클라우드 컴퓨팅을 반대한다 : 2부 법규제와 경영상의 위험

1부에서 우리는 일반 아키텍처를 가진 기업 애플리케이션이 아직까지 클라우드 서비스로 직접 마이그레이션이 불가능한 이유에 대해 살펴봤다. 이는 바로 클라우드 서비스 제공업체들이 모두 각기 다른 아키텍쳐를 채용하고 있기 때문이다.

2부에서는 기업들이 클라우드 컴퓨팅 도입을 꺼리는 두 번째 이유인 법 규제 및 경영활동과 관련된 문제점들을 짚어보기로 한다.

대부분의 기업들은 다양한 위험 방지 제도 하에서 운영되고 있다. 예를 들면, 미국의 공개기업들은 재무제표와 관련해 사베인-옥슬리(SOX) 비공개 법적 요구사항들을 준수해야 한다. 또한, 산업별로 지켜야 하는 특정 법류과 규제도 있다. 일례로 의료산업에는 의료 데이터 보안을 위한 HIPPA법이 있다. 그 외, 소소에 휘말렸을 경우 등을 대비해 변동 내역을 추적하고, 그에 따른 감사 추적을 진행할 수 있도록 데이터 관리 관련된 다양한 요구사항들이 있다.

다른 나라에서도 고객의 정보는 국가적 사생활 보호 요구사항 때문에 매우 신중하게 다루어져야만 한다. 예를 들어, 특정 유럽 국가들은 정보를 국경 밖으로 새어나가지 못하도록 법으로 정하고 있는데, 정보가 종이 형태건 데이터 형태건 간에 다른 지역에 저장하는 것이 불가능하다.

경영상 위험은 운영 통제 및 정책 고수의 불확실성 등과 관련이 있다. 일부 기업들은 진행 중인 프로젝트와 관련된 제어 능력을 상실하게 될 가능성을 크게 우려해 자사의 데이터 센터 내에 위치한 자사의 서버에서 애플리케이션을 수행할 것을 고집할 것이다. 사실 이는 클라우드에 한정된 문제는 아니다. 일반적인 클라우드 컴퓨팅 서비스뿐만 아니라 SaaS와 관련해서도 종종 제기되고 있는 문제다.

서비스 업체를 믿을 수 있는가?

필자가 만난 이들은 특정 법, 규제, 정책상의 위험 외에 클라우드 서비스 제공업체 자체와 관련된 전반적 위험에 대해서도 이야기했다. 일부는 흥미롭게도 아마존을 예로 들어 아마존의 핵심 사업은 클라우드 서비스가 아니라 ‘책을 판매하는 것‘이라고 지적했다. 그러나 필자는 아마존의 사업은 비단 책을 판매하는 것 이상이며, 이 같은 반응은 아마존이 제공하는 방대한 서비스 영역에 대한 무지를 시사한다고 생각한다. 그럼에도 불구하고, 아마존의 핵심 능력과 컴퓨팅 사업에 대한 집중도에 대한 문제는 여전하다. 아마존이 다양한 시도들을 하면 할수록 우려는 더욱 커질 수 있다.

한편, “전통적” 테크놀로지 전문 기업이라고 여겨지는 다른 클라우드 서비스 제공업체들에게 핵심 능력과 사업의 초점에 대한 우려는 직접적인 우려는 아니다. 그러나 각자가 제공하는 클라우드 서비스가 각자의 핵심 사업이 아니라고 생각하는 이들이 있을 수 있는 만큼 이들에게도 이는 여전히 우려해야 되는 부분이다. 이에 따라, 향후 클라우드 서비스가 핵심 사업에 방해가 되거나 재정적 부담을 안겨줄 경우 서비스의 중단 여부를 결정해야 할 것이다. 구글의 최근 일부 클라우드 서비스 중단은 이 같은 우려를 잘 시사해 주고 있다.

따라서 기업들이 클라우드 컴퓨팅 사용과 관련하여 가질 수 있는 위험 관련 우려는 법이나 규제에서 비롯된 특정 위험에서부터 외부 서비스 제공업체에 대한 의존에서 비롯되는 일반적 운영 위험에 이르기까지 다양하다고 할 수 있겠다.

단계적 적용 전략으로 안정성 확보

그러나 이들 우려는 상당부분 지나친 감이 있으며, 너무 광범위하다고도 생각된다. 그 이유는 다음과 같다.

첫 번째로, 클라우드 서비스 제공업체들은 이들 법적 그리고 규제적 많은 위험들을 공감하고 있으며, 주요 기업 사용자들을 유치하기 위해서는 이들 문제들을 해결해야 할 필요가 있음을 인식하고 있다. 그러나 우선적으로는 서비스를 시작하고 경험을 확보하고 계기를 만들기 위해 신생기업이나 기업의 비핵심 애플리케이션을 주요 타깃으로 하고 있다. 미션 크리티컬한 기능이나 프로세스는 다음 공략 대상인 것이다.

이는 현명한 전략이라고 평가되고 있다. 통합 서비스에 상응하는 기능을 갖춘 주문형 서비스를 내놓으려는 SAP의 노력이 지연되고 있는 것만 봐도 이제 막 출시된 이 어려운 기능을 충족시키려는 시도가 모든 진행 사항을 심각하게 지연시키고 있음을 알 수 있다. 그러나 필자는 클라우드 서비스 제공업체들이 이들 위험 요인들을 제거하기 위해 지속적으로 성능을 확대시켜 나갈 것으로 믿고 있다.

더욱이 이 같은 위험을 제기하는 사람들 다수가 이를 내부 데이터센터에 의해서만 관리될 수 있는 위험으로 특징 짓고 있다. 클라우드 컴퓨팅의 본성이 내부 데이터센터의 위험 특성 관리 능력을 차단하는 것이 문제라는 것. 필자는 컴플라이언스 시스템을 통해 위험을 관리하고 있는 엑셀런트 매니지먼트 시스템(Excellent Management Systems)에 근무하고 있는 존 위딩턴과 이에 대해 이야기를 나눠봤다.

위딩턴은 컴플라이언스는 정책, 절차, 테크놀로지의 복합체라고 지적하면서 클라우드가 본질적으로 컴플라이언스 프레임워크에 적합하지 않다는 주장에 의문을 제기했다. 클라우드 컴퓨팅에서는 위험 관리가 불가능하다는 주장은 컴플라이언스 관리에 대한 이해가 부족하기 때문이라는 것.

두 번째 이유는 현행 위험 관리 시스템을 바라보는 시각이 지나치게 낙관적이라는 점이다. 위딩턴은 일부 기업들의 경우 내부 IT 시스템에서 컴플라이언스를 적절히 (혹은 전혀) 관리하지 못하고 있다는 지적에는 동의했다. “유리로 만든 집에 사는 사람들은 돌을 던져서는 안 된다”라는 옛 속담이 생각나는 대목이다.

어떻게 보면 새로운 것에 대한 위험은 과대평가하는 반면, 현재 조건에 대한 위험은 과소평가하는 이 같은 태도는 보통의 인간 조건을 반영하고 있다고 볼 수 있다. 그러나 현행 위험 관리상의 결점을 간과하면서 클라우드 컴퓨팅이 위험 관리를 지원하지 못한다고 비판하는 것은 전혀 도움이 되지 않으며, 남 탓만 하는 사람처럼 보이게 만들 수 있다는 점을 명심해야 한다.

미래 위험에 대한 과대평가도 문제

세 번째 이유는 두 번째 이유와도 관련이 있다. 모든 위험을 최악의 시나리오처럼 다루는 접근 방식은 쉽지만 피해가 막심할 수 있다. 달리 말해, 일부 데이터 요구사항이 강도 높은 제어를 요하는 난이도 높은 것이 명백한 현장 스토리지임을 확인하고, 클라우드 컴퓨팅이 모든 시스템에 지나치게 위험하다는 결론을 내리는 것이나 마찬가지라는 것. 클라우드 컴퓨팅에 의해 충족될 수 없는 특정 상황이나 데이터 관리 요구사항을 지적하는 것은 모든 시스템이나 시나리오를 위해 클라우드 관련 투자가 중지되는 위험을 낳을 수 있다.

이처럼 지나치게 광범위한 평가가 이뤄지고 있다는 사실이 믿어지지 않을 수도 있겠지만, 필자는 사람들이 대화 중 “HIPAA는 어때”와 같은 말들을 언급하고는 해당 문제가 해결되기라도 한 것처럼 만족스럽게 다른 주제로 넘어가는 장면들을 많이 보아왔다.

그러나 이 같은 반사적 위험 평가들 중 일부는 이해할만하다. 많은 IT 조직들이 잠재적 위험을 우려해 외부업체의 클라우드 서비스 수용에 열의를 보이지 않고 있는 것은 그들이 직면하고 있는 위험의 불균형에서 기인한 것일 수도 있다. 즉, 데이터와 관련해 무언가가 잘못되면 이들은 엄청난 문제에 봉착하게 되는데, 외부 업체의 클라우드 서비스를 사용함으로써 위험 평가 절차를 시행하고 비용을 절감하는데 따른 혜택은 그리 크지 않다는 말이다.

일부는 데이터 보안과 관련해 소심해지는 것이 IT 부서의 임무라고 주장할 수도 있다. 데이터 보안은 그다지 재미는 없지만 잠재적 위험을 야기할 수 있어 IT 부서가 이 문제에 대해 매우 보수적이 되도록 만들 수 있다.

그러나 IT의 민첩성과 전반적인 비용 절감을 위한 클라우드 컴퓨팅 도입 압력이 높은 것이 사실인 만큼, 이에 대해 “클라우드 컴퓨팅은 너무 위험합니다. (X가 기업 운영에 있어서의 법이나 규제인 상황에서) X는 어떻습니까?”와 같은 빈약한 주장으로 맞서는 것은 아마도 좋은 전략이 아닐 것이다.

기본 위험관리 시스템의 향상이 우선

그렇다면 클라우드 컴퓨팅에 있어서의 위험 관리 문제를 해결하기 위해서는 어떻게 해야 할까?

우선, 각자의 위험 및 컴플라이언스 요구사항이 무엇인지와 현재 내부 시스템에서 이를 어떻게 해결할 것인지를 파악해야 한다. 위험 때문에 클라우드 컴퓨팅이 부적절하다고 주장하는 것과 “이 문제를 어떻게 다뤄야 할까”라는 질문에 명백한 답변을 내놓지 못하는 것보다 나쁜 것은 없다.

둘째, (아직까지 위험 예측 메커니즘을 갖고 있지 않다면) 위험의 정도를 결정하는 위험 예측 메커니즘을 도입하고, 이를 시스템 개발 주기의 일환으로 삼아야 한다. 이 메커니즘이 없다면 해당 시스템이 클라우드에서 운영되기에 적합한지 여부를 평가하는 것이 불가능하다.

셋째, 클라우드 도입 가능성을 감안해 클라우드 서비스 제공업체들의 위험 예측 관행들을 평가해야 한다. 기업들을 이를 통해 클라우드 호스팅이 각자의 시스템에 적절한지 여부를 결정할 수 있게 될 것이다.

클라우드 호스팅 위험 평가는 고정된 상황이 아닌 움직이는 상황으로 취급되어야 한다. 클라우드 컴퓨팅 분야는 빠르게 개발되고 있기 때문에 오늘날의 평가가 6개월 후에는 정확하지 않은 평가가 될 수 있다.

향후 12개월간 IT 부서의 비용 절감, 특히 클라우드 컴퓨팅 설치의 고려 여부에 대한 압력이 지속될 전망이다. IT 부서들은 조직들은 위험 관리 프레임워크를 도입함으로써 이에 대한 적절한 결정을 내릴 수 있을 것이며 정당한 근거도 댈 수 있을 것이다.

*Bernard Golden은 가상화, 클라우드 컴퓨팅 전문 컨설팅 회사 하이퍼스트라투스(HyperStratus)의 CEO다.  editor@idg.co.kr