EU 데이터법 초안, 아마존·구글·MS 사이버 보완 규제 강화

아마존, 구글, 마이크로소프트 및 기타 비유럽연합 클라우드 서비스 제공업체가 민감한 데이터를 취급하기 위해 유럽연합(EU)의 사이버 보안 라벨을 받으려면 EU 기반 회사와의 합작 투자해야 한다고 로이터 통신이 9일(현지시각) 보도했다.

로이터 통신이 입수한 유럽연합의 데이터법 초안문서에 따르면 미국의 거대 기술기업과 합작에 참여하는 다른 기업들은 소수의 지분만 보유할 수 있으며, EU 데이터에 접근할 수 있는 직원들은 특정 심사를 거쳐야 하며 유럽연합 지역 안에 있어야 한다.

초안에는 클라우드 서비스가 EU에서 운영 및 유지관리되어야 하며, 모든 클라우드 서비스 고객 데이터가 EU 내에서 저장 및 처리되어야 하며, 클라우드 서비스 제공자와 관련된 EU의 법률이 비(非) EU 법률보다 우선한다는 내용이 담겨있다.

EU 사이버 보안 기관 ENISA의 최근 초안 문서는 클라우드 서비스의 사이버 보안을 보증하고, 블록 내 정부와 기업이 비즈니스를 위한 공급업체를 선택하는 방식을 결정하는 EU 인증 제도(EUCS)에 관한 것이다.

새로운 규정은 비유럽연합 국가의 간섭에 대한 EU의 우려를 강조하고 있지만, 이는 유럽 시장에서 배제되는 것을 우려하는 미국의 거대 대형 기업 기술들의 비판을 불러올 가능성이 높다.

빅테크는 향후 몇 년간 성장을 주도할 정부 클라우드 시장을 기대하고 있으며, 이는 오픈AI 챗GPT의 성공 이후 AI의 잠재적 붐도 클라우드 서비스에 대한 수요를 증가시킬 수 있다.

[로이터/연합뉴스 제공]

이 문서는 "인증된 클라우드 서비스는 EU에 기반을 둔 기업들만 운영하고 EU 외부의 어떤 실체도 CSP(클라우드 서비스 제공자)에 대한 효과적인 통제권을 갖지 않으며, 이는 EU 이외의 세력이 EU의 규제와 규범, 가치를 훼손하는 위험을 완화하기 위한 것이다"라고 설명했다.

또한 "EU 회원국에 등록된 본사 또는 본부가 없는 기업은, 클라우드 서비스 인증을 신청하는 CSP에 대한 직간접적으로, 또는 공동으로 긍정적이거나 부정적인 통제권을 보유해서는 안된다"라고 명시돼 있다.

이 문서는 특히, 공공질서, 공공안전, 인명 또는 건강 또는 지적재산권 보호에 부정적인 영향을 미칠 수 있는 특별히 민감한 개인 및 비개인 데이터에 대해 더 엄격한 규칙이 적용될 것이라고 말했다.

즉, EU 회원국에 등록된 기업이 아니면 클라우드 서비스 제공자의 신뢰성과 안전성을 보장하기 위해서 EU 내 기업과 합작해야 하며, 합작 시에도 EU 기업이 제어권을 갖도록 하겠다는 의미이다.

업계 소식통은 "최근 초안은 각 국가가 적절하다고 판단할 때마다 요구사항을 부과할 수 있는 완전한 재량권을 가지고 있기 때문에 EU 단일 시장을 분열시킬 수 있다"라고 말했다.

미 상공회의소는 이전에 이 계획이 미국 기업들을 불평등한 입장에 놓이게 한다고 말한 바 있다.

EU는 이러한 조치들이 유럽연합의 데이터 권리와 개인 정보 보호를 보호하기 위해 필요하다고 말했다.

EU 국가들은 이달 말 초안을 검토할 것이며, 이후 유럽 위원회는 최종 계획을 채택할 예정이다.