합법적인 해외 데이터 활용의 명확화를 위한 법률(클라우드 법)

고객이 자사의 데이터를 언제든 주체적으로 관리할 수 있어야 한다고 생각합니다. AWS는 애플리케이션과 워크로드를 구축, 마이그레이션, 관리할 수 있는 가장 안전한 글로벌 클라우드 인프라로 설계되었으며, AWS의 서비스를 이용하는 고객에게 업계 최고의 프라이버시와 보안을 제공하기 위해 최선을 다하고 있습니다.

AWS는 AWS 운영자를 비롯한 그 누구도 고객 콘텐츠에 액세스할 수 없도록 제품과 서비스를 설계했습니다. AWS는 기술적으로 대응이 가능한 경우에만 데이터에 대한 법적 요청에 응답할 수 있습니다. AWS 고객에게는 데이터 액세스를 방지하기 위한 다양한 기술적 조치와 운영 통제 기능이 제공됩니다. 일례로, 많은 AWS 핵심 시스템과 서비스는 운영자 액세스가 전혀 불가능하도록 설계되었습니다. 즉, 서비스에는 AWS 운영자가 고객 데이터에 액세스할 수 있는 기술적 수단이 없습니다.

AWS 컴퓨팅 서비스의 기반인 AWS Nitro System은 Amazon Elastic Compute Cloud(Amazon EC2)에서 처리하는 동안 외부 액세스로부터 데이터를 보호하기 위해 특수 하드웨어와 소프트웨어를 사용합니다. Nitro는 강력한 물리적·논리적 보안 경계를 제공함으로써 AWS 운영자를 비롯해, 승인되지 않은 어떤 사람도 EC2의 고객 워크로드에 액세스할 수 없도록 설계되었습니다. Nitro 시스템의 설계는 독립 사이버 보안 회사인 NCC Group에 의해 검증되었습니다. 운영자 액세스를 방지하는 데 도움이 되는 제어 기능은 Nitro System의 근간이 되는 기능이므로, 모든 고객에게 추가적인 계약상의 보증을 제공하기 위해 AWS 서비스 약관에 이를 추가했습니다.

아울러, 데이터가 전송 중이든, 저장 중이든, 메모리에 있든 관계없이 암호화할 수 있는 기능과 제어 수단도 고객에게 제공합니다. 모든 AWS 서비스는 이미 암호화를 지원하고 있으며, 대부분의 서비스는 AWS가 액세스할 수 없는 고객 관리 키를 사용한 암호화도 지원합니다. 콘텐츠의 암호화도 적용 가능한 암호화 키 없이는 무용지물이 됩니다.

제로 운영자 액세스를 지원하는 서비스에 대한 자세한 내용은 AWS의 운영자 액세스를 참조하세요.

클라우드 법은 테러리즘과 폭력 범죄부터 아동 성 착취와 사이버 범죄에 이르기까지, 중범죄에 대한 수사에서 서비스 제공업체가 보유한 전자 정보를 법 집행 기관이 신속하게 수집할 수 있도록 할 목적으로 2018년 3월에 제정되었습니다. (미 법무부 웹사이트에서 클라우드 법 관련 자료를 참조하세요.) 이 법안을 지지하는 한 미 법무부(DOJ) 관계자들의 증언을 보면, 클라우드 법이 범죄와 관련된 국경 간 수사에서 전 세계 법 집행 기관이 데이터를 강제로 확보할 수 있는 능력에 초점을 두고 있음을 알 수 있습니다. (2017년 6월 15일 하원 법사위원회에서 발언한 법무부 차관보 Richard Downing의 증언 참조)

미국 법 집행 기관은 미국 형사 절차에 따라 독립 연방 판사가 승인한 영장이 있는 경우에만 서비스 제공업체에 콘텐츠 데이터 제출을 강제할 수 있습니다. 미국 법률에 따라 영장이 발부되려면 미국 판사는 범죄가 발생했을 개연성이 있고 영장에 명시된 바와 같이 해당 범죄의 증거가 수색 대상(즉, 이메일 계정과 같은 특정 전자 계정의 데이터)에서 발견될 것이라고 판단할 만한 상당한 이유가 있다고 확신해야 합니다. 이 같은 법적 기준은 구체적이고 신뢰할 수 있는 사실을 통해 입증되어야 합니다. 모든 수색 영장은 신뢰할 수 있는 사실, 특수성 및 적법성에 관한 엄격한 유력 사유 판단을 통과해야 하며, 독립 판사의 승인을 받아야 하고 범위와 관할권에 관한 요건을 충족해야 합니다.

미국과의 클라우드 법 집행 협정에 따라, 데이터를 요청하는 외국 정부는 유사한 요건을 충족해야 합니다. 법무부는 다음과 같이 설명했습니다. “클라우드 법에 따라 데이터를 요청하는 주문은 데이터를 찾는 국가의 국내 시스템에서 합법적으로 이루어져야 하고, 특정 개인 또는 계정을 대상으로 해야 하며, 명확하고 신뢰할 수 있는 사실, 특수성, 적법성 및 심각성에 입각한 합리적 근거가 있어야 하며, 판사 또는 치안 판사와 같은 독립 기관의 검토 또는 감독을 받아야 합니다. 대량 데이터 수집은 허용되지 않습니다.”

또한 법무부는 2023년 5월에 검사가 다른 국가에 있는 증거가 필요하다는 사실을 알게 되면 부 국제문제국(OIA)에 신고해야 한다는 정책을 발표했습니다. 해외에 있는 것으로 알려진 증거를 확보하려는 검사는 미국 내 제공업체에게 해당 증거의 제출을 강제하는 법원의 명령을 받아내기 전에, OIA의 승인을 먼저 받아야 합니다. DOJ의 해외 증거에 관한 정책에 따르면, 모든 국가는 주권을 보호하기 위한 법률을 제정합니다. OIA는 이러한 문제를 해결하고 검사가 증거 확보를 위한 적절한 메커니즘을 선택할 수 있도록 지원합니다.

2025년 6월 현재, 2025년 6월 기준, AWS가 이 통계를 공개하기 시작한 이래, AWS에 접수된 데이터 요청 중 미국 국외에 저장된 기업 또는 정부 콘텐츠 데이터가 미국 정부에 제공된 사례는 단 한 건도 없었습니다. 이 같은 기록은 미국 법률과 정책이 제공하는 강력한 법적 보호 장치를 반영합니다. “AWS가 제공하는 기술적 보호 조치에 더해, 법무부는 다음을 제공합니다.

법무부 산하 컴퓨터 범죄 및 지적 재산권 부서는 2017년에 지침을 발표하여, 특별한 사정이 없는 한 검사들이 클라우드 제공업체가 아니라 해당 데이터를 보관하고 있는 기업(예: 클라우드 제공업체에 데이터를 저장하는 회사)으로부터 데이터를 확보하도록 권고했습니다. 이는 검사가 기업으로부터 직접 데이터를 확보하도록 하는 중요한 가이드라인을 제시합니다. 이와 같은 기업 고객 콘텐츠에 대한 요청을 받는 경우, AWS는 합리적인 범위 내에서 법 집행 기관이 고객에게 직접 요청하도록 안내하며, 법적으로 허용되는 경우 고객에게 이를 알립니다.

아니요. 클라우드 법은 미국에서 사업을 운영하거나 미국에 법인을 둔 모든 전자 통신 서비스 또는 원격 컴퓨팅 서비스 제공업체에 적용됩니다. 일례로, EU에 본사를 두고 미국에서 사업을 운영하는 클라우드 서비스 제공업체에도 클라우드 법이 적용됩니다. 프랑스에 본사를 두고 미국에서 사업을 운영하는 클라우드 서비스 제공업체인 OVHcloud는 클라우드 법 FAQ 페이지에서 “OVHcloud는 공공 기관의 합법적인 요청을 따릅니다. 여기에는 클라우드 법에 따라 미국 국외에 저장된 데이터가 포함될 수 있습니다”라고 밝히고 있습니다.

미국 법에 따라, 행정부의 행정조치는 클라우드 법과 같이 의회가 제정한 기존 법률에 반하거나 새로운 법률을 만들어낼 수 없습니다.

아니요. 많은 국가에서는 중범죄와 관련한 법적 절차에 대응하여, 고객 데이터가 어디에 저장되어 있든 관계없이 고객 데이터를 공개하도록 요구합니다. 이 개념은 사이버 범죄 수사의 협력 개선을 목표로 한 최초의 국제 협약인 부다페스트 사이버 범죄 협약에 명시되어 있습니다. 예를 들어 영국 범죄(해외 생산 주문) 법에 따라 영국 법 집행 기관은 범죄 수사와 관련하여 영국 국외에 위치한 저장된 전자 데이터를 제출받을 수 있습니다. 미 DOJ의 2024년 제출 자료에 따르면, 덴마크, 프랑스, 아일랜드, 스페인을 비롯한 여러 유럽 연합 회원국의 법률에도 유사한 요건이 있습니다.

AWS는 모든 국가의 법 집행 요청을 처리하기 위한 매우 세부적인 절차를 갖추고 있습니다. AWS 데이터 처리 부록의 보충 부록에서 공개적으로 약속한 바와 같이, 법적으로 유효하고 구속력이 있는 명령에 따라 공개할 의무가 있는 경우를 제외하고 AWS는 법 집행 기관의 요청에 대응하여 고객 데이터를 공개하지 않습니다. 법 집행 기관으로부터 명령을 받는 경우, 합법성을 면밀히 검토하여 관련 법률에 저촉되는 부분이 없는지 검증하고 있습니다. AWS가 기업 고객 콘텐츠에 대한 법적으로 유효하고 구속력 있는 요청을 받는 경우, AWS는 합리적인 범위 내에서 법 집행 기관이 고객에게 직접 요청하도록 안내하며, 법적으로 허용되는 경우 고객에게 이를 알립니다. AWS는 AWS 데이터 처리 부록의 보충 부록에서 공개적으로 약속한 바와 같이, 법률에 저촉되거나 지나치게 광범위하거나 기타 부적절한 요청에 대해 이의를 제기합니다. AWS가 이러한 단계를 완료했음에도 부득이하게 고객 데이터를 공개해야 하고 AWS가 그렇게 할 수 있는 기술적 능력이 있는 경우 요청을 이행하는 데 필요한 최소한의 정보만 공개합니다. 법 집행 요청에 대한 AWS의 접근 방식에 대한 자세한 내용은 법 집행 정보 요청 페이지를 참조하세요.

아니요. 클라우드 법은 법 집행 기관이 서비스 제공업체에게 통신 내용을 복호화하도록 강제할 수 있는 새로운 권한을 부여하지 않습니다.

AWS는 데이터가 전송 중이든, 저장 중이든, 메모리에 있든 관계없이 암호화할 수 있는 기능과 제어를 제공합니다. 모든 AWS 서비스는 이미 암호화를 지원하고 있으며, 대부분의 서비스는 AWS가 액세스할 수 없는 고객 관리 키를 사용한 암호화도 지원합니다. 콘텐츠의 암호화도 적용 가능한 암호화 키 없이는 무용지물이 됩니다.

AWS는 관련 데이터 보호법을 준수할 것을 계약으로 약속합니다. 아울러, AWS는 정부 기관의 과도하거나 부적절한 요청(해당 요청이 유럽 연합 또는 회원국의 관련 법률과 충돌하는 경우 포함)에 대해 이의를 제기할 것을 약속합니다.

아닙니다. 클라우드 법은 다른 국가의 현지 법률에 영향을 미치지 않습니다. 사실상 클라우드 법에서는 서비스 제공업체가 다른 국가의 법률 또는 국익과 충돌하는 요청을 거부할 수 있는 권리를 인정하고 있습니다.