IT Solutions/Cloud

클라우드 도입으로 변화하는 '조직, 문화, 거버넌스'(下)

2020. 4. 7. 09:30


지난 시간에는 지금까지 클라우드 네이티브 개념이 확산되고 글로벌 혁신 기업들이 조직, 문화 측면에서 어떤 변화를 보이고 있는지 알아보았습니다.


● 전편 보기 _ 클라우드 도입으로 변화하는 '조직, 문화, 거버넌스'(上)


이번에는 거버넌스 측면과 클라우드 도입을 위해 고려해야 할 점에 대해 알아보겠습니다.


 거버넌스


거버넌스 측면에서는 어떠한 변화가 발생하는지, 클라우드 환경에서 거버넌스는 어떻게 수립해야 하는지에 대해 알아보도록 하겠습니다.


클라우드 생태계가 복잡해지면서 거버넌스의 필요성은 명백합니다. 클라우드로 전환할 때 조직은 신규 프로세스, 규제 사항, 표준화 문제, 보안에 대한 위협 등 거버넌스를 통해 해결해야 할 많은 문제에 직면하게 됩니다. 끊임없이 변화하는 외부 환경은 효과적인 거버넌스의 필요성을 부추깁니다.



거버넌스의 사전적 정의는 ‘공동의 목표를 달성하기 위해, 주어진 자원 제약 아래서 모든 이해 당사자들이 책임감을 느끼고 투명하게 의사 결정을 수행할 수 있게 하는 제반 장치’입니다.


단기적인 성공만 아니라 조직이 클라우드로 지속적인 성공을 하기 위해서는 거버넌스를 명확하게 정의하는 것이 필요합니다. 정책의 일관성, 조직의 명확한 입장을 위해 조직은 반드시 세밀하게 검토된 거버넌스 모델을 정의하고 구현해야 합니다.


구체적으로 기업이나 조직이 클라우드 거버넌스를 수립해야 하는 첫 번째 이유는 클라우드에서 서비스되는 기업의 워크 로드가 증가하고 있기 때문입니다. 이에 따라 클라우드 사용량이 증가하고 기업은 비용과 인력을 최적화하는 데 어려움을 겪고 있습니다.


두 번째로 클라우드에 투입되는 비용이 빠르게 증가하고 있습니다. 클라우드는 오토 스케일링을 통해 부하량에 따라 자동으로 자원을 늘려주고 개발자에게 새로운 자원을 빠르게 생성해 줍니다. 클라우드는 IT 자원의 민첩성을 제공하지만 중단되지 않은 IT 자원으로 인해 과도한 지출이 발생할 수 있습니다.



세 번째로 보안과 사이버 위협의 증가입니다. 클라우드는 기업이 데이터를 사용하고 공유하고 보관하는 방식을 혁신하고 있습니다. 하지만 퍼블릭 클라우드 이용이 증가하면서 많은 민감한 정보가 잠재적인 위험에 노출된 상태가 되었습니다.


클라우드에 보관된 기업의 데이터를 보호하는 책임은 클라우드 서비스 사업자가 아니라 클라우드 서비스 고객인 기업에 있습니다. 또한 온라인 시스템은 공격당하기 쉽습니다. 사이버 위협에 대응하기 위해 반드시 신중하게 보안 정책을 수립하고 이행해야 합니다.


마지막으로 이런 리스크에 대응하기 위한 거버넌스는 통제나 감시가 아닌 클라우드를 합리적으로 사용하기 위한 관리이며 업무 생산성을 저해하지는 않습니다. 클라우드 거버넌스의 목표는 클라우드의 이점을 방해하지 않으면서 조직에 클라우드 운영 지침을 제공하는 것입니다.


견고한 클라우드 거버넌스를 수립하기 위해서는 정확히 관리하려는 대상과 범위를 식별해야 합니다. 또한 일회성 작업이 아닌, 거버넌스 프로세스와 구조를 문서화해 지속해서 조직에 전파해야 합니다. 클라우드 거버넌스가 조직 내에서 힘을 갖고 공식화되기 위해서는 경영진의 지속적인 지원이 필요합니다.


기업에 적합한 거버넌스를 수립하기 위해서는 누가 거버넌스를 정의하느냐가 중요합니다. 견고한 클라우드 거버넌스를 수립하기 위해서는 먼저 핵심 이해관계자와 영역별 대표자가 참석해야 합니다. 클라우드 아키텍트는 계정 정책에 맞는 표준 클라우드 아키텍처를 설계해야 합니다.


통제되지 않은 환경은 비용 상승, 자원 중복, 보안 및 컴플라이언스 위반 등을 야기할 수 있습니다. 보안 관리자는 클라우드 환경 보안의 문제점을 잘 정의하고 해결책을 모색해야 합니다. 클라우드 조직과 협력해 사이버 위협을 탐지하고 데이터를 보호하는 정책을 수립해야 합니다.



네트워크 담당자는 클라우드 아키텍트를 도와 데이터 아웃바운딩 비용과 대기 시간이 최소화되도록 표준 클라우드 아키텍처를 설계해야 합니다. 컴플라이언스 담당자는 클라우드 환경에 적합하도록 내부 정책을 다시 수립해야 합니다.


그렇지 않으면 정책을 우회하는 행동으로 조직이 더 큰 위험에 노출될 수 있습니다. 인프라 운영자, 개발자도 거버넌스 수립에 적극적으로 참여하고 준수해 클라우드 예산을 보다 효율적으로 사용하면서 보안과 규제를 위반하지 않도록 해야 합니다.


다음은 거버넌스 수립의 범위입니다. 기업은 클라우드 거버넌스 수립 시에 범위를 명확히 해 조직 내 혼란이 없도록 해야 합니다. 꼭 포함되어야 하는 거버넌스의 범위는 비용 최적화와 빌링 통합, 컴플라이언스 준수, 클라우드 전환을 위한 지원, 권한과 접근 관리, 위협 탐지 및 예방이 있습니다.


먼저 비용 최적화와 빌링 통합입니다. 클라우드는 가입 후 사용량에 따라 비용이 청구되는 모델로 AWS, Azure, GCP와 같은 퍼블릭 클라우드 서비스 사업자는 개별 서비스 당 요금을 청구합니다.


빌링을 담당하는 부서는 청구서를 해석해 사업부 단위로 비용을 청구해야 합니다. 또한 청구서 분석을 통해 자원 활용을 점검하고 비용이 최적화될 수 있도록 지속해서 클라우드 아키텍처를 보완해야 합니다.



다음은 클라우드 전환과 관련된 거버넌스입니다. On-premise의 워크 로드에 최적화된 아키텍처가 퍼블릭 클라우드에도 적합하다고 보장할 수 없습니다. 거버넌스는 클라우드로 전환된 워크 로드가 적절한 보호와 자원 할당을 받으면서 클라우드 네이티브로 구현되도록 지원해야 합니다. 클라우드 네이티브로 구현되도록 응용 프로그램을 재개발해야 합니다.


컴플라이언스 준수를 위해 클라우드 서비스 사업자는 클라우드 서비스 정보 보안 통제 인증을 제공합니다. 하지만 민감한 데이터, 특히 개인 식별 정보는 물리적으로 해외에 저장하거나 전송할 수 없습니다. 이런 사항에 대한 컴플라이언스 정책이 필요합니다.


또한 클라우드로 전환된 워크 로드에 대한 접근과 권한 관리를 해야 합니다. 서비스 API 및 특정 리소스에 대한 접근을 제어해야 합니다. 또한 최소 권한 원칙에 따라 사용자 및 그룹을 만들고 리소스에 따라 여러 사용자에게 세분화된 권한을 부여해야 합니다.


마지막으로 클라우드로 전환됨에 따라 클라우드 환경에서의 위협 탐지를 자동화해야 합니다. 워크 로드의 리소스(컴퓨팅, 스토리지, 네트워크)와 인스턴스(하이퍼바이저, OS, 컨테이너), 클라우드와 기업 데이터 센터 간의 데이터 이동, 퍼블릭 클라우드 간의 데이터 이동 등에서 발생할 수 있는 위협을 탐지해야 합니다. 또한 악성 파일을 격리하고 중요 데이터는 전송을 금지해 위협을 예방할 수 있습니다.


지금까지 거버넌스 수립 주체와 거버넌스 적용 범위에 대해 알아보았습니다. 다음은 거버넌스를 어떻게 조직에 빠르고 견고하게 확산할 수 있는지 거버넌스 수행 방안에 대해 알아보겠습니다.


먼저 자동화입니다. 수작업은 휴먼 에러에 대한 여지와 프로세스 지연 가능성을 만듭니다. 클라우드 리소스의 프로비저닝을 자동화하지 않는다면 자원의 인벤토리를 추적할 수 없으며 비용 최적화를 위한 분석 작업도 어려워집니다. CI/CD(Continuous Integration, Continuous Delivery) 솔루션을 사용해 프로비저닝을 자동화하고 관리 오버헤드와 재작업을 줄여야 합니다.



두 번째로 교육을 통해 거버넌스를 확산해야 합니다. 기업은 잘 정의된 거버넌스로 클라우드를 도입하고 활용한 우수 사례를 전파하고 거버넌스의 구체적 준수 방법을 교육해 규정 준수 간의 격차를 해소해야 합니다.


마지막으로 변화 관리 프로그램을 작성하고 지속적이며 자동화된 사전 예방적 점검을 수행해야 합니다. 표준화된 프로세스로 공유 책임 모델을 설정해 준수하고 위협 예방을 위한 클라우드 거버넌스 솔루션을 적극 활용해야 합니다. IAM(Identity and Access Management)과 RBAC(Role-Based Access Control)를 설정하고 응용 프로그램과 플랫폼 접근에 대한 최소 권한을 배포해야 합니다.


 클라우드는 신중하게 결정하고 과감하게 도입


클라우드 도입은 기술 중심의 의사결정이 아닌 비즈니스 전환 요구에 따라 이루어지고 있습니다. 클라우드 도입으로 비즈니스 민첩성이 증대되고, 혁신을 촉진하며 수요 변화에 유연하게 대응하는 확장성이 좋아지는 등 비즈니스 측면에 많은 장점이 있습니다. 하지만 변화에 준비되지 않은 자세는 클라우드 전환을 실패로 이끌 수 있습니다.


앞서 클라우드 도입이 조직에 어떠한 변화를 가져오는지, 성공적인 클라우드 전환을 위해서는 어떤 변화가 필요한지 조직, 문화 그리고 거버넌스 측면에서 알아보았습니다.



클라우드는 기업의 IT 영역뿐만 아니라 비즈니스 방식을 근본적으로 바꾸는 기반 기술이기 때문에 비단 세 가지 영역에서만 변화가 일어나지는 않을 것입니다. 클라우드를 도입하고자 하는 기업은 다양한 영역을 총체적으로 고려해야 합니다. 클라우드 도입은 단순히 IT 영역의 인프라 변화가 아닌 비즈니스를 고려한 전사적 관점에서 검토하고 실행해야 합니다.


다음 시간에는 클라우드 도입으로 변화하는 일하는 방식, 즉 문화적 측면에서 변화를 구체적으로 살펴보기로 하겠습니다.


글 l LG CNS Entrue Consulting 클라우드그룹



* 해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.



Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS

댓글을 달아 주세요

  1. Favicon of https://yesmen.tistory.com BlogIcon 헤이쭌 2020.04.08 10:32 신고  댓글주소  수정/삭제  댓글쓰기

    정성스러운 포스팅 잘보고갑니다.
    오늘도 수고하시고 우리 소통해요~

위로