--- title: "‘클라우드 퍼스트’ 끝, CIO 전략의 기준이 비용에서 주권 리스크로 바뀐다" published: 2026-06-30T05:05:03.273Z canonical: https://jeff.news/article/4422 --- # ‘클라우드 퍼스트’ 끝, CIO 전략의 기준이 비용에서 주권 리스크로 바뀐다 기업 IT 전략의 기본값이었던 ‘클라우드 퍼스트’가 지정학, AI 규제, 공급망 리스크 때문에 흔들리고 있다. CIO들은 이제 비용 최적화보다 데이터 위치, 운영 통제권, 공급업체 의존도, 워크로드별 주권 수준을 먼저 따져야 하는 상황이다. ## 비용보다 먼저 보는 게 ‘위험’이 된 클라우드 전략 - 예전 기업 IT 전략은 꽤 단순했음. 인프라는 글로벌하게 깔고, 공급업체는 통합하고, 어디서 돌아가는지는 크게 신경 안 쓰는 쪽이 효율적이라는 믿음이 있었음. - 그런데 지정학적 긴장, AI 규제, 공급망 불안이 한꺼번에 커지면서 이 전제가 깨지는 중임. - SUSE의 CIO 요헨 야저는 3년 전만 해도 기술 조달은 총소유비용(TCO)부터 봤지만, 지금은 위험 평가부터 시작하는 경우가 훨씬 많다고 말함. - 그래서 ‘클라우드 퍼스트’가 ‘목적에 맞는 환경 선택’으로 바뀌고 있음. - OpenText의 섀넌 벨은 지정학적 위험이 이제 아키텍처와 조달 전략의 핵심 고려 요소가 됐다고 봄. - Gartner 쪽 분석도 비슷함. 지리적 위치는 더 이상 배포 옵션이 아니라 아키텍처 제약 조건이라는 것. > [!IMPORTANT] > 핵심은 클라우드를 버리자는 게 아님. 어떤 워크로드를 글로벌 클라우드에 두고, 어떤 워크로드를 소버린 클라우드나 온프레미스로 빼야 하는지 훨씬 촘촘하게 나누자는 쪽에 가까움. ## 데이터가 어디 있느냐가 곧 비즈니스 리스크 - CIO들이 다시 보는 첫 번째 기준은 ‘시스템이 어디서 돌아가고, 누가 통제하느냐’임. - 과거에는 AWS, 구글 클라우드, 온프레미스 정도를 놓고 비용과 운영 효율을 비교하면 됐음. - 이제는 소버린 클라우드까지 선택지에 들어옴. 데이터 저장 위치, 접근 권한, 운영 주체가 비즈니스 리스크가 됐기 때문임. - 그렇다고 하이퍼스케일 클라우드를 한 방에 걷어내는 흐름은 아님. - SUSE도 상용 클라우드와 자체 데이터센터를 섞은 하이브리드 인프라를 운영함. - 중요한 건 워크로드별로 민감도와 규제 노출을 따져서 배치하는 것임. HR, 보안, 자체 AI 모델 같은 건 더 강한 통제가 필요할 수 있고, 마케팅 시스템이나 대외 서비스는 글로벌 클라우드에 남길 수 있음. ## 공급업체 통합은 효율이 아니라 락인이 될 수 있음 - 예전에는 클라우드 공급업체를 줄이는 게 비용과 운영 면에서 깔끔한 선택처럼 보였음. - 하지만 AWS, 마이크로소프트, 구글 같은 소수 사업자에 너무 기대면 규제나 계약, 지정학 이슈가 터졌을 때 선택지가 줄어듦. - Gartner의 루이스 핀토는 공급업체 집중이 이제 전략적 강점이 아니라 시스템 전체에 영향을 줄 수 있는 위험으로 인식된다고 설명함. - 특히 장기 계약이 발목을 잡을 수 있음. - 요헨 야저는 많은 기업이 단일 클라우드 기준으로 기술, 역량, 운영 계획을 최적화한 뒤 3년 또는 5년짜리 계약에 묶였다고 지적함. - 이러면 나중에 규제나 리스크가 바뀌어도 다른 대안으로 움직이기 어려워짐. 싸게 샀는데 탈출구가 없는 셈임. - 그래서 조달 전략에도 ‘Exit by Design’이 들어가기 시작함. - 계약 해지 조항, 가격 보호 장치, 이전 권리, 서비스 종료 권한을 처음부터 챙기는 방식임. - 목표는 워크로드를 계속 옮기는 게 아니라, 필요할 때 옮길 수 있는 권한과 구조를 확보하는 것임. ## 디지털 주권은 클라우드 밖으로도 번짐 - 디지털 주권 논의가 클라우드 데이터센터에만 머무르면 반쪽짜리임. - 원격근무와 모바일 업무가 늘면서 누가, 어디에서, 어떤 조건으로 데이터에 접근하는지도 관리 대상이 됨. - Hypori의 맷 스턴은 “비즈니스는 국경을 넘을 수 있지만 데이터는 항상 그럴 수 있는 것은 아니다”라고 말함. - 직원이 해외 출장 중 민감 데이터에 접근하거나, 국경 통과 과정에서 업무용 기기가 검사·압수되는 상황도 리스크가 됨. - 그래서 일부 기업은 단말기 자체를 보호하는 모델에서 데이터 접근을 통제하는 모델로 옮겨가는 중임. - 스턴은 이제 신원(Identity)이 새로운 보안 경계가 되고 있다고 설명함. 기기가 아니라 사용자 신원 중심으로 보안을 설계해야 한다는 얘기임. ## CIO 역할도 비용 관리자에서 리스크 설계자로 이동 - 이 변화는 CIO가 더 이상 ‘IT를 싸게 잘 공급하는 사람’에 머물 수 없다는 뜻임. - 규제, 지정학, 공급망, 보안, 데이터 이동성을 모두 엮어서 장기 리스크를 관리해야 함. - IDC 자문위원 론 베이빈은 이 문제는 CIO 혼자 풀 수 없고, 경영진과 이사회도 선택의 대가를 이해해야 한다고 봄. - 통제력과 유연성을 높이면 당연히 비용이 붙음. - 서비스 구축 속도가 느려질 수 있고, 최신 클라우드 기능을 바로 못 쓰는 경우도 생김. - 그래도 지정학을 일시적 변수로 보지 않고 지속적인 설계 제약으로 받아들이는 조직이 더 복원력 있는 IT 전략을 만들 가능성이 큼. --- ## 기술 맥락 - 여기서 바뀐 선택은 ‘클라우드를 쓸지 말지’가 아니라 ‘어떤 워크로드를 어떤 관할권과 통제 수준 아래 둘지’예요. 예전엔 비용과 운영 편의가 먼저였지만, 이제는 데이터 위치와 접근권이 규제 리스크로 바로 이어지거든요. - 소버린 클라우드가 언급되는 이유도 그래서예요. 민감한 데이터나 AI 모델은 글로벌 클라우드의 편의성보다 운영 주체, 법적 관할, 국경 간 데이터 이동 제한이 더 중요할 수 있어요. - 쿠버네티스와 컨테이너 같은 개방형 기술은 이 맥락에서 ‘이식성 보험’에 가까워요. 특정 벤더 기능에 깊게 묶이면 계약상 빠져나올 권리가 있어도 실제 이전 비용이 너무 커질 수 있거든요. - Exit by Design은 아키텍처와 계약을 같이 봐야 효과가 있어요. 코드와 배포 구조만 이동 가능하게 만들어도, 계약 해지나 데이터 반출 권리가 막혀 있으면 결국 움직이지 못해요. ## 핵심 포인트 - 기술 조달의 출발점이 총소유비용에서 위험 평가로 이동 - 워크로드 위치와 데이터 접근권이 아키텍처 핵심 제약으로 부상 - 소버린 클라우드, 하이브리드 인프라, 이탈 가능성을 고려한 계약 전략이 중요해짐 - 디지털 주권은 클라우드뿐 아니라 엣지, 엔드포인트, 사용자 신원까지 확장 ## 인사이트 한국 기업도 글로벌 클라우드와 공공·금융 규제를 동시에 다루는 경우가 많아서 남 얘기가 아님. 앞으로 클라우드 아키텍처 리뷰에서 비용표만 보는 팀은 꽤 위험한 판단을 하게 될 가능성이 큼.