‘클라우드 퍼스트’ 끝, CIO 전략의 기준이 비용에서 주권 리스크로 바뀐다

비용보다 먼저 보는 게 ‘위험’이 된 클라우드 전략

• 예전 기업 IT 전략은 꽤 단순했음. 인프라는 글로벌하게 깔고, 공급업체는 통합하고, 어디서 돌아가는지는 크게 신경 안 쓰는 쪽이 효율적이라는 믿음이 있었음.

  • 그런데 지정학적 긴장, AI 규제, 공급망 불안이 한꺼번에 커지면서 이 전제가 깨지는 중임.
  • SUSE의 CIO 요헨 야저는 3년 전만 해도 기술 조달은 총소유비용(TCO)부터 봤지만, 지금은 위험 평가부터 시작하는 경우가 훨씬 많다고 말함.

• 그래서 ‘클라우드 퍼스트’가 ‘목적에 맞는 환경 선택’으로 바뀌고 있음.

  • OpenText의 섀넌 벨은 지정학적 위험이 이제 아키텍처와 조달 전략의 핵심 고려 요소가 됐다고 봄.
  • Gartner 쪽 분석도 비슷함. 지리적 위치는 더 이상 배포 옵션이 아니라 아키텍처 제약 조건이라는 것.

데이터가 어디 있느냐가 곧 비즈니스 리스크

• CIO들이 다시 보는 첫 번째 기준은 ‘시스템이 어디서 돌아가고, 누가 통제하느냐’임.

  • 과거에는 AWS, 구글 클라우드, 온프레미스 정도를 놓고 비용과 운영 효율을 비교하면 됐음.
  • 이제는 소버린 클라우드까지 선택지에 들어옴. 데이터 저장 위치, 접근 권한, 운영 주체가 비즈니스 리스크가 됐기 때문임.

• 그렇다고 하이퍼스케일 클라우드를 한 방에 걷어내는 흐름은 아님.

  • SUSE도 상용 클라우드와 자체 데이터센터를 섞은 하이브리드 인프라를 운영함.
  • 중요한 건 워크로드별로 민감도와 규제 노출을 따져서 배치하는 것임. HR, 보안, 자체 AI 모델 같은 건 더 강한 통제가 필요할 수 있고, 마케팅 시스템이나 대외 서비스는 글로벌 클라우드에 남길 수 있음.

공급업체 통합은 효율이 아니라 락인이 될 수 있음

• 예전에는 클라우드 공급업체를 줄이는 게 비용과 운영 면에서 깔끔한 선택처럼 보였음.

  • 하지만 AWS, 마이크로소프트, 구글 같은 소수 사업자에 너무 기대면 규제나 계약, 지정학 이슈가 터졌을 때 선택지가 줄어듦.
  • Gartner의 루이스 핀토는 공급업체 집중이 이제 전략적 강점이 아니라 시스템 전체에 영향을 줄 수 있는 위험으로 인식된다고 설명함.

• 특히 장기 계약이 발목을 잡을 수 있음.

  • 요헨 야저는 많은 기업이 단일 클라우드 기준으로 기술, 역량, 운영 계획을 최적화한 뒤 3년 또는 5년짜리 계약에 묶였다고 지적함.
  • 이러면 나중에 규제나 리스크가 바뀌어도 다른 대안으로 움직이기 어려워짐. 싸게 샀는데 탈출구가 없는 셈임.

• 그래서 조달 전략에도 ‘Exit by Design’이 들어가기 시작함.

  • 계약 해지 조항, 가격 보호 장치, 이전 권리, 서비스 종료 권한을 처음부터 챙기는 방식임.
  • 목표는 워크로드를 계속 옮기는 게 아니라, 필요할 때 옮길 수 있는 권한과 구조를 확보하는 것임.

디지털 주권은 클라우드 밖으로도 번짐

• 디지털 주권 논의가 클라우드 데이터센터에만 머무르면 반쪽짜리임.

  • 원격근무와 모바일 업무가 늘면서 누가, 어디에서, 어떤 조건으로 데이터에 접근하는지도 관리 대상이 됨.
  • Hypori의 맷 스턴은 “비즈니스는 국경을 넘을 수 있지만 데이터는 항상 그럴 수 있는 것은 아니다”라고 말함.

• 직원이 해외 출장 중 민감 데이터에 접근하거나, 국경 통과 과정에서 업무용 기기가 검사·압수되는 상황도 리스크가 됨.

  • 그래서 일부 기업은 단말기 자체를 보호하는 모델에서 데이터 접근을 통제하는 모델로 옮겨가는 중임.
  • 스턴은 이제 신원(Identity)이 새로운 보안 경계가 되고 있다고 설명함. 기기가 아니라 사용자 신원 중심으로 보안을 설계해야 한다는 얘기임.

CIO 역할도 비용 관리자에서 리스크 설계자로 이동

• 이 변화는 CIO가 더 이상 ‘IT를 싸게 잘 공급하는 사람’에 머물 수 없다는 뜻임.

  • 규제, 지정학, 공급망, 보안, 데이터 이동성을 모두 엮어서 장기 리스크를 관리해야 함.
  • IDC 자문위원 론 베이빈은 이 문제는 CIO 혼자 풀 수 없고, 경영진과 이사회도 선택의 대가를 이해해야 한다고 봄.

• 통제력과 유연성을 높이면 당연히 비용이 붙음.

  • 서비스 구축 속도가 느려질 수 있고, 최신 클라우드 기능을 바로 못 쓰는 경우도 생김.
  • 그래도 지정학을 일시적 변수로 보지 않고 지속적인 설계 제약으로 받아들이는 조직이 더 복원력 있는 IT 전략을 만들 가능성이 큼.

---

기술 맥락

• 여기서 바뀐 선택은 ‘클라우드를 쓸지 말지’가 아니라 ‘어떤 워크로드를 어떤 관할권과 통제 수준 아래 둘지’예요. 예전엔 비용과 운영 편의가 먼저였지만, 이제는 데이터 위치와 접근권이 규제 리스크로 바로 이어지거든요.

• 소버린 클라우드가 언급되는 이유도 그래서예요. 민감한 데이터나 AI 모델은 글로벌 클라우드의 편의성보다 운영 주체, 법적 관할, 국경 간 데이터 이동 제한이 더 중요할 수 있어요.

• 쿠버네티스와 컨테이너 같은 개방형 기술은 이 맥락에서 ‘이식성 보험’에 가까워요. 특정 벤더 기능에 깊게 묶이면 계약상 빠져나올 권리가 있어도 실제 이전 비용이 너무 커질 수 있거든요.

• Exit by Design은 아키텍처와 계약을 같이 봐야 효과가 있어요. 코드와 배포 구조만 이동 가능하게 만들어도, 계약 해지나 데이터 반출 권리가 막혀 있으면 결국 움직이지 못해요.