디지털 주권을 지키는 혁신의 여정

마이크로소프트는 2022년 7월, 정부 기관에서 여러 구체적인 컴플라이언스, 보안 및 정책 요건을 충족하면서 마이크로소프트 클라우드에 워크로드를 구현하고 디지털로 전환하도록 지원하는 마이크로소프트 소버린 클라우드(Microsoft Cloud for Sovereignty)를 발표했다. 마이크로소프트 소버린 클라우드는 하드웨어 기반 기밀 유지 및 암호화 제어를 활용해 클라우드에 소프트웨어 바운더리를 설정하는 방식으로 정부 기관에 필요한 강력한 보호를 제공한다.

발표 이래 마이크로소프트는 각국 정부 리더, 정책 입안자, 공공 기관 등과 소통하면서 클라우드가 주권에 관한 요구 사항을 해결할 최상의 솔루션인 이유를 알려 왔다. 또 마이크로소프트는 2가지의 소버린 클라우드 프라이빗 프리뷰 릴리스를 통해 정부 기관의 요구 사항을 준수하며 클라우드의 가치와 규모를 입증하고, 정부 고객이 추구하는 디지털 트랜스포메이션을 지원한 바 있다.

법률 및 규제 요건 준수

각국 정부는 마이크로소프트가 제3자의 데이터 요청에 대응하는 방식에 대한 투명성을 요구한다.  마이크로소프트는 모든 서비스에서 다음과 같은 정책을 따르고 있으며, 고객에게 이를 보장하는 것을 비즈니스의 핵심 원칙으로 삼는다.

• 고객의 데이터에 대한 직접적이고 무제한적인 접근을 허락하지 않는다. 정부 기관을 비롯한 그 누구와도 암호화 키, 또는 암호화 해제 기능을 공유하지 않는다.
• 정부 기관은 올바른 법적 절차에 따라 고객 데이터를 요청해야 한다. 콘텐츠에 대해서는 영장, 구독자 정보 및 기타 콘텐츠 외 데이터에 대해서는 법원 명령이나 소환장을 마이크로소프트에 제시해야 한다.
• 모든 요청은 구체적인 계정 및 식별자를 대상으로 해야 한다. 마이크로소프트의 법률 컴플라이언스 팀에서 모든 요청을 검토하여 유효성을 확인하고, 유효하지 않은 요청은 거부한다. 마이크로소프트는 데이터 요청에 대해 이의를 제기하고, 유효한 요청의 데이터만 제공하며, 법적 명령에 명시된 데이터만 제공하기 위해 다양한 법적 수단을 구사한다.

마이크로소프트가 투명성 보장 활동의 일환으로 발행하는 법 집행 기관 요청 보고서에 의하면, 마이크로소프트 고객 대부분은 정부 기관에 의한 데이터 요청의 영향을 받지 않는다는 것을 확인할 수 있다. 예를 들어, 2022년 상반기에 마이크로소프트는 미국의 법 집행 기관으로부터 당사 제품을 50시트 넘게 구매한 상업, 교육, 공공 부문 고객에 대한 법적 요구를 41건 받았다. 그중에서 미국 외 지역에 데이터가 저장된, 미국 외 국가의 고객과 관련된 콘텐츠 데이터가 공개된 적은 한 번도 없다.

마이크로소프트는 소버린 클라우드에서 주권에 관한 추가적인 보호 장치를 제공한다. 데이터가 전송되거나 저장될 때 마이크로소프트가 접근할 수 없는 고객 소유의 키를 통해 보호하고, 데이터가 사용될 때는 애저 컨피덴셜 컴퓨팅(Azure confidential computing)을 통해 보호한다. 이와 같이 소프트웨어 및 하드웨어 차원의 탁월한 보호가 이루어지므로 올바른 키를 가진 고객만 암호화되지 않은 데이터에 접근할 수 있다.

민감한 종류의 데이터 보호 및 보안

이 같은 클라우드는 정부 기관 고객에게 세계적인 수준의 보호와 우수한 리소스 및 확장 기능을 제공해  공격을 초기에 탐지, 대응 및 방지하도록 돕는다.

마이크로소프트 클라우드와 애저는 수백만 고객이 민감하고 미션 크리티컬한 워크로드 실행을 위해 선택한 솔루션이다. 77개국에서 활동하는 8,500여 명의 마이크로소프트 보안 전문가들이 보안 환경에 관한 중요한 관점을 제시하고, 사이버 공격을 겪었던 모든 경험을 학습의 기회로 삼아 마이크로소프트의 보안 접근 방식을 조정하면서 지속 발전시키고 있다. 마이크로소프트 소버린 클라우드를 통해 정부 기관 고객은 클라우드에서 각자의 소프트웨어 바운더리를 설정하고 애저의 보안, 회복 탄력성, 확장성을 마음껏 누릴 수 있다. 마이크로소프트 소버린 클라우드에서 다음과 같은 애저의 핵심 기능을 활용할 수 있다.

• 마이크로소프트 애저 키 볼트 매니지드 하드웨어 시큐리티 모듈(Azure Key Vault Managed Hardware Security Module)에서 암호화 키를 완벽하게 제어할 뿐만 아니라 클라우드의 이중화, 복원력, 사이버 보안, 관리 환경의 이점을 누릴 수 있다.
• 애저 컨피덴셜 컴퓨팅은 사용 중인 데이터를 보호하는 서비스로, 클라우드 환경이 신뢰할 만한 실행 환경임을 확인한 후에 데이터를 처리할 수 있게 한다. 이러한 방식의 컨피덴셜 컴퓨팅에서는 클라우드 운영자, 악의적 목적을 가진 관리자, 심지어 하이퍼바이저와 같이 특별 권한을 가진 소프트웨어도 데이터에 접근할 수 없다. 따라서 데이터가 저장 및 전송될 때 보호하는 기존 솔루션과 함께 데이터가 사용 중일 때도 보호해 라이프사이클 전 범위에서 데이터를 안전하게 지킬 수 있다. 애저에서는 독립적인 하드웨어를 통해 루트-오브-트러스트(Root of Trust, 신뢰점)를 구현한다. 즉, 마이크로소프트 운영자도 메모리 암호화 키에 접근할 수 없다. 이 독립적인 하드웨어 루트 트러스트 덕분에 정부 기관 고객은 사용 중인 클라우드 운영 환경의 ID와 이른바 ‘확인된 정상 상태(known good state)’를 독자적으로, 암호화해 확인할 수 있다.

마이크로소프트는 진화하는 위협 환경에 관한 정보를 정부 기관에 제공, 활용하도록 지원한다. 또한, 보안 생태계 전반에 걸쳐 15,000여 개 파트너와 협력하며 보다 우수한 솔루션과 다양한 옵션을 제공하기 위해 노력하고 있다. 마이크로소프트의 글로벌 위협 인텔리전스를 통해 멀티클라우드, 하이브리드, 온프레미스를 비롯한 다중의 플랫폼에서 새로운 위협을 조기에 발견, 대응할 수 있다.

타협 없는 혁신

디지털 주권을 보장하면서 디지털 혁신을 수용하는 것은 정부의 과제이기도 하다. 클라우드는 정부 기관이 온프레미스보다 적은 예산으로 운영할 수 있는 이점을 제공한다.

클라우드를 도입한 정부 기관은 AI, 블록체인, 디지털 아이덴티티, 온라인 서비스 등 정부 운영 방식을 바꿀 혁신 기술을 활용해 다양한 이점을 얻을 수 있다. 반면 기존 프라이빗 클라우드 환경을 유지하거나 확장하는 경우 동일한 성장과 혁신의 기회를 누리지 못할 수 있다.

소버린 클라우드는 정부 고객의 요구 사항을 염두에 두고 기능을 설계 및 제공해야 하며, 데이터 취급에 있어 변화하는 로컬 정책과 규제 요건을 충족할 수 있는 유연성을 제공하는 맞춤형 솔루션이어야 한다.

오늘날 정부 기관은 디지털 혁신과 데이터 제어 중 하나만 선택할 필요 없이, 두 가지 모두 실현 가능한 시대를 맞이했다. 마이크로소프트는 소버린 클라우드와 함께 소버린 랜딩 존(Sovereign Landing Zones), 지역별 정책 패키지, 그리고 애저를 통한 투명성 강화 등 새로운 안전 장치에 투자하면서 고객의 워크로드를 위한 가상 소버린 클라우드 환경을 실현하고 있다. 이를 통해 고객은 클라우드의 이점을 모두 누리면서 모범 사례에 따라 안전하고 일관성 있는 컴플라이언스 환경을 구현하고, 변화하는 규정을 충실히 이행할 수 있다.

컴플라이언스 준수 및 디지털 트랜스포메이션 가속화

공공 부문은 민감한 데이터를 보호하고 법률, 규제 요건을 준수하면서 타협 없이 혁신에 주력해야 한다. 이 같은 과제 해결을 돕기 위해 마이크로소프트는 고객에게 투명성과 함께 탁월한 수준의 데이터 제어를 제공하고, 사이버 보안에 투자하며 각국 정부와 협업해 필요한 정책 및 규제 요건을 준수하는데 힘쓰고 있다.

정부는 다양한 플랫폼 기능을 비롯한 클라우드의 모든 이점을 활용해 데이터를 보다 효과적으로 제어하고, 클라우드의 운영 및 거버넌스 프로세스에 대한 투명성을 강화할 수 있다. 다시 말해, 컴플라이언스를 보장하면서 디지털 트랜스포메이션을 추진할 수 있다는 것이다.