2020.07.01

상호신뢰와 노련함의 교차점 ··· 클라우드 SLA 협상 가이드

Sharon Goldman | CIO
전 세계적인 클라우드 도입 붐이 둔화될 기미를 보이지 않는다. 가트너에 따르면 전 세계 퍼블릭 클라우드 서비스 시장은 2020년에 17% 성장하여 총 2,660억 달러 규모에 달할 것이며 SaaS가 여전히 가장 큰 시장 부문을 차지할 전망이다. 

SaaS와 IaaS/PaaS부터 클라우드 MSP까지 계속 증가하고 있는 클라우드 서비스 벤더와 거래함에 있어 제공자들이 서비스 및 성능과 관련된 기업 수준의 계약을 준수하도록 하는 것이 중요하다. 클라우드 서비스 수준 협약(Service Level Agreement, SLA)에 대해 숙고하는 기업이 늘어난 배경이다. 

클라우드 계약의 일환으로 SLA는 서비스 수준, 서비스 측정 방식, 서비스가 달성되지 못하는 경우의 조건을 규정한다. “제공자가 제공하는 서비스에 대한 책임을 지울 수 있어야 한다”라고 관리형 클라우드 제공 기업 신택스(Syntax)의 부사장 겸 솔루션 아키텍처 크리스 포메로이가 말했다.

그에 따르면 SLA는 3가지 중요한 서비스 레벨을 해결해야 한다. 하나는 서버/인프라 또는 앱의 가용성 또는 업타임이다. 예를 들어, 요즈음 많은 SaaS 벤더들이 99.5%~99.9% 업타임을 제공한다. 다음은 복구 시점 목표 (Recovery Point Objective, RPO), 인프라 또는 서버의 비극적인 고장 시 손실할 수 있는 데이터의 양이며, 마지막으로 복구 시간 목표 (Recovery Time Objective, RTO) 또는 이런 시스템을 다시 온라인으로 복구하는 데 소요되는 시간이 있다.

기업들이 점차 자체 인프라의 중요한 부분을 SaaS 기반 애플리케이션으로 전환하면서 SLA가 더욱 중요해졌다고 로펌 그래블 마틴 풀튼(Grable Martin Fulton)의 공동 설립자 수지 풀튼이 말했다. 

그녀는 “많은 기업들이 SaaS의 혜택에 들떠 있으며, SLA가 2순위인 경우가 많다. 그러나 다운타임의 영향을 꼭 생각해야 한다. 실제로 발생할 경우에 보상으로 얻게 되는 것이 충분하지 않다면 미리 고민해야 한다”라고 설명했다.
 
Image Credit : Getty Images Bank

SLA 협상 시 무게추 옮기기
작은 글자들을 읽고 SLA를 이해하는 것은 분명 중요하다. 하지만 이런 계약을 얼마나 협상할 수 있을까? 클라우드 벤더의 규모 그리고 고객 기업의 규모와 영향력에 따라 다르다.

구글, 아마존, 애저 등 대규모 ‘하이퍼스케일러’가 유연한 재량을 제공할 것 이라고는 기대하지 말자. 고객이 미 국방부 수준의 규모와 힘을 갖고 있지 않는 한 이들이 제시하는 SLA 조건은 ‘받아들이지 않으려면 관둬라’는 식이다.

하지만 MSP(Management Service Provider)나 SaaS 벤더는 또 다른 문제이다. 중대형 기업에 클라우드 관리형 서비스를 제공하는 HGS 디지털의 CTO 렌 버즈냐는 “MSP는 정확한 요건을 충족하는 SLA를 협상하는 데 도움이 되기 때문에 비즈니스 니즈와 대형 클라우드 제공자 SLA 사이의 공백을 메울 수 있다”라고 말했다. 

그는 “예를 들어, 한 대기업 고객은 응답시간에 대한 구체적인 니즈가 있었다. 그들은 우리에게 구체적인 종류의 전문지식을 제공하도록 요구했다. 이에 우리는 전화로 15분 안에 아키텍처에 관해 알고 있는 클라우드 설계자와 통화할 수 있도록 SLA를 작성했다”라고 말했다.

고객들이 교육을 받고 이전에 SaaS 솔루션을 구매하거나 MSP와 협력한 경험이 있다면 자체적으로 미리 정의한 SLA를 RFP로 제공자 그룹에게 협상의 시작점으로써 제시한다고 IT 서비스 관리 제공자 MTM 테크놀로지스의 CIO 그레고리 터너가 설명했다. 

그는 “반면 해당 기업이 이런 유형의 비즈니스가 처음이라면 가트너 또는 포레스터 구독을 이용해 계약을 검토하고 피드백을 제공할 것이다”라고 말했다.

기업의 규모에 따라 법률 및 IT의 조합도 SLA 협상에 참여할 수 있다고 풀튼이 덧붙였다. 그녀는 “때로는 법률 부문이 개입할 때 양해를 받아 내기가 더 쉽다. 때로는 비즈니스 부문이 해당 기업이 필요로 하는 현실을 단순하게 설명해야 할 때도 있다”라고 설명했다.

클라우드 SLA 협상의 4가지 핵심 영역
▲업타임 및 지원
업타임 또는 서비스 온라인, 가용, 운영 시간은 SLA의 핵심적인 지표이다. 예를 들어, 99.99%의 SLA 레벨은 연간 52분 36초의 다운타임이 된다. 가용성이 높을수록 비용도 높아진다. 포메로이는 “기업들은 업타임과 관련하여 비용 편익 분석과 위험 평가를 수행해야 한다”라고 말했다.

많은 기업들이 99.99%(또는 99.999%)에 가깝게 협상하려 하지만 터너는 조직들이 업타임 가용성에 ‘목을 멜’ 필요는 없다고 강조했다. 내부 관리 애플리케이션 및 시스템의 경우 대개 95~99.0% 가용성을 달성하기 때문이다.

그는 “SaaS 애플리케이션은 내부 관리 구내 버전보다 가용성이 우수할 가능성이 높다. 업타임을 높이려면 비용이 발생한다. 많은 경우에 다운타임은 상거래가 없는 시간 또는 늦은 밤이기 때문에 하루 종일 거래가 이루어지는 글로벌 기업이 아니라면 중요하지 않을 수 있다. 비즈니스에 실제로 영향을 미치는 것에 집중해야 한다”라고 말했다.

▲복구 및 불이익
1초 또는 2초의 짧은 고장 정지도 데이터 손실과 영업 중단을 야기할 수 있기 때문에 서비스 비가용 시의 벤더 불이익을 협상하는 것이 중요하다. 또한 이 영역에서 가장 큰 협상이 가능할 수 있다고 풀튼이 말했다. 

풀튼은 “상황에 따라 고장 정지에 대한 환불 또는 서비스 크레딧 협상에 성공할 수도 있다”라고 말했다.

터너에 따르면 업타임과 가용성이 협상에 있어 기업들은 불이익 조항에 지나치게 집착하지 않는 것이 좋다. 즉, 기업들은 불이익에 관한 협상이 적대적이거나 과도하게 업무적이지 않도록 해야 한다는 설명이다. 

그는 어떤 것들은 서비스 제공자의 통제 범위를 벗어날 수 있다며, 제공사가 시정 조치를 즉시 취하고 문제가 매월 발생하지 않는다면 실용적이고 상식적인 규칙 선에 머무르는 것이 오히려 나을 수 있다고 지적했다. 그는 “복구 및 불이익과 관련된 산업 표준이 있기는 하지만 어떤 경우에도 변치 않는 절대값을 정의하기 어렵다”라고 말했다.

▲종료 권한
여러 건의 SLA 위반이 발생할 경우 계약을 종료할 권한은 협상이 가능하다. 사실 협상을 해야 하는 표준 조항이며 출구 조항으로도 알려져 있다고 풀튼이 말했다. 

그녀는 “일반적인 종료 조항에는 30일 유예 기간이 포함될 수 있지만 무엇이 공정한지, 즉, 어떤 종류의 이벤트로 종료 권한을 발동시킬 수 있는지를 결정해야 한다”라고 말했다. 종료 권한의 경우 SLA 위반 횟수(3개월 이내 3회 등)나 극단적인 다운타임(90% 미만의 가용성 등)에 기초할 수 있다.

이 밖에 빈번한 다운타임, 성능 부족, 서비스 제공 수준과 관련된 비효율성 외에 기타 종료 권한의 고려사항에는 벤더의 충분히 숙련된 자원 배치 능력 부재, 신뢰 또는 비공개 합의 위반, 범위 변경 또는 수수료 변경, 기술 노후화 등이 포함된다.

터너는 “서비스 제공자에게 고장 조짐이 보이고 상황을 바로잡을 수 없어 고장 정지가 운영 중 2~3개월 연속으로 일관도지 않게 발생하지 않는 경우 계약이 위반이 발생한 것이기 때문에 파트너 변경을 고려해야 한다”라고 말했다.

▲데이터 보안
데이터 유출이 IT 조직들의 1순위 우려 대상으로 부상함에 따라 보안은 중요한 SLA 주제가 되었다. 버즈냐는 “최근에 발생한 문제지만 보안 보증이 고객 데이터 액세스 주체, 데이터 위치, 데이터 유출 시 조치를 정의하는 데 점차 중요해지고 있다”라고 말했다.

하지만 무엇이 데이터 유출을 구성하며 서비스 고장 정지가 데이터 유출 때문인지 정의하기가 어려울 수 있다. 풀튼은 “제공자의 관점에서 말하기 어려울 수 있다. 예를 들어, 누군가 DNS 공격 등을 통해 시스템을 공격하려 하고 서비스 고장 정지를 발생시킬 수 있다면 데이터 유출이라고 할 수 있을까? 이런 것들을 SLA에 포함시켜 정의해야 한다”라고 말했다.

CSA(Cloud Security Alliance)의 법무 자문위원 프랑코이즈 길버트에 따르면 SLA에는 책임 소재 판단, 피해 보상, 면책을 포함하는 보안 문제를 해결하는 적절한 조항이 포함되어야 한다. 

그는 “그렇지 않으면 분쟁이 발생할 가능성이 있다. 클라우드 서비스 구매자의 경우 클라우드에 저장된 데이터를 보호하기 위해 사용하는 보안 조치를 제대로 이해해야 한다”라고 말했다.
   
 
노련한 고객의 출현과 협업 강화, SLA 협상은 변화 중
일반적으로 SaaS 또는 MSP 클라우드 제공자와 SLA를 협상할 여지가 분명히 존재하며, SLA는 가볍게 여겨서는 안 될 기술 벤더 계약의 중요한 요소이다. 버즈냐에 따르면 고객들은 수 년 동안 SLA에 관해 더욱 잘 알게 되었고 이제 벤더에게 무엇을 원하는지 구체적으로 제시하곤 한다.

그는 “지난 수 년 동안 우리는 고객과 업타임 및 다운타임에 관해 힘들게 협상하지 않았으며 단순히 상식적이라 생각되는 기준 정의만 제공했다. 고객들은 일반적으로 노련해졌으며, 분명 항상 구체적으로 원하는 바가 있었다”라고 설명했다.

벤더가 모든 것을 양보하도록 하는 것이 항상 좋은 것은 아니라는 사실을 기억하라고 풀튼이 말했다. 그녀는 “비용을 지불한 만큼 받기 마련이다. 이벤트가 발생한 후 걱정해야 하는 상황이 올 수 있다”라고 경고했다. 

버즈냐는 협업하는 마음가짐이 있다면 SLA 협상에서 최고의 결과를 가져온다고 버즈냐가 말했다. 그는 “비즈니스 철학을 공유하고 SLA 요건을 충족하기 위해 협력할 의지가 있는 제공자를 찾는 것이 중요하다고 생각한다”라고 말했다. ciokr@idg.co.kr



2020.07.01

상호신뢰와 노련함의 교차점 ··· 클라우드 SLA 협상 가이드

Sharon Goldman | CIO
전 세계적인 클라우드 도입 붐이 둔화될 기미를 보이지 않는다. 가트너에 따르면 전 세계 퍼블릭 클라우드 서비스 시장은 2020년에 17% 성장하여 총 2,660억 달러 규모에 달할 것이며 SaaS가 여전히 가장 큰 시장 부문을 차지할 전망이다. 

SaaS와 IaaS/PaaS부터 클라우드 MSP까지 계속 증가하고 있는 클라우드 서비스 벤더와 거래함에 있어 제공자들이 서비스 및 성능과 관련된 기업 수준의 계약을 준수하도록 하는 것이 중요하다. 클라우드 서비스 수준 협약(Service Level Agreement, SLA)에 대해 숙고하는 기업이 늘어난 배경이다. 

클라우드 계약의 일환으로 SLA는 서비스 수준, 서비스 측정 방식, 서비스가 달성되지 못하는 경우의 조건을 규정한다. “제공자가 제공하는 서비스에 대한 책임을 지울 수 있어야 한다”라고 관리형 클라우드 제공 기업 신택스(Syntax)의 부사장 겸 솔루션 아키텍처 크리스 포메로이가 말했다.

그에 따르면 SLA는 3가지 중요한 서비스 레벨을 해결해야 한다. 하나는 서버/인프라 또는 앱의 가용성 또는 업타임이다. 예를 들어, 요즈음 많은 SaaS 벤더들이 99.5%~99.9% 업타임을 제공한다. 다음은 복구 시점 목표 (Recovery Point Objective, RPO), 인프라 또는 서버의 비극적인 고장 시 손실할 수 있는 데이터의 양이며, 마지막으로 복구 시간 목표 (Recovery Time Objective, RTO) 또는 이런 시스템을 다시 온라인으로 복구하는 데 소요되는 시간이 있다.

기업들이 점차 자체 인프라의 중요한 부분을 SaaS 기반 애플리케이션으로 전환하면서 SLA가 더욱 중요해졌다고 로펌 그래블 마틴 풀튼(Grable Martin Fulton)의 공동 설립자 수지 풀튼이 말했다. 

그녀는 “많은 기업들이 SaaS의 혜택에 들떠 있으며, SLA가 2순위인 경우가 많다. 그러나 다운타임의 영향을 꼭 생각해야 한다. 실제로 발생할 경우에 보상으로 얻게 되는 것이 충분하지 않다면 미리 고민해야 한다”라고 설명했다.
 
Image Credit : Getty Images Bank

SLA 협상 시 무게추 옮기기
작은 글자들을 읽고 SLA를 이해하는 것은 분명 중요하다. 하지만 이런 계약을 얼마나 협상할 수 있을까? 클라우드 벤더의 규모 그리고 고객 기업의 규모와 영향력에 따라 다르다.

구글, 아마존, 애저 등 대규모 ‘하이퍼스케일러’가 유연한 재량을 제공할 것 이라고는 기대하지 말자. 고객이 미 국방부 수준의 규모와 힘을 갖고 있지 않는 한 이들이 제시하는 SLA 조건은 ‘받아들이지 않으려면 관둬라’는 식이다.

하지만 MSP(Management Service Provider)나 SaaS 벤더는 또 다른 문제이다. 중대형 기업에 클라우드 관리형 서비스를 제공하는 HGS 디지털의 CTO 렌 버즈냐는 “MSP는 정확한 요건을 충족하는 SLA를 협상하는 데 도움이 되기 때문에 비즈니스 니즈와 대형 클라우드 제공자 SLA 사이의 공백을 메울 수 있다”라고 말했다. 

그는 “예를 들어, 한 대기업 고객은 응답시간에 대한 구체적인 니즈가 있었다. 그들은 우리에게 구체적인 종류의 전문지식을 제공하도록 요구했다. 이에 우리는 전화로 15분 안에 아키텍처에 관해 알고 있는 클라우드 설계자와 통화할 수 있도록 SLA를 작성했다”라고 말했다.

고객들이 교육을 받고 이전에 SaaS 솔루션을 구매하거나 MSP와 협력한 경험이 있다면 자체적으로 미리 정의한 SLA를 RFP로 제공자 그룹에게 협상의 시작점으로써 제시한다고 IT 서비스 관리 제공자 MTM 테크놀로지스의 CIO 그레고리 터너가 설명했다. 

그는 “반면 해당 기업이 이런 유형의 비즈니스가 처음이라면 가트너 또는 포레스터 구독을 이용해 계약을 검토하고 피드백을 제공할 것이다”라고 말했다.

기업의 규모에 따라 법률 및 IT의 조합도 SLA 협상에 참여할 수 있다고 풀튼이 덧붙였다. 그녀는 “때로는 법률 부문이 개입할 때 양해를 받아 내기가 더 쉽다. 때로는 비즈니스 부문이 해당 기업이 필요로 하는 현실을 단순하게 설명해야 할 때도 있다”라고 설명했다.

클라우드 SLA 협상의 4가지 핵심 영역
▲업타임 및 지원
업타임 또는 서비스 온라인, 가용, 운영 시간은 SLA의 핵심적인 지표이다. 예를 들어, 99.99%의 SLA 레벨은 연간 52분 36초의 다운타임이 된다. 가용성이 높을수록 비용도 높아진다. 포메로이는 “기업들은 업타임과 관련하여 비용 편익 분석과 위험 평가를 수행해야 한다”라고 말했다.

많은 기업들이 99.99%(또는 99.999%)에 가깝게 협상하려 하지만 터너는 조직들이 업타임 가용성에 ‘목을 멜’ 필요는 없다고 강조했다. 내부 관리 애플리케이션 및 시스템의 경우 대개 95~99.0% 가용성을 달성하기 때문이다.

그는 “SaaS 애플리케이션은 내부 관리 구내 버전보다 가용성이 우수할 가능성이 높다. 업타임을 높이려면 비용이 발생한다. 많은 경우에 다운타임은 상거래가 없는 시간 또는 늦은 밤이기 때문에 하루 종일 거래가 이루어지는 글로벌 기업이 아니라면 중요하지 않을 수 있다. 비즈니스에 실제로 영향을 미치는 것에 집중해야 한다”라고 말했다.

▲복구 및 불이익
1초 또는 2초의 짧은 고장 정지도 데이터 손실과 영업 중단을 야기할 수 있기 때문에 서비스 비가용 시의 벤더 불이익을 협상하는 것이 중요하다. 또한 이 영역에서 가장 큰 협상이 가능할 수 있다고 풀튼이 말했다. 

풀튼은 “상황에 따라 고장 정지에 대한 환불 또는 서비스 크레딧 협상에 성공할 수도 있다”라고 말했다.

터너에 따르면 업타임과 가용성이 협상에 있어 기업들은 불이익 조항에 지나치게 집착하지 않는 것이 좋다. 즉, 기업들은 불이익에 관한 협상이 적대적이거나 과도하게 업무적이지 않도록 해야 한다는 설명이다. 

그는 어떤 것들은 서비스 제공자의 통제 범위를 벗어날 수 있다며, 제공사가 시정 조치를 즉시 취하고 문제가 매월 발생하지 않는다면 실용적이고 상식적인 규칙 선에 머무르는 것이 오히려 나을 수 있다고 지적했다. 그는 “복구 및 불이익과 관련된 산업 표준이 있기는 하지만 어떤 경우에도 변치 않는 절대값을 정의하기 어렵다”라고 말했다.

▲종료 권한
여러 건의 SLA 위반이 발생할 경우 계약을 종료할 권한은 협상이 가능하다. 사실 협상을 해야 하는 표준 조항이며 출구 조항으로도 알려져 있다고 풀튼이 말했다. 

그녀는 “일반적인 종료 조항에는 30일 유예 기간이 포함될 수 있지만 무엇이 공정한지, 즉, 어떤 종류의 이벤트로 종료 권한을 발동시킬 수 있는지를 결정해야 한다”라고 말했다. 종료 권한의 경우 SLA 위반 횟수(3개월 이내 3회 등)나 극단적인 다운타임(90% 미만의 가용성 등)에 기초할 수 있다.

이 밖에 빈번한 다운타임, 성능 부족, 서비스 제공 수준과 관련된 비효율성 외에 기타 종료 권한의 고려사항에는 벤더의 충분히 숙련된 자원 배치 능력 부재, 신뢰 또는 비공개 합의 위반, 범위 변경 또는 수수료 변경, 기술 노후화 등이 포함된다.

터너는 “서비스 제공자에게 고장 조짐이 보이고 상황을 바로잡을 수 없어 고장 정지가 운영 중 2~3개월 연속으로 일관도지 않게 발생하지 않는 경우 계약이 위반이 발생한 것이기 때문에 파트너 변경을 고려해야 한다”라고 말했다.

▲데이터 보안
데이터 유출이 IT 조직들의 1순위 우려 대상으로 부상함에 따라 보안은 중요한 SLA 주제가 되었다. 버즈냐는 “최근에 발생한 문제지만 보안 보증이 고객 데이터 액세스 주체, 데이터 위치, 데이터 유출 시 조치를 정의하는 데 점차 중요해지고 있다”라고 말했다.

하지만 무엇이 데이터 유출을 구성하며 서비스 고장 정지가 데이터 유출 때문인지 정의하기가 어려울 수 있다. 풀튼은 “제공자의 관점에서 말하기 어려울 수 있다. 예를 들어, 누군가 DNS 공격 등을 통해 시스템을 공격하려 하고 서비스 고장 정지를 발생시킬 수 있다면 데이터 유출이라고 할 수 있을까? 이런 것들을 SLA에 포함시켜 정의해야 한다”라고 말했다.

CSA(Cloud Security Alliance)의 법무 자문위원 프랑코이즈 길버트에 따르면 SLA에는 책임 소재 판단, 피해 보상, 면책을 포함하는 보안 문제를 해결하는 적절한 조항이 포함되어야 한다. 

그는 “그렇지 않으면 분쟁이 발생할 가능성이 있다. 클라우드 서비스 구매자의 경우 클라우드에 저장된 데이터를 보호하기 위해 사용하는 보안 조치를 제대로 이해해야 한다”라고 말했다.
   
 
노련한 고객의 출현과 협업 강화, SLA 협상은 변화 중
일반적으로 SaaS 또는 MSP 클라우드 제공자와 SLA를 협상할 여지가 분명히 존재하며, SLA는 가볍게 여겨서는 안 될 기술 벤더 계약의 중요한 요소이다. 버즈냐에 따르면 고객들은 수 년 동안 SLA에 관해 더욱 잘 알게 되었고 이제 벤더에게 무엇을 원하는지 구체적으로 제시하곤 한다.

그는 “지난 수 년 동안 우리는 고객과 업타임 및 다운타임에 관해 힘들게 협상하지 않았으며 단순히 상식적이라 생각되는 기준 정의만 제공했다. 고객들은 일반적으로 노련해졌으며, 분명 항상 구체적으로 원하는 바가 있었다”라고 설명했다.

벤더가 모든 것을 양보하도록 하는 것이 항상 좋은 것은 아니라는 사실을 기억하라고 풀튼이 말했다. 그녀는 “비용을 지불한 만큼 받기 마련이다. 이벤트가 발생한 후 걱정해야 하는 상황이 올 수 있다”라고 경고했다. 

버즈냐는 협업하는 마음가짐이 있다면 SLA 협상에서 최고의 결과를 가져온다고 버즈냐가 말했다. 그는 “비즈니스 철학을 공유하고 SLA 요건을 충족하기 위해 협력할 의지가 있는 제공자를 찾는 것이 중요하다고 생각한다”라고 말했다. ciokr@idg.co.kr

X