결정을 내린 게 놀랄 일은 아님
  • “이제 와서 안전하지 않다”는 건 이상함. 전에는 안전했고 지금 벌어지는 일은 완전히 불가능했는데도 somehow 일어난 것인가? 데이터를 잃고 나서야 백업을 신경 쓰기 시작한 격임
    위험은 “일이 벌어졌으니 또 벌어질 수 있다”가 아니라, 나쁜 일이 가능한지와 그 가능성이 얼마나 되는지를 따지는 것임. 블랙 스완은 존재하고, 없다고 전부 걸면 모든 걸 잃을 수 있음. 정부와 사회를 외국 권력이 통제하는 클라우드로 옮기는 과정도, 거기서 빠져나오는 과정도 오래 걸림. 웃는 얼굴을 보여준다고 나쁜 일이 벌어지고 있지 않다고 말할 수는 없음. 갑자기 나온 이야기도 아니고, 인터넷 초창기부터 개입의 강한 신호가 있었으며 Snowden 폭로로 그림자 속에서 일어나던 일이 어느 정도 공식 확인됐음. 그런데도 이제야 위험으로 인식되는 셈임

    • 지금과 얼마 전의 유일하게 분명한 차이는, 미국이 아마도 질서 중립에서 혼돈 악으로 바뀌었다고 볼 만해졌다는 점임
      미국 클라우드에 있는 비밀은 애초에 완전히 안전하지 않았겠지만, 적어도 전에는 미국이 세계 나머지에 고통을 주려는 경로 위에 있지는 않았음
    • 항상 안전하지 않았고, GDPR 관점에서도 매우 의심스러웠음. 정부는 GDPR 자체의 적용 대상에서 빠지는 경우가 많지만, 많은 정부와 기업이 대안을 사용하거나 만들고 있었음
      그래도 미국 클라우드의 유혹은 강했고, 지금은 과거에 이익이 위험을 능가한다고 생각했던 사람들에게 그 점을 다시 상기시키기 좋은 시점임
  • 자주 잊히는 점은, IL5/6 등급의 미국 정부 클라우드는 SIPRnetJWICS에 격리되어 있다는 것임
    이들은 완전히 분리된 네트워크이고, 한 네트워크에서 다른 네트워크로 가는 유일한 방법은 CDS임. 실제로는 미국 정부가 클라우드를 떠받치는 네트워크 통제권을 유지한다는 뜻임. ITAR 규정상 외국인이 이 클라우드를 들여다보게 하는 것은 반역에 가까운 문제가 됨. 반면 외국 정부가 미국 클라우드에 올라가면 그런 보호를 받지 못함. FVEY 내부에서도 회원국별 데이터 지정이 있고, JWICS에서 정보가 사람들이 생각하는 것처럼 자유롭게 흐르지는 않음. 격렬한 강이라기보다 통제된 물줄기에 가까움

  • 애초에 좋은 생각이 아니었음. EU 밖 유럽 국가가 EU 클라우드를 믿을 수 있다고 보지도 않고, EU 국가끼리도 반드시 서로 믿을 수 있다고 보기 어려움
    현재 미국 정부에 대한 불신이 낳을 효과는 기사 몇 개 정도일 가능성이 큼. 바꾸려면 비싸고 어렵기 때문에 충분한 유인이 되기 힘듦. 그래도 전부 중국 클라우드에 올리지 않은 걸 다행으로 여겨야 할지도 모름

    • 유럽 기반 대형 다국적 기업에서 일하는데, 데이터 보호와 개인정보 규칙 차이가 커서 호스팅은 항상 걱정거리였음. 우리는 EEA 내 호스팅이 아닌 서비스는 쓰지 않음
      미국이 유럽의 데이터 보호, 개인정보, 소비자 보호 법률 등을 두고 가하는 현재의 위협은 매우 우려스럽고, 이미 진행 중인 제안요청서와 조달 절차에도 영향을 주기 시작했음. 우리는 법을 따르는 것뿐 아니라, 어떤 회사에는 우리 평판을 맡기고 싶지 않음
    • 미국은 말 그대로 러시아와 동맹을 맺고, 우크라이나의 자원을 영구히 요구하며 사실상 식민지처럼 만들려 하고, 캐나다 병합을 반복적으로 위협하며, 무역 전쟁도 시작하려는 중임
      EU 밖 국가는 러시아를 제외하면 미국보다 EU를 훨씬 더 신뢰할 수 있음. 미국 지도부는 규범, 법, 도덕이 바보들에게나 적용되는 것임을 분명히 했고, 양쪽의 행동 수준은 대칭적이지 않음
  • “Make America Great”가 유럽에 큰 클라우드 산업을 낳을지도 모르겠음
    내가 유럽에 있다면 미국 기술 제품은 절대 쓰지 않을 것 같음. Linux가 유럽에서 Windows, Microsoft Office, Office 365, Google Docs를 대체하며 크게 파고들지도 모름

    • 유럽 기업들은 미국 소프트웨어 생태계에 너무 깊게 박혀 있음
      바로 지난주 우리 EU 회사는 Microsoft Azure에 호스팅된 에이전트형 LLM을 배포했는데, 모델도 Microsoft가 만든 것이었고 기존 GPT도 같은 플랫폼 위에 있음. 최근에는 사내 HR 플랫폼 전체도 Oracle로 옮겼음. 중국이 무한 자본을 가진 외국 기업의 진입을 금지한 건 실수가 아니며, 장기적으로 위험하고 비싼 문제임
    • 유럽은 전에도 해낸 적이 있음. 예전에는 Airbus가 없었지만, Boeing이 빠른 이익을 위해 선임 엔지니어들을 내보낸 뒤 지금은 최고의 항공기 제조사가 됐음
      유럽이 Airbus를 만들었듯, 새로운 클라우드 제공업체도 만들 수 있음
    • 유럽에 큰 클라우드 산업이 생길 가능성은 낮다고 봄
      미국 클라우드 제공업체에서 일해 봤고, 다른 직장에서는 유럽 클라우드 제공업체의 하드웨어와 소프트웨어 운영 담당자들과 직접 접촉해 봤는데, 사고방식이 완전히 다름. 유럽 클라우드 제공업체의 가장 큰 문제는 기술을 모르는 상층부가 많다는 점임. 그들에게 클라우드 제공은 “미국 회사일 가능성이 큰 xyz의 소프트웨어 구성요소를 사고, 오픈소스 제품 abc를 설치한 뒤, 클라우드 마케팅 이름을 붙이고 영업팀을 풀어놓는 것” 정도로 보임. FAANG급 실력을 가진 사람을 채용하고 FAANG급 보상을 주며 FAANG급 일을 맡긴다는 생각 자체를 못함. 대신 낮은 임금의 20대 몇 명을 뽑아 잘해야 OpenStack 설치를 관리하게 함. 2021년 말 한 회사의 클라우드 엔지니어링 책임자에게 IPv6 연결을 언제 제공할 계획인지 물었더니 크게 웃으며 IPv6 연결을 검토할 계획조차 없다고 했음. 클라우드 컴퓨팅 인프라와 연결 서비스를 둘 다 하는 회사에서 그랬음. 유럽이 미국 클라우드의 현실적 대안을 만들 것 같지 않고, 핵심 문제는 기술이 아님
    • EU는 의미 있는 시장 점유율의 자체 소셜 네트워크도 만들지 못했는데, Microsoft와 Google을 버릴 역량까지 갖췄다고 보기는 어려움
      바뀌면 좋겠지만, 웹이 주류 기술이 된 지 25년이 지났는데도 뭔가 가로막는 요소가 있는 듯함
    • 드디어 데스크톱 Linux의 해가 오는 건가?
  • 마지못해 우리 조직의 Azure 이전을 주장하고 밀어붙여 온 입장에서, 내일부터는 반대 방향으로 수레를 밀게 될 테니 흥미로워질 것 같음
    클라우드 자체가 목표였던 적은 없고, 프로세스와 보안을 개선하려고 더 현대적인 인프라를 원했을 뿐인데 이제는 온프레미스에서도 충분히 달성할 수 있어 보임. 다행히 데이터 보안 규제가 강화되며 회의론과 도전이 계속 있었으니, 방향을 돌려야 한다면 대부분은 오히려 안도할지도 모름. 어쨌든 월요일 논의는 꽤 흥미로울 듯함

    • AWS와 GCP에서 벗어나는 건 이해하지만, Azure로 옮기는 것은 이해가 안 됨
      Azure가 존재한 어느 시점에서도 그 선택이 말이 된다고 느낀 적이 없는데, 왜 Azure로 옮기고 싶었는지 궁금함