데이터 주권이란 무엇인가요?

데이터 주권이란 물리적 위치의 법률 및 규정을 적용받는 데이터를 말합니다. 이는 조직의 물리적 위치와 관계없이 저장되었거나 처리 중, 전송 중인 데이터를 의미할 수 있습니다.

국가, 주, 리전 또는 관할 구역 내에서 저장, 처리 및 전송되는 모든 데이터는 데이터 사용 및 개인 정보 보호와 관련된 관련 법률과 규정을 적용받습니다. 데이터 주권법은 개인, 조직 및 정부를 보호하고 규제하기 위해 제정되었습니다. 데이터 보호 규정에는 개인 건강 데이터 처리에 관한 규칙, 공공 부문 정보를 위한 데이터 보안 계층, 외국 기업을 위한 현지 데이터 스토리지 구축이 포함됩니다.

데이터 레지던시는 데이터가 물리적으로 위치하는 곳입니다. 데이터 주권은 특정 위치의 법률이 물리적으로 해당 위치 내에 존재하는 데이터에 적용되는 방식입니다. 전 세계 어디에나 데이터를 보관할 수 있는 클라우드 컴퓨팅 및 클라우드 서비스에서는 데이터 주권과 레지던시 모두 특히 중요합니다. 

모든 클라우드 스토리지, 인스턴스 및 서비스는 특정 지리적 위치에 연결된 물리적 시스템에서 실행됩니다. 규정 환경이 서로 다르기 때문에 조직은 클라우드 인스턴스가 있는 위치와 클라우드 서비스가 실행되는 위치를 신중히 고려해야 합니다. 이러한 스토리지 및 인스턴스의 데이터 주권은 매우 중요한 결정입니다.

데이터 주권은 일반적으로 조직의 사이버 보안 및 법률 프로그램의 거버넌스, 위험 및 규정 준수 영역에 속합니다.

AWS 디지털 주권 서약은 AWS 고객에게 클라우드에서 사용할 수 있는 일련의 최첨단 주권 제어 및 기능을 제공하겠다는 AWS의 약속입니다. AWS는 데이터 현지화를 위해 워크로드를 어디에서 어떻게 실행할지 선택할 수 있는 유연성을 제공합니다.

AWS 디지털 주권 서약에는 고객이 변화하는 디지털 주권 요구 사항을 충족할 수 있도록 AWS가 역량에 투자하고 있는 네 가지 주요 영역이 요약되어 있습니다.

데이터 위치 제어

조직은 항상 데이터 저장 위치를 선택할 수 있어야 합니다. AWS는 AWS 리전 및 가용 영역을 통해 북미, 남미, 유럽, 중동, 아프리카, 아시아 태평양, 호주, 뉴질랜드에 걸쳐 고객이 항상 데이터 저장 위치를 선택할 수 있도록 했습니다.

AWS 리전이 데이터 레지던시 요구 사항을 충족하기에 충분히 가깝지 않은 경우 AWS는 지리적 경계 내에서 일관된 클라우드 경험을 제공하는 다양한 분산 인프라 서비스를 제공합니다. AWS 리전, AWS 로컬 영역, AWS 전용 로컬 영역, AWS Outposts, AWS Wavelength를 사용하면 필요한 곳 어디에서든 워크로드를 실행할 수 있습니다.

데이터 액세스 제어

조직은 무단 데이터 액세스를 방지하기 위한 보호 장치를 마련해야 합니다. 예를 들어, AWS Nitro System은 AWS 사용자를 포함하여 누구도 EC2의 고객 워크로드에 액세스할 수 없도록 제한 사항을 적용하도록 고안되었습니다. 데이터 유형에 따라 최고 수준의 데이터 보호를 보장하려면 액세스 권한 및 제한 사항을 구축해야 합니다.

데이터 암호화 기능

조직은 전송 중 데이터, 저장된 데이터, 메모리에 있는 데이터를 암호화할 수 있어야 합니다. 조직 데이터는 기본적으로 암호화를 사용해야 하며, 필요한 경우 더 강력한 암호화를 위한 옵션도 함께 사용해야 합니다. 모든 AWS 서비스는 이미 암호화를 지원하고 있으며, 대부분의 서비스는 AWS가 액세스할 수 없는 고객 관리 키를 사용한 암호화도 지원합니다.

클라우드 복원력

조직은 데이터 손실 위험 없이 디지털 주권을 달성할 수 있어야 합니다. 데이터 제어 및 고가용성은 데이터 주권을 위한 중요한 고려 사항이므로 조직은 데이터 손실 위험을 사전에 완화해야 합니다. 이를 통해 예상치 못한 상황이 발생하더라도 운영을 지속할 수 있습니다. 현재, AWS는 모든 유형의 클라우드 제공업체에 가장 뛰어난 네트워크 가용성을 제공합니다. 각 AWS 리전은 완전히 격리된 인프라 파티션인 여러 가용 영역(AZ)으로 구성됩니다. 문제를 더 효과적으로 격리하고 고가용성을 달성하기 위해 고객은 동일한 AWS 리전의 여러 AZ에 애플리케이션을 분할할 수 있습니다.

데이터 주권 요구 사항을 이해하고 통합하는 것은 규정 준수를 유지하는 데 매우 중요합니다. 주권 여정을 시작할 때 고려해야 할 사항은 다음과 같습니다.

데이터 현지화 규정 준수 계획

법률 준수는 조직의 운영에 적용되는 규정을 이해하는 것에서 시작됩니다. 이러한 데이터 법률 및 규정에는 비즈니스 운영 지역, 저장 및 처리하는 데이터 유형(예: 건강, 재무), 고객과 직원 데이터, 데이터 수집 로그의 보관 기간이 포함될 수 있습니다.

관련 규정 기관 및 법률 집행 기관을 조사하고 해당 기관과 논의하여 규정을 준수하는 시스템을 구축하고 규정 미준수 보고 시 절차를 숙지하고 있는지 확인하세요.

모든 회사에 데이터 주권 전문가가 있는 것은 아닙니다. 규정 준수 컨설턴트와 협력하면 변화하는 규정을 최신 상태로 유지하는 데 도움이 될 수 있습니다. 

세분화된 액세스 제어

단 한 명이라도 사용자가 다른 물리적 위치에 데이터를 복제하는 경우 데이터 레지던시가 손상될 수 있습니다. 이러한 상황을 방지하려면 기본적 모범 사례인 자격 증명 및 액세스 관리부터 시작하여, 권한이 높은 관리자를 위한 엄격한 특권 액세스 제어를 구현하세요. 

AWS Control Tower를 사용하면 스토리지 위치를 자동화 및 모니터링하고, 데이터를 암호화하며, 데이터 레지던시 가드레일을 적용할 수 있습니다. AWS Control Tower 제어 라이브러리에는 디지털 주권 제어 그룹이 포함되어 있습니다. 이러한 제어를 통해 데이터 주권 구성 적용, 작업 실행 방지, 리소스 변경 탐지, 세분화된 액세스 제한 사항 적용, 기본 암호화 사용, 복원력 기능 제공이 가능합니다.

미션 크리티컬 시스템을 위한 복원력 구축

재해 발생 시 비즈니스 연속성은 신뢰할 수 있는 백업 및 장애 조치 시스템에 달려 있습니다. 데이터 주권 규정을 준수하려면 이러한 시스템이 동일한 리전 내에 위치하면서 일반 운영과 동일한 데이터 주권을 유지해야 합니다.

미션 크리티컬 시스템의 복원력 구축은 데이터 현지화 강화를 위해 데이터를 여러 가용 영역에 배포하는 것을 의미합니다.

온프레미스에서 워크로드를 실행하는 고객 또는 원격 사용 사례의 경우 네트워크 장애 시 지속적인 지원과 원격 컴퓨팅 및 스토리지를 위한 특정 기능을 제공하는 AWS 서비스를 사용할 수 있습니다. 이러한 서비스에는 AWS Outposts와 Amazon EKS Anywhere가 포함됩니다.

투명성과 보장성을 제공하는 클라우드 파트너 찾기

데이터 위치를 선택하는 것은 중요한 결정일 뿐만 아니라 조직은 클라우드 서비스 제공업체의 시스템이 관할 구역의 데이터 주권 규칙을 진정으로 준수하고 있음을 신뢰할 수 있어야 합니다. 규정 준수 전문가를 초빙하여 제공업체의 자체 규정 준수 팀과 논의하여 확인하세요.

AWS는 데이터 주권에 대한 고객의 선택을 항상 우선시하여 데이터의 위치와 이동을 완벽하게 제어할 수 있도록 합니다. 처음부터 AWS의 주권 내재화 접근 방식은 세계에서 데이터 보안 및 개인 정보 보호에 가장 민감한 조직의 고객으로부터 신뢰를 확보했습니다.

현재 데이터 환경에 대한 최신 맵을 유지하는 것은 규정을 준수하는 데이터 아키텍처를 유지하는 데 필수적입니다. 다음과 같은 요소를 구현하는 것을 고려하세요.

민감한 데이터의 분류 및 보호

민감한 데이터를 보호한다는 것은 태깅, 자격 증명 및 액세스 관리, 암호화, 격리 그리고 저장되었거나 전송 중, 처리 중인 민감한 데이터에 대한 규칙 등 내장된 제어를 의미합니다. 

관련 법률에 따른 데이터 레지던시 선택

비즈니스 운영, 고객 및 데이터 유형에 대한 조사를 기반으로 요구 사항에 가장 적합한 데이터 위치를 선택하세요. 비즈니스가 변화하면서 데이터 위치 요구 사항이 변경될 수 있으며, 데이터 주권에 영향을 미칠 수 있다는 점을 기억하세요.

신뢰할 수 있는 클라우드 제공업체 선택

퍼블릭 클라우드 제공업체에 대한 엄격한 심사를 통해 데이터 주권 보장에 대한 신뢰를 확보할 수 있습니다. 선택한 데이터 위치에서 안정적으로 운영하는 제공업체를 선택하세요. 

규정 준수 의무를 최신 상태로 유지

데이터 관련 법률과 규정은 끊임없이 바뀝니다. 최신 규정을 지키고, 새로운 요구 사항을 예상하며, 보고 의무를 준수해야 합니다. 변경되는 법률을 지속적으로 파악할 책임이 있는 담당자를 조직 내 또는 파트너 회사 내에서 선택하세요. 의무에 맞는 내부 데이터 보호 정책을 수립하세요.

전 세계 지리적 위치에 따라 데이터 저장, 처리 및 취급에 관한 법률과 규정이 크게 다릅니다. 관할 구역이 중복 적용되어 데이터 저장 및 처리를 위한 데이터 규정이 추가될 수 있습니다. 예를 들어, 스페인과 프랑스, 기타 EU 국가에는 데이터 주권을 규제하는 내부 법률이 있지만 EU 법률도 준수해야 합니다. 의료 및 금융과 같이 규정이 엄격한 산업에서도 서로 다른 규정을 갖고 있습니다. 일부 국가에는 원주민의 권리에 관한 원주민 데이터 주권법이 있습니다. 

법역 외 비즈니스를 수행하는 것은 데이터 거버넌스 요구 사항에 영향을 미칠 수 있습니다. 예를 들어, 호주의 기업은 EU 시민 데이터를 처리할 경우 GDPR을 준수해야 합니다. 

전 세계에 등록된 법인이 여러 개인 조직의 경우 데이터 주권과 다양한 법역 외 규정을 준수하기가 매우 복잡해집니다.

규모가 크고 작은 조직 모두 데이터 관리에 대한 법적 의무를 준수하기 위해 데이터 주권을 신중하게 고려해야 합니다. 국경을 넘는 운영, 다국적 기업 및 규정이 엄격한 산업에서 활동하는 조직의 경우 데이터 주권에 대한 고려 사항이 더욱 중요해지고 있습니다. 데이터 저장을 관리하는 방법, 데이터를 전송하는 방법, 데이터를 처리하는 방법을 고려하세요.

데이터 주권을 완전히 이해하고 있는 클라우드 제공업체를 선택하는 것이 중요합니다. 클라우드 제공업체는 리전별 요구 사항에 따라 고객에게 내장된 데이터 보호 기능을 제공하고 광범위한 데이터 거버넌스, 디지털 자격 증명, 액세스 관리, 데이터 보안 및 개인 정보 보호 제어를 제공해야 합니다.

이 중요한 보안, 자격 증명 및 규정 준수 영역에 대한 자세한 정보, 사례 연구 및 최신 제품 업데이트를 보려면 AWS의 디지털 주권을 살펴보세요.