지연 수학: 물리가 부과하는 한계
진공에서 빛은 299,792 km/s로 이동합니다. 광섬유 케이블 안의 빛은 그 약 2/3 — 약 200,000 km/s, 즉 1,000 km당 단방향 약 5ms — 로 이동합니다. 왕복 시간(RTT)은 그 두 배입니다 — 케이블 1,000 km당 약 10ms. 실제 광섬유 경로는 보통 대권 거리의 1.3-2배이므로, 라우팅 현실에 따라 추가 지연을 고려하세요.
빛은 굴절률 때문에 유리에서 느려집니다. 단일 모드 광섬유의 굴절률은 약 1.467이므로, 광섬유 안 빛의 속도는 c/1.467 ≈ 204,300 km/s입니다. 이는 광섬유 1,000 km당 단방향 약 4.9ms, 왕복 9.8ms의 지연을 줍니다. 이는 단단한 물리적 하한이며 — 어떤 사업자의 엔지니어링도 빛의 속도를 이길 수 없습니다. 프로덕션 계획에 더 유용한 경험칙: 단방향으로 100 km당 1ms, 더해서 네트워크 홉당 1-2ms의 스위칭과 라우팅 오버헤드를 예산으로 잡으세요. 장거리 해저 케이블은 잘 설계되어 이론 최저치에 가까워집니다(런던-뉴욕은 약 70ms RTT로, 5,500 km 대권 한계에 근접). 라스트 마일과 도시 내 경로는 거리보다 라우터 홉과 ISP 피어링 형상 때문에 종종 5-15ms입니다.
주요 도시 간 실제 RTT 추정치
2026년 주요 호스팅 허브 사이의 단방향 왕복 시간(전체 RTT) 근사치: 런던-암스테르담 약 10ms, 런던-프랑크푸르트 약 15ms, 런던-뉴욕 약 70ms, 뉴욕-샌프란시스코 약 70ms, 프랑크푸르트-싱가포르 약 160ms, 런던-시드니 약 250ms, 도쿄-샌프란시스코 약 100ms. 이는 데이터센터 피어 사이의 TCP 간 측정 기준 일반적인 광섬유 최선 값입니다.
이 숫자들은 주요 IXP(LINX, AMS-IX, DE-CIX, KINX)가 공개한 피어링 데이터와 대규모 지연 아틀라스(RIPE Atlas, WonderNetwork, Cloudping)에서 가져왔습니다. 실제 RTT는 시간대, 사업자와 사용자 ISP 간 피어링 관계, 사용된 특정 해저 케이블 경로에 따라 10-30% 변동할 수 있습니다. 위 숫자는 일반적인 값이며 보장되지 않고, 양쪽 엔드포인트가 다중 Tbps 트랜짓을 갖춘 데이터센터에 있다고 가정합니다. 라스트 마일 가정용 회선은 데이터센터 간 하한 위에 5-30ms를 더 얹습니다.
| 출발지 | 목적지 | 거리(대권) | 일반 RTT |
|---|---|---|---|
| London | Amsterdam | 360 km | 약 10 ms |
| London | Frankfurt | 640 km | 약 15 ms |
| London | Paris | 340 km | 약 10 ms |
| Frankfurt | Warsaw | 900 km | 약 20 ms |
| London | New York | 5,570 km | 약 70 ms |
| New York | Miami | 1,760 km | 약 30 ms |
| New York | San Francisco | 4,140 km | 약 70 ms |
| San Francisco | Tokyo | 8,280 km | 약 100 ms |
| Frankfurt | Singapore | 10,290 km | 약 160 ms |
| London | Sydney | 16,990 km | 약 250 ms |
| Frankfurt | Mumbai | 6,580 km | 약 110 ms |
| São Paulo | Miami | 6,580 km | 약 120 ms |
데이터 거주성: GDPR, CLOUD Act, 그 외
EU/EEA 개인정보는 GDPR(Regulation (EU) 2016/679)의 적용을 받으며, 특정 보호 조치 없이는 EEA 외부로의 이전을 제한합니다. 미국 CLOUD Act(2018)는 데이터가 물리적으로 어디에 저장되든 미국 본사 사업자에게 데이터 공개를 강제할 수 있도록 합니다. 러시아와 중국은 자체 데이터 현지화 체계를 가지고 있습니다. 사용자의 관할권과 계약상 의무 모두에 부합하는 데이터센터 리전을 선택하세요.
GDPR(2018년 5월 발효)은 EU 또는 EEA 거주자의 개인정보 — 이름, 이메일, IP 주소, 행동 데이터 — 를 컨트롤러의 본사 위치와 무관하게 규제 대상으로 봅니다. 국경 간 이전에는 적정성 결정, 표준 계약 조항, 또는 구속력 있는 기업 규칙이 필요합니다. 49조 일탈은 좁습니다. Schrems II 판결(EU 사법재판소, 2020년 7월)은 Privacy Shield를 무효화하고 이전 보호 조치를 상당히 강화했습니다. 미국 CLOUD Act(Clarifying Lawful Overseas Use of Data Act, 2018)는 데이터가 프랑크푸르트의 서버에 있더라도 미국 연방 당국이 미국 기반 사업자에게 저장된 데이터의 제공을 강제할 수 있게 합니다. 이는 데이터가 물리적으로 어떤 데이터센터에 있든 미국 본사 호스팅 사업자를 사용하는 유럽 고객에게 긴장을 만듭니다. 러시아 연방법 제242-FZ호는 러시아 시민의 개인정보를 처음에 러시아 내부 서버에서 처리하도록 요구합니다. 중국의 PIPL(개인정보 보호법, 2021년 11월 발효)은 핵심 정보 인프라 운영자와 대용량 데이터 처리자에 대해 현지화를 요구합니다. 이 체계들 중 어느 것도 애플리케이션 서버가 어디서 실행되는지 신경 쓰지 않으며, 모두가 개인정보가 어디에 저장되고 처리되는지를 따집니다.
멀티 리전이 필요한 경우
지리적으로 분산된 사용자가 100ms 미만 지연 요건을 가질 때, 관할권을 넘는 규제 데이터 거주성 의무가 있을 때, 또는 단일 리전 다운타임 위험이 용납되지 않을 때 멀티 리전이 정당화됩니다. 취미 프로젝트, 한 리전에 사용자가 있는 저트래픽 SaaS, 또는 엔지니어링 복잡성이 지연 이득보다 큰 워크로드에는 거의 정당화되지 않습니다.
멀티 리전은 세 가지 구체적 비용을 추가합니다. 첫째, 엔지니어링 복잡성: 데이터 복제(최종 일관성 또는 글로벌 동기), 라우팅 로직(geo-DNS, 애니캐스트, 리전 페일오버), 그리고 리전 간 가관측성 모두가 운영 표면적을 배가시킵니다. 둘째, 인프라 비용: 최소 두 배의 컴퓨트와 스토리지, 그리고 클라우드 사업자가 GB당 부과하는 리전 간 트랜짓 비용. 셋째, 일관성 트레이드오프: 동기 글로벌 쓰기는 앞 절의 같은 지연 수학에 의해 물리적으로 제한되므로, 대부분의 멀티 리전 설계는 어떤 형태의 최종 일관성을 받아들입니다. 그 비용을 정당화하는 이유: 200ms 이상의 지연이 전환을 떨어뜨리는 대륙을 가로질러 분산된 실제 사용자, 1초 미만 RTO 재해 복구 요건, EU 데이터를 EU에, US 데이터를 US에 동시에 보관해야 하는 규제 의무, 또는 단일 데이터센터 장애가 보이지 않아야 하는 액티브-액티브 고가용성 요건. 대부분의 프로덕션 워크로드는 필요로 하지 않으며, 많은 설계가 그쪽으로 과도 엔지니어링됩니다.
결정 트리: 리전을 어떻게 고를 것인가
1단계: 사용자의 80%가 어디에 사는지 파악(분석, CDN 로그, 예상 타깃 시장). 2단계: 가장 가까운 호스팅 리전 선택. 3단계: 법적 관할이 데이터 거주성 의무에 부합하는지 확인. 4단계: 1단계가 첫 번째에서 100ms RTT 이상 떨어진 두 번째 사용자 군집을 드러내거나 HA/DR 요건이 요구할 때만 두 번째 리전 추가.
트리를 솔직하게 따라가세요. 사용자가 주로 독일, 프랑스, 영국, 네덜란드에 있는 일반적인 유럽 중심 SaaS라면, 단일 서유럽 데이터센터(프랑크푸르트, 암스테르담, 또는 런던)가 모든 사용자를 30ms RTT 미만으로 유지하고 GDPR을 깔끔하게 충족합니다. 보스턴부터 LA까지 사용자가 있는 미국 중심 B2B 제품이라면, 단일 미국 동부 데이터센터(애쉬번, 뉴욕)가 동부 해안 사용자를 20ms 미만으로, 서부 해안을 80ms 미만으로 유지합니다 — 게이밍에는 나쁘고 대부분 SaaS에는 무난합니다. 진정한 글로벌 제품(모든 대륙에 사용자가 있는 웹 앱)이라면, 기본 리전 + 글로벌 엣지 프레즌스를 갖춘 CDN이 보통 세 데이터센터에서 액티브-액티브를 운영하는 것을 이깁니다. 관할권 전반에 걸친 단단한 데이터 거주성 요건(EU 전용과 US 전용 데이터 평면)이 있는 제품은 지연과 무관하게 멀티 리전이 의무가 됩니다.
컴플라이언스 단축키: 실제로 의미 있는 인증
ISO/IEC 27001(정보 보안 관리), SOC 2 Type II(단일 시점이 아니라 시간에 걸쳐 감사된 운영 통제), 그리고 해당될 경우 PCI DSS Level 1(결제 데이터)을 찾으세요. EU 고객이라면 명시적인 GDPR 데이터 처리 계약(DPA)과 명확한 하위 처리자 목록을 찾으세요. 명명된 인증 없는 일반적인 '엔터프라이즈급 보안' 마케팅은 사실상 의미가 없습니다.
세 가지 인증이 실제 무게를 갖습니다. ISO/IEC 27001:2022는 정보 보안 관리 시스템에 대한 국제 표준이며 독립 감사와 지속적인 감시 감사를 요구합니다. SOC 2 Type II는 6-12개월 관찰 윈도에 걸쳐 조직의 통제를 감사하며, Type I(시점 기준)과 구별됩니다. PCI DSS는 결제 카드를 처리할 때 적용됩니다 — Level 1은 연간 600만 건 이상 트랜잭션 처리 조직용입니다. 유럽 고객이라면 GDPR DPA(데이터 처리 부속서)는 계약 구속력이 있으며 사업자가 데이터로 무엇을 할 수 있고 할 수 없는지 정확히 명시합니다. 그 외에 투명성 보고서(사업자가 법 집행 요청을 얼마나 자주 받는가?), 공시된 하위 처리자 목록(데이터를 다루는 제3자), 그리고 계약 종료 시 명확한 데이터 삭제 보장을 찾으세요. '은행급 보안'이나 '군사급 암호화' 같은 일반적인 문구는 아무것도 알려주지 않습니다 — 기반 AES-256 알고리즘은 어디서나 동일합니다.