IT Solutions/Cloud

클라우드 도입에 따른 IT 거버넌스의 변화는 무엇인가?

2020. 5. 6. 09:30


코로나19로 촉발된 온라인 개학을 앞두고 벌어진 ‘클라우드 대전’, 그 주인공은 바로 EBS 온라인 클래스를 제공하는 ‘MS 애저’와 e학습터를 제공하는 ‘네이버 비즈니스 플랫폼(NBP)’ 이었습니다.


EBS 온라인 클래스의 경우 1차 개학 시 사용자가 몰릴 것을 대비해 동시 접속자 수를 300만 명으로 늘리며 대비했으나 불과 27만 명 접속 상황에서 접속 불량이 발생하고 말았는데요. 결과적으로 NBP의 판정승으로 끝났지만 e학습터 역시 접속 지연 상황이 벌어지곤 했습니다.


온라인 클래스와 e학습터가 접속 장애를 일으킨 원인으로 늘어난 서버를 뒷받침할 기술적 환경이 제대로 갖춰지지 않았다고 지적되었는데, 각 플랫폼이 1차 온라인 개학을 앞두고 300만 명을 수용할 수 있는 서버를 구축했다고 밝혔지만 늘어난 용량에 맞춰 NAS(네트워크 저장 장치)나 WAS(웹 애플리케이션 서버) 등 클라우드 서버를 최적화할 기술이 미비 된 점이 주요한 원인 중 하나였던 것입니다.



어쩌면 이번 상황은 클라우드 도입이 본격화되면서 기업이 겪을 수 있는 하나의 사례일 수 있습니다. 기업 입장에서 클라우드를 도입한다는 건 빠르게 변하는 시장 트렌드에 신속하게 대응하기 위한 기반 확보 측면에선 매력적인 건 분명합니다.


하지만, 클라우드 구축 시 많은 기업이 범하는 잘못 중의 하나는 당장 직면한 활용 관점에는 많은 신경을 쓰는 반면, 향후 운영이나 개선, 안정적 지속에 대한 고민은 아직 부족한 게 사실입니다. 그렇다면 우리가 클라우드를 도입할 때 고려해야 할 사항은 무엇이고 이전과는 어떻게 다를까요?


가트너(Gartner)에서는 클라우드의 무분별한 도입으로 인한 Shadow IT를 방지하며 통제된 방식으로의 셀프서비스 및 자동화를 지원하는 것이 필요함을 강조하고 있습니다.


l 통제된 방식으로 셀프서비스 및 자동화를 지원해 Shadow IT 방지 (출처: 2019, Gartner), 재구성


클라우드 도입에 따른 IT 거버넌스 변화의 출발은 바로 이 문제점을 해결함에 있으며, IT 자산의 소유 개념에서 빌려 쓰는 개념으로 전환함에 따라 앱을 구축하고 활용하기까지 기획, 개발, 운영, 모니터링에 이르는 단계별 기준, 조직, 프로세스, 관리 정보 관점에서 좀 더 궁극적인 변화를 요구하게 됩니다.


그럼 클라우드 도입으로 인해 기존 IT 거버넌스의 어떤 관점에서 변화를 요구하고 있을까요?


 IT 하이브리드 환경을 매니지먼트하기 위한 조직적 고려


과거의 조직은 서버, 스토리지, DB 등 하드웨어 구성이나 네트워크 구성에 대해 고민만 하면 되었다면 클라우드 도입 시 아키텍처는 기존 레거시 환경과 AWS, Azure, GCP 같은 다양한 클라우드 환경과의 접목이 고려되어야 하고 클라우드 기반에서 동작되는 데이터 교류, 업무 흐름의 연속성 보장, 외부 환경과의 접목에 따른 보안 체계가 감안되어야 합니다. 그만큼 거버넌스를 필요로 하는 대상이나 방식이 복잡해질 수밖에 없습니다.


l 하이브리드 클라우드 환경과 요구되는 거버넌스 (출처: 2017, Gartner), 재구성


이런 여러 복잡한 활동에는 종종 조직 전체에 분산되어 있는 영역별 전문 지식이 필요하므로 해당 전문 지식을 중앙 집중화함으로써 클라우드 전략을 구상해 초기 클라우드 서비스 세트를 설정하고 마이그레이션 활동을 지원할 수 있는 전문 조직을 필요로 합니다.


해당 역할을 수행하기 위해서 각 기능 조직 간 협업을 강조하는 CCoE(Cloud Center of Excellence) 모델이 많이 대두되고 있으며, 이 모델이 올바르게 구조화되고 지원되면 사용자는 혁신 및 마이그레이션 노력을 가속화하면서 전반적인 변경 비용을 줄이고 비즈니스 민첩성을 높일 수 있습니다.


CCoE 모델의 기본 전제는 IT가 브로커, 파트너 또는 비즈니스의 대표자 역할을 하는 것으로 이는 운영 중심의 전통적인 IT 관점에서 패러다임 전환을 의미하는 것입니다. IT 부서가 교차로에 신호등처럼 제어 및 중앙 책임에 집중하는 것이 아니라 원형 교차로처럼 자율과 책임 위임에 중점을 두는 것과 같습니다.


l IT의 패러다임 변화 (출처: Microsoft Azure)


 클라우드 기반의 개발 환경에 대한 대응


클라우드 도입에 따른 개발 환경에 대한 변화 중 한 가지는 클라우드 Native 아키텍처의 등장을 말할 수 있습니다.


아키텍처 표준에 대한 의사결정을 위해서는 과거와 다른 아키텍처 구조에 대한 이해가 필요한데, 과거에 BA, AA, TA, DA로 대변되던 Monolith 구조에서는 하나의 인스턴스에서 애플리케이션이 실행되므로 시스템 부하 발생 시 수평적 확장이 쉽지 않았습니다.


그러나 클라우드 Native 아키텍처는 시스템의 수평적 확장에 유연한 구조를 제공함으로써 자연스럽게 시스템의 부하가 분산되고, 가용성이 보장됩니다.


이를 위해서 하나의 큰 애플리케이션을 작은 애플리케이션으로 나누어 서비스하는 마이크로 서비스 아키텍처가 대두되고 있는데 수시로 서비스를 생성했다가 폐기할 수 있는 시스템 환경을 제공함으로써 빠르게 변해 가는 비즈니스 환경에 신속하게 대응하는 데 유용합니다. 새로운 개념의 아키텍처를 기존 아키텍처랑 어떻게 안정적으로 구성할 것인가에 대한 고민이 필요한 부분입니다.


l Monolithic(좌), Microservice(우), 우버의 아키텍처 변화 (출처: DZone)


다음으로는 소프트웨어 개발 방식에 대한 변화입니다. DevOps 기반의 Agile 개발 방법론이 그 주인공입니다. 과거의 소프트웨어 개발은 아키텍터에 의해 개발 환경이 별도로 구성되면 Waterfall 방식에 의해 개발이 완료된 후 테스트를 거치고 운영 서버로 이관되는 구조로 단계별로 명확한 구현을 원칙으로 진행되는 Centralized Governance였습니다.


하지만, 클라우드 도입에 따라 DevOps 기반의 일정한 주기를 가지고 끊임없이 Prototype을 만들어내며 그때그때 필요한 요소를 진행하는 애자일 프로세스가 가능해짐으로써 새로운 Adaptive Release Governance의 고려가 필요하게 됩니다.


DevOps는 Development + Operations의 합성어로 기존에 개발과 운영으로 나눠짐으로써 문제가 있었던 커뮤니케이션, 협업, 통합을 강조하는 개념입니다. 두 역할이 상호 의존성을 가지고 있다는 것을 명확히 인지하고 이 두 역할을 하나의 팀이나 부서로 통합함으로써 서비스의 안정성을 유지하고 더 빠른 변화를 위한 방안입니다.


l Centralized governance(좌) vs. Adaptive release governance(우) (출처: 2019, Gartner)


IoT, AI, 엔터프라이즈 SW 등과의 통합비중이 증가함에 따라 DevOps는 개발, IT 운영, 품질, 보안 등 이제껏 서로 단절되었던 역할들이 서로 조율하고 협업해 더욱 안정적이고 뛰어난 제품을 생산할 수 있도록 지원합니다.


DevOps 방식과 도구를 비롯한 DevOps 문화를 도입하는 팀은 고객 요구 사항에 보다 효과적으로 대응하고, 더욱 안심하고 애플리케이션을 빌드하며, 비즈니스 목표를 더 빨리 달성할 수 있습니다.


 클라우드를 포함한 IT 자원의 효율적 운영 관리


운영 측면에서 보면 기업이 자체로 IT 인프라를 구축해서 활용하는 온프레미스와는 다른 형태로 클라우드 운영이 필요한데, 자원관리, 모니터링, 보안 관련 책임 공유 모델, 백업 등이 이에 해당합니다.


IT 자원 관리의 경우 온프레미스의 경우 한번 구축해 놓은 데이터 센터를 활용하면 되지만 이와 달리 클라우드는 쓴 만큼 과금 되는 방식이므로 컴퓨팅 자원이 수시로 변동됩니다. 게임사를 예로 들면 하루 클라우드 서버 사용량이 지하철 출근 시간에 급격히 늘어났다가 일과 시간에는 줄어드는 변화에 따라 적절하게 관리될 수 있어야 합니다.


클라우드 모니터링의 경우 클라우드 환경에 맞는 솔루션을 구축해 오픈소스 기반 툴에 대한 유지 보수, 상용 솔루션 라이선스 비용 등을 정기적으로 확인하면서 여러 정보를 한 번에 종합적으로 모니터링할 수 있도록 통합 대시보드가 필요합니다.


보안도 중요합니다. 

클라우드는 기업이 전적인 책임을 지는 온프레미스와 달리 클라우드 서비스 제공 기업과 책임을 나눠 갖습니다. 클라우드 인프라 자체는 아마존 웹 서비스(AWS)와 같은 사업자들이 지고 있지만, 나머지 운영 과정에서 생기는 보안 문제들은 기업이 해결해야 합니다. 이를 위해 고객 애플리케이션 및 콘텐츠, 계정 및 접근 제어(IAM), 네트워크 방화벽 설정, 데이터 암호화 및 무결성 인증 등이 필요합니다.


데이터가 공유되거나 시스템이 통합될 때 환경 전체에서 보안 및 규정 준수 고려 사항이 증가합니다. 여러 서비스 제공 업체의 오퍼링을 결합한 복잡한 시스템은 제공 업체에 변경 사항이 있는 경우 운영 중단 가능성이 있습니다. 계약 의무를 이행하지 못한 경우의 재무 노출 및 손해 배상도 참작되어야 합니다. 이 밖에도 기업들은 어떤 방식으로 클라우드에 최적화된 백업 방법을 써야 할지도 고려해야 합니다.


l 출처: CORESTACK


컴플라이언스 및 내부 통제에 대한 고민도 필요합니다.

비즈니스, 운영, 기술은 각각 새로운 서비스나 기술을 채택하면서도 데이터 프라이버시를 포함한 데이터 상주 규칙을 준수하며 지적 재산을 보호하는 방법에 대한 지침이 필요합니다.


최근 해외에서 발생한 클라우드 관련 보안 사고들을 보면, 클라우드 이용 기업들의 귀책사유로 인한 사고 비중이 훨씬 높은 편입니다. 기업들이 주로 우려하고 있는 클라우드 시스템 자체의 보안 문제보다는 이용 기업들의 임직원, 외부 벤더들에 대한 보안 관리 미흡으로 인해 실수 또는 고의적인 범죄행위로 사고가 발생할 가능성이 크다는 것입니다.



비밀번호 관리 소홀, 접근 권한 잘못 설정, 환경설정 오류 등이 가장 흔하게 발생하는 실수들이라고 합니다. 예를 들면, 비밀번호를 암호화하지 않고 공개된 상태로 저장해 둔다든지, 누구든지 데이터에 ‘덮어쓰기’를 할 수 있도록 환경설정을 잘못해 두는 식입니다.


정보 보유 기간이 종료되어 더 사용하지 않는 정보를 무기한 삭제하지 않고 방치하다가 해킹사고를 당하는 경우들도 발생합니다. 따라서 클라우드를 이용하는 기업들은 정보 보호에 대한 기본적인 책임이 본인에게 있다는 점을 유의하고 클라우드의 안전한 사용을 위해 철저한 교육과 컴플라이언스 관리가 필요합니다.


앞에서 살펴봤듯이 클라우드 도입에 따라 거버넌스 관련 다양한 변화 요소가 존재하고 기존 거버넌스 체계에 새롭게 요구되는 사항을 어떻게 반영할 것인가가 매우 중요한 문제입니다.


기존 시스템과 클라우드 기반으로 구동되는 시스템 간의 원활한 연동, 빠르게 변화하는 비즈니스 환경에 신속하게 대응하면서 하이브리드 환경에서의 시너지를 극대화하는 것이 거버넌스 영역의 새로운 숙제이며 반드시 고려해야 할 사항입니다.


글 l LG CNS Entrue Consulting 클라우드그룹



* 해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.



Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS

댓글을 달아 주세요

위로