유럽에 대한 Microsoft의 ‘데이터 주권’ 약속에는 단서가 있습니다. 2026년 4월 17일부터 Microsoft는 처리를 위해 Copilot 데이터를 해외 서버로 보내기 시작합니다.

Microsoft 365 Copilot에 플렉스 라우팅이 도입되면서, 대규모 언어 모델(LLM) 추론, 즉 데이터가 실제로 처리되는 단계가 유럽 데이터 센터의 용량이 부족할 때 미국, 캐나다 또는 호주에서 이루어질 수 있습니다.

이러한 변경 사항은 기본적으로 적용됩니다. 2026년 3월 25일 이후 생성된 신규 고객 계정에서는 플렉스 라우팅이 이미 켜져 있습니다. 그 외 모든 고객에게는 옵트아웃하지 않는 한 자동으로 활성화됩니다. (방법은 아래에 안내되어 있습니다.)

귀하의 기업이 유럽연합(EU) 또는 유럽자유무역연합(EFTA)에 기반을 두고 있다면, 이는 사소한 기술 업데이트가 아닙니다. 플렉스 라우팅은 AI 워크플로가 귀하도 모르는 사이 EU 내부에 머무는지, 아니면 EU를 벗어나는지를 바꿉니다. 그리고 이는 Big Tech식 디지털 주권이 유럽에 실제로 무엇을 의미하는지 보여 줍니다. 통제권은 여전히 그들에게 있습니다.

플렉스 라우팅이란 무엇인가요?

추론은 AI 모델이 문서를 요약하거나, 질문에 답하거나, 콘텐츠 초안을 작성하는 등 응답을 생성하기 위해 프롬프트를 처리하는 순간을 말합니다. 이 시점에는 데이터가 이미 취합된 상태입니다. 데이터가 유럽에 저장되어 있더라도 이제는 자동으로 EU 외부 관할권에 있는 다른 곳에서 처리될 수 있습니다.

EU에 호스팅된다고 해서 EU에서 처리된다는 뜻은 아닙니다

Microsoft는 데이터가 전송 중이거나 저장되어 있을 때 모두 암호화된(새 창) 상태로 유지된다는 점을 분명히 하고 있습니다. 이는 일부 고객에게는 안심이 될 수 있습니다. 그러나 일반 데이터 보호 규정(새 창)(GDPR), 네트워크 및 정보 보안 지침(NIS2), 디지털 운영 복원력 법(DORA)과 같은 프레임워크의 적용을 받는다면, 저장 및 전송 단계에서 데이터를 보호하는 것만으로는 충분하지 않습니다.

노출이 발생할 수 있는 지점은 처리(또는 추론) 단계입니다. 그리고 플렉스 라우팅에서는 이제 그 지점이 바뀔 수 있습니다.

AI 모델이 추론을 수행하려면 계산을 위해 데이터에 접근할 수 있어야 합니다. 프롬프트, 이메일, 파일, 메타데이터가 수집되어 모델로 보내집니다. 플렉스 라우팅에서는 이 묶음이 EU 외부에서 처리될 수 있습니다.

데이터가 어디에서 처리되는지는 중요합니다. 들어오고 나갈 때 암호화되어 있더라도 마찬가지입니다.

규정 준수의 부담은 귀하에게 있습니다

Microsoft가 플렉스 라우팅을 기본 기능으로 만든 결정은 위험 신호입니다. 연구에 따르면 대부분의 사람은 기본 설정을 확인하거나 업데이트하지 않습니다. 유럽 고객의 데이터 주권을 이 회사가 정말 중요하게 여겼다면, 플렉스 라우팅을 자동으로 적용하지는 않았을 것입니다.

이는 또한 공급업체가 중요한 정책을 갑자기 바꾸기로 결정할 수 있다는 사실을 귀하의 규정 준수 부서에 일깨웁니다. 이제 공급업체 업데이트를 모니터링하고, 그 영향을 해석하며, 규정을 준수하기 위해 설정을 조정할 책임은 귀하에게 있습니다. 데이터 주권을 중요하게 여기는 공급업체라고 믿고 미국 기반 공급업체를 선택했다면, 이는 불공정하게 느껴질 수 있습니다.

지금 EU 기업이 할 수 있는 일

  1. 플렉스 라우팅을 비활성화합니다. 정책상 EU 내 처리만 허용해야 한다면 기본 설정에 의존하지 마십시오.
    • Microsoft 365 관리 센터에 AI 관리자 역할(새 창)이 할당된 관리자로 로그인합니다.
    • Copilot -> 설정 -> 피크 부하 시간대의 유연한 추론으로 이동합니다.
    • 플렉스 라우팅을 허용하지 않음을 선택합니다.
  2. 국경 간 이전이 미치는 영향을 이해하십시오. 현재 설정이 비즈니스 요구 사항을 충족하지 못할 수 있습니다. 다음 사항을 고려해 보십시오:
    • GDPR 및 업종별 규정에 따른 데이터 전송 의무
    • 내부 데이터 상주 정책 및 계약상 약속
    • EU 외 관할권에서의 법적 접근 및 감독
  3. AI 관련 데이터 흐름을 면밀히 점검하십시오. 대부분의 기업은 데이터가 어디에 저장되는지는 알고 있습니다. 그러나 어디에서 처리되는지까지 아는 기업은 더 적습니다. 다음과 같은 질문을 던져 보십시오:
    • 데이터가 처리되는 위치
    • 타사에 데이터 공개를 강제할 수 있는 법률이 있는지 여부
    • 처리 중 누가 데이터에 접근할 수 있는지, 그리고 그 대상이 바뀔 수 있는지 여부
  4. 데이터를 어떻게 처리하는지 투명하게 밝히는 공급업체를 선택하십시오. Proton의 AI 어시스턴트(새 창)는 유럽 서버에서만 데이터를 처리하며, 보안 모델에 대한 자세한 설명을 공개합니다.

플렉스 라우팅은 데이터 거버넌스에 관한 더 근본적인 사실을 드러냅니다

공급업체가 미국에 기반을 두고 있다면, 귀하는 규제 현실이 다른 환경을 위해 설계된 시스템에 의존하고 있는 것입니다. 귀하가 통제할 수는 없지만, 여전히 책임은 져야 하는 환경입니다.

소프트웨어 업데이트, 지원, 법률 정책, 가격 결정은 실리콘밸리나 시애틀에서 이루어집니다. 공급업체가 따르는 규칙은 워싱턴에서 정해집니다. 하지만 귀하의 기업은 유럽 기준을 따라야 합니다.

그래서 더 많은 기업이 Big Tech의 유럽 대안(새 창)에 주목하기 시작하고 있습니다. 인프라, 정책, 법적 프레임워크가 비즈니스를 운영하는 지역과 일치할 때 데이터 주권은 조건부가 아니라 실제로 집행 가능한 것이 됩니다.