2025년 10월 14일, Exchange Server 2016과 2019의 공식 지원이 종료됐어요. 남은 선택지는 두 가지 — Microsoft 365로 가거나, 새 구독형 제품인 Exchange Server SE로 업그레이드하거나. 대부분 클라우드 전환을 검토하지만, 데이터 주권이나 규제 요건이 엄격한 조직은 그렇게 단순하지 않습니다. "이메일을 어디에 둘 것인가"가 IT 결정이 아니라 법적 판단이 되는 거죠.
데이터 주권: Microsoft도 "보장 못 한다"고 인정한 현실
2025년 7월, Microsoft 프랑스 대표 Corinne Carniaux가 프랑스 상원 청문회에서 미국 CLOUD Act 하에서 데이터 주권을 "보장할 수 없다(cannot guarantee)"고 공개 인정했어요. 이 발언은 Reddit r/sysadmin에서 991 upvote를 받으며 큰 반향을 일으켰습니다.
구조를 보면 명확해요. 2018년 제정된 미국 CLOUD Act는 미국 기업이 해외 서버에 저장한 데이터라도 미국 법 집행기관 영장에 응해야 한다고 규정하고 있거든요. M365에 이메일을 저장하면 서버가 물리적으로 한국이나 EU에 있더라도 미국 정부의 데이터 접근 가능성을 법적으로 차단할 방법이 없습니다. EU GDPR, 한국 개인정보보호법의 국외이전 제한 조항과 근본적으로 충돌하는 부분이에요.
이 문제가 2026년 들어 실제 행동으로 옮겨지고 있어요. Reuters에 따르면 프랑스 정부는 Health Data Hub를 Microsoft Azure에서 자국 클라우드 업체 Scaleway로 이전했고, 유럽위원회는 1억 8,000만 유로 규모의 주권 클라우드 조달에서 AWS·Azure·Google을 모두 배제하고 유럽 업체 4곳만 선정했습니다.
개인정보보호법상 국외이전 제한 요건이 적용되는 데이터를 이메일로 처리하는 조직이라면, Exchange Server SE 온프레미스 운영이 법적 리스크를 구조적으로 낮추는 선택이 됩니다. 공공기관, 의료기관, 금융기관, 방위산업체는 이 점을 가장 먼저 검토해야 해요.
M365 장애에서 배운 것 — 통제권은 누구에게?
2026년 1월 22일, Microsoft 365에서 약 10시간짜리 글로벌 장애가 터졌어요. Outlook, Teams, SharePoint, OneDrive 전부 마비됐습니다. Medium에 게재된 포렌식 분석에 따르면 1만 명 규모 기업 기준 직접 생산성 손실이 약 400만 달러로 추산됐죠.
Exchange Server SE를 온프레미스로 운영하면 유지보수 시점, 업데이트 적용 시기, 다운타임 윈도우를 조직이 직접 결정해요. Microsoft가 연 2회 누적 업데이트(CU)를 제공하되 적용 시점은 관리자 재량입니다. 금융 결산 기간이나 의료 응급 상황처럼 이메일 중단이 절대 안 되는 환경에서 이 차이는 결정적이에요.
BCP나 DR 요건이 엄격한 규제 산업에서는 "제3자 클라우드 장애로 서비스가 중단됐습니다"라고 감사 보고서에 쓰는 게 쉬운 일이 아니거든요. 온프레미스 Exchange는 그 부분에서 감사 대응이 훨씬 깔끔합니다.
감사 추적과 데이터 보존, 온프레미스가 주는 완전한 통제
컴플라이언스 실무에서 가장 자주 부딪히는 영역이 감사 추적(audit trail)과 데이터 보존(data retention)이에요. Exchange Server SE 온프레미스 환경에서는 이런 통제가 가능합니다.
- 이메일 로그 보존 기간과 형식을 조직 정책에 맞게 자유롭게 설정
- 저널링 규칙을 자체 아카이빙 솔루션과 연동해서, 규제 기관 요청 시 데이터를 즉시 제출할 수 있는 체계 구축
- eDiscovery 범위와 접근 권한을 내부 보안 정책에 맞게 세밀하게 조정
- 로그 데이터의 물리적 위치와 접근 이력을 100% 내부에서 관리
Exchange Online에서도 비슷한 기능이 있지만, 데이터가 Microsoft 인프라 위에 있으니 "누가 접근할 수 있는가"에 대한 궁극적 통제권이 조직 밖에 존재해요. HIPAA, PCI-DSS, 한국 전자금융감독규정 수준의 감사 통제를 입증해야 하는 조직이라면, 이 차이를 무시하기 어렵습니다.
실무적으로는 Exchange Server SE의 저널링 기능을 Enterprise Vault 같은 전용 아카이빙 플랫폼과 연동하면, 이메일 원본을 WORM 스토리지에 변조 불가능한 형태로 장기 보관하면서 규제 기관이 요구하는 보존 기간 정책까지 자동화할 수 있어요.
자주 묻는 질문 (FAQ)
Q. Exchange Server SE는 기존 2019와 뭐가 다른가요?
A. 기능적으로는 Exchange 2019 CU15를 기반으로 하지만, 라이선스 모델이 영구 라이선스에서 구독형으로 바뀌었어요. M365 E3/E5 구독 또는 소프트웨어 보증(SA) 기반 CAL이 필요하고, 모던 라이프사이클 정책에 따라 지속적으로 보안 업데이트를 받게 됩니다.
Q. 온프레미스 Exchange가 클라우드보다 보안이 더 좋은 건가요?
A. 꼭 그렇진 않아요. 온프레미스는 통제권이 있는 대신 보안 패치 적용, 암호화, 접근 통제를 모두 자체적으로 책임져야 합니다. 2025년 11월 NSA/CISA 보안 모범사례 가이드에서도 패치 미적용 Exchange 서버의 위험성을 강하게 경고했어요. 통제권이 곧 책임이라는 점을 명심해야 합니다.
Q. 한국 기업에도 CLOUD Act가 영향이 있나요?
A. M365를 사용하는 한국 기업의 데이터도 이론적으로 CLOUD Act 적용 대상이에요. Microsoft가 미국 기업이니까요. 개인정보보호법상 국외이전 제한 조항과 충돌할 수 있어서, 규제 대상 데이터를 M365에 저장하는 경우 법적 검토가 필요합니다.
이메일 인프라를 어디에 둘지는 IT 의사결정이 아니라 컴플라이언스 판단이에요. 우리 조직의 데이터가 어디에 있어야 법적으로 안전한지, 지금 한 번 점검해 보시는 건 어떨까요? 더 자세한 내용은 휴미즈에서 확인하세요.
이 글은 기업 데이터 관리 및 컴플라이언스 전문 기업 휴미즈가 작성했습니다.
0 댓글