엔터프라이즈 클라우드 전략의 숨은 위험 요소 4가지

클라우드 접근 방식에서 벤더의 위험 준비 태세 변화, 새로운 규제와 같은 문제를 인식하지 못하거나 준비되지 않은 IT 리더는 예상치 못한 과제를 겪어야 할 수 있다.
 

IT 워크로드를 위해 클라우드와 온프레미스 사이에서 균형을 찾을 때 CIO는 클라우드 및 클라우드 벤더의 가능성이 엔터프라이즈 IT의 현실에 미치지 못하는 뜻밖의 상황에 직면할 수 있다.

클라우드 위험 분석은 다른 위험 분석과 다르지 않아야 한다. 하지만 많은 기업이 클라우드를 더 조심스럽게 다루면서도 덜 철저한 접근 방식을 취한다. 기업이 대규모 클라우드 플랫폼을 사용하는 경우가 많기 때문이다. 그중 AWS, 마이크로소프트 애저, 구글 클라우드 플랫폼이 큰 비중을 차지하고 있다. 이러한 대규모 플랫폼은 기업의 IT 실사 허용 범위를 크게 제한할 수 있다.

월마트, 엑손 모빌, CVS, 버크셔 해서웨이 등 일부 대기업은 예외지만, 그 외 많은 기업에는 예외가 적용되지 않는다. 또한 대부분의 엔터프라이즈 클라우드 전략에는 클라우드에서 운영되는 포인트 솔루션 SaaS 공급업체를 비롯해 여러 클라우드 벤더가 참여한다. 이렇듯 여러 파트너 간의 상호 관계는 위험 공식을 더 복잡하게 할 수 있다.

클라우드 자산이 노출될 수 있는 가장 명백한 위험 요소는 클라우드 설정 및 구성과 관련이 있다. 많은 IT 팀이 클라우드 인스턴스, 아키텍처 및 환경의 설정을 회사의 요구 사항에 정확하게 일치하도록 미세 조정하는 데 많은 노력을 기울이지만, 나중에 클라우드 벤더가 모든 기업 테넌트에 대해 일괄적인 변경을 실시해 사실상 IT 팀이 힘들게 설정한 내용을 무시하는 상황이 나타나기도 한다. 

클라우드에서 CIO가 알아야 할 다른 예상치 못한 문제도 있다. 몇 가지 숨은 위험 요소와 이를 완화하는 방법을 소개한다.

벤더의 위험 준비 태세 변화
클라우드 벤더는 계약 체결 당시 기업 CIO와 약속한 서비스를 제공하는 데 어려움을 주는 비즈니스 관련 문제에 직면할 수 있다. 여기에는 새로운 위험 요소의 발생도 포함된다.

클라우드 플랫폼에서 허용되는 최소한의 실사(SOC 보고서, GDPR 컴플라이언스, PCI ROC 등)를 수행할 때는 그것이 평가 시점의 스냅샷일 뿐이라는 점을 기억하는 것이 중요하다. 여기에 계약이 중요한 이유가 있다. 해고나 비인적 자원에 대한 예산 삭감 등 클라우드 벤더의 운영과 위험 준비 태세에 영향을 미칠 수 있는 변경 사항이 발생하는 경우 이를 알릴 의무가 계약 조항에 있어야 한다. 이상적으로는 미사용 비용을 반환받는 등 위약금 없이 계약을 종료할 수 있는 옵션이 포함될 필요가 있다.

EY의 사이버 보안 담당 상무이사인 브라이언 레빈은 “그런 요구를 하는 데 불리한 점은 없다고 본다. 클라우드 벤더가 이를 따를까? 아마 아닐 것이다. 그럴 만한 프로세스가 마련돼 있지 않을 가능성이 높다. 소송을 대비해 묵시적 조항보다는 명시적 조항을 두는 것이 항상 더 낫다”라고 말했다.

세일포인트의 CISO인 렉스 부스는 이러한 조항이 나쁘진 않아도 해석의 여지가 많다는 데 동의했다. 그는 ‘외부 감사인의 판단에 따라 급락하는 경우 계약을 중단할 권리가 있다’라는 식의 내용을 포함하는 것이 더 나은 계약 방식이라고 말했다. 하지만 중단이 반드시 조직의 역량 감소를 의미하지는 않는다고 그는 덧붙였다.

새로운 데이터 주권 문제
데이터 주권은 꽤 오랫동안 중요한 IT 이슈였지만 이제는 많은 기업이 예상치 못했던 클라우드 관련 데이터 주권 문제가 떠오르고 있다. 예를 들어 지난 1월 미국 상무부는 중국 기업이 미국 클라우드 환경에서 LLM 모델을 교육하는 것을 금지하는 규정을 제안했다. 처음에는 중국 기업에만 영향을 미칠 것으로 보였지만, 포레스터의 수석 애널리스트 리 서스타는 클라우드 기업뿐만 아니라 고객을 위해 분석 업무를 수행하는 부서가 있는 미국 대기업까지도 쉽게 얽힐 수 있다고 주장했다.

만약 중국 기업이 미국 AI 업체를 고용해 미국 기반 클라우드 환경에서 여러 LLM을 학습시키는 데 비용을 지불한다면 어떻게 될까? 이 경우 상거래 규정 위반일까? 더 복잡한 문제도 있다. 이 미국 AI 업체의 고객이 벨기에나 호주에 기반을 두고 있다면? 그리고 그 벨기에 회사의 고객이 중국 회사라면 어떻게 될까? 중국 회사가 이 규정을 우회하려면 중국 이외의 여러 기업을 통해 요청을 처리할 가능성이 높다. 

서스타는 “이제 클라우드 워크로드를 계획할 때 서드파티의 위험뿐만 아니라 포스파티(forth-party) 위험까지도 고려해야 한다”라고 지적했다.

EY의 레빈은 새 클라우드 계약을 협상할 때 CIO가 다른 문제도 고려해야 한다고 말했다. 일부 클라우드 운영 업체가 환경에서 일어나는 일을 로깅하는 데 추가 비용을 청구하고 있다는 점이다. 클라우드 테넌트가 직접 활동을 추적할 수 있다면 큰 문제가 되지 않겠지만, 그럴 수 없기 때문에 클라우드 플랫폼의 로그에 의존해야 한다.

그는 “이것은 기본이며 기업이 클라우드에 발생하는 모든 일에 대해 책임을 지려면 로그가 있어야 한다. 이 로그를 얼마나 오래 보관해야 할까?”라고 물었다.

광범위한 비상 상황에 대비한 확장성
많은 기업 IT 경영진이 클라우드가 무한에 가까운 확장성을 제공한다고 여기지만, 이는 수학적으로 사실이 아니다. 확약까지는 아니더라도 무한한 확장성을 강하게 암시하는 클라우드 마케팅은 크게 도움이 되지 않는다.

대부분의 경우 클라우드의 탄력성은 원칙에 따라 높은 수준의 확장성을 제공한다. 하지만 사이버 보안 투자 기업 팀8의 운영 파트너이자 CISO이며 시티그룹, 도이치뱅크, JP모건 체이스 등에서 CISO를 역임한 찰스 블로너는 비상 상황이 발생하면 모든 것을 장담할 수 없게 된다고 말했다.

블로너는 9/11 테러 당시 데이터 아웃소싱의 많은 실패 사례뿐만 아니라, 2012년 허리케인 샌디 때와 코로나19 초기에도 이를 목격했다고 언급했다. 그는 더 많은 데이터를 클라우드로 옮기려고 시도하는 ‘최초의 기업들’에게만 비상 시 효과가 있을 것이라고 말했다.

기업들은 ‘위기 시 클라우드 환경으로 복구’할 수 있기를 기대하기 마련이다. 하지만 9/11 테러가 발생했을 때 모두가 동시에 비상사태를 선포했다. 블로너는 “만약 가장 먼저 이를 선포하지 않는다면 클라우드 벤더는 ‘이미 만원’이라고 대답할 것”이라고 말했다.

블로너는 이에 대한 해결책으로 CIO가 최소 기능 제품(MVP)의 위치를 확립할 것을 제안했다. 다시 말해 기업이 가장 필수적인 서비스, 즉 없으면 고객이 생존할 수 없는 서비스를 식별하고 비상 상황이 발생하면 긴급한 서비스만 클라우드로 이전하는 방법이다. 모든 기업이 이렇게 한다면 업계는 다음 위기에도 버틸 여유가 생길 수 있다.

예를 들어 블로너가 시티그룹에서 근무할 당시 MVP는 국제 자금 이체였다. 블로너는 “만약 이를 보호하지 못했다면 글로벌 경제 붕괴가 일어났을 수도 있다. 시티 없이는 한국에서 송금을 할 수 없다. 전 세계 모든 기업에는 그런 일이 있을 수 있다”라고 말했다.

스스로 초래한 보안 위험 및 비효율성
가트너 클라우드 보안팀의 선임 디렉터 애널리스트인 찰리 윈클리스는 위기 발생 시 확장성이 우려된다는 데 동의하면서도, 전 세계 여러 클라우드 환경과 계약을 맺고 투자를 아끼지 않는 IT 리더의 일반적인 해결 방안에서 다른 문제가 발생할 수 있다고 봤다. 

윈클리스는 “CIO는 클라우드 벤더를 사용하면 가용성이 늘어난다고 생각하지만 그렇지 않다. 복잡성만 가중될 뿐이다. 복잡성은 항상 보안의 적이었다. 클라우드 공급업체의 영역을 활용하는 것이 훨씬 더 비용 효율적이다”라고 말했다.

한편 맥킨지의 사이버 보안 전략 업무 총괄인 리치 아이젠버그는 기업이 클라우드 환경의 메커니즘을 충분히 신뢰하지 않기 때문에 클라우드가 약속하는 재무 및 효율성 이점을 누리지 못하는 경우가 많다고 말했다.

아이젠버그는 “IT 부서가 클라우드 자동화와 기술을 신뢰하지 못하기 때문에 문제가 발생한다. 일부 IT 리더는 자체 부서가 모든 것을 관리하기를 원한다. 클라우드에는 클라우드 네이티브 도구와 자동화가 포함돼 있지만, 몇몇 CIO는 여전히 자신의 팀을 중심으로 하는 구식 접근 방식에 집착하고 있다. 이들은 보안 및 액세스 팀에 의존하고 있으며 선호하는 벤더의 도구를 주로 사용한다”라고 지적했다.

이는 많은 클라우드 작업이 2번 수행되고 있기 때문에 효율성 이점이 실현되지 않는다는 의미다. 아이젠버그는 “대부분의 IT 경영진은 대규모 보안 침해가 자신들의 일자리를 위협할 것이라고 생각하지만, 실제로는 경영진이 디지털 기술을 선도하지 않는 것이 위협이 될 수 있다. 클라우드 네이티브 도구와 자동화를 수용하지 않는다면 다른 누군가의 몫이 될 것이다”라고 조언했다.

또한 클라우드는 오늘날 대부분의 엔터프라이즈 시스템에 통합돼 있으므로 IaaS, PaaS, SaaS를 막론하고 클라우드 전략이 기본이 돼야 한다. 이에 대해 아이젠버그는 “알든 모르든, 원하든 원하지 않든 항상 클라우드에 속해 있다”라고 말했다.

* Evan Schuman은 리테일 기술 사이트 StorefrontBacktalk의 설립자 겸 편집자이며 CBSNews.com, RetailWeek, Computerworld, eWeek의 칼럼니스트로 활동했다. ciokr@idg.co.kr