칼럼 | 2026년 IT 전략에 앞서 ‘표준 운영절차’를 손봐야 할 이유

수십 년 동안 IT 운영 매뉴얼은 대개 50페이지 분량의 빽빽한 PDF 문서였다. 사람이 만들고 사람이 읽도록 설계된 문서는, 감사가 필요해질 때까지 디지털 저장소 어딘가에서 방치되는 경우가 대부분이었다. 그러나 2026년에 접어든 지금, 전통적인 SOP는 사실상 수명을 다한 상태다. 이제 이 매뉴얼의 주된 사용자가 사람이 아니기 때문이다.

시스템은 점점 더 에이전트 기반으로 진화하고 있다. 단순히 대시보드를 감시하는 수준을 넘어, 스스로 사고하고 계획하며 인프라 내 변경을 실행하는 자율형 에이전트가 배치되고 있다. 이들 에이전트는 PDF 문서를 읽을 수 없고, 법률 용어로 작성된 보안 정책의 취지를 해석하지도 못한다. 자율형 IT 시대에 통제력을 유지하려면 고정된 규칙에 머무르지 않고 ‘에이전트 헌법’, 즉 앤트로픽이 제시한 ‘헌법 중심 AI(Constitutional AI)’를 기업 환경에 적용해야 한다. 이는 AI의 문제점을 AI가 스스로 검증하고 고치기 위한 시스템을 의미한다.

문서 속 정책에서 코드로 구현된 정책으로

과거 IT 거버넌스는 사후 대응만 가능한 ‘체크리스트’ 방식이었다. 그러나 오늘날 기업은 정책을 코드로 구현하는 ‘PaC(Policy as Code)’로의 전환이 필요하다.

• 전전두엽 역할: 에이전트 헌법은 자율 시스템 기계가 읽을 수 있는 기본 원칙 집합이다.
• 운영 경계: 에이전트가 수행할 수 있는 작업 범위와 절대 넘지 말아야 할 윤리적 한계를 규정한다.
• 실행 가능한 규칙: 코드로 구현된 강제 규칙의 예로는 ‘피크 시간대에는 인간 개입 토큰 없이는 운영 데이터베이스를 수정하지 않는다’와 같은 원칙이 있다.
• LLM 이해 가능성: 이러한 규칙은 실행 가능하며, 오케스트레이션을 담당하는 LLM이 이해하고 활용할 수 있다.

이런 전환은 근본적인 변화를 의미한다. IT 전문가의 역할은 ‘운영자’에서 ‘의도 설계자’로 변화하고 있다. IT 직원은 더 이상 시스템을 직접 조작하는 사람이 아니라, 자율 시스템이 따라야 할 행동 규칙을 설계하는 주체가 되고 있다.

IT 운영을 위한 자율성 계층 구조

기업이 ‘킬 스위치’에 대한 통제권을 유지하면서 AI 역량을 확장하려면, ‘자율성의 계층 구조’에 초점을 맞출 필요가 있다. 이는 1978년 연구자 토머스 셰리던와 윌리엄 버플랭크의 기초 연구에서 제시된 프레임워크에 기반한 개념이다.

1단계: 완전 자율화 영역(가장 쉽게 도입할 수 있는 영역)

• 이는 사람이 개입하는 비용이 해당 작업의 가치보다 더 큰 업무를 의미한다.
• 사례
  • 자동 확장
  • 로그 로테이션
  • 기본 티켓 라우팅
  • 캐시 정리
• 거버넌스: 사전에 정의된 임계값 조건에 따라 동작하는 통제된 자동화 영역(sandbox of trust)에서 관리된다.

2단계: 감독형 자율화 영역(사전 확인 구간)

• 에이전트가 데이터 수집과 문제 원인 분석, 해결 방안 도출 등 핵심 작업을 수행하지만, 최종 실행 단계에서는 사람의 승인, 즉 확인 절차가 필요한 단계다.
• 사례
  • 시스템 패치
  • 사용자 계정 프로비저닝
  • 비중요 설정 변경
• 거버넌스: 에이전트는 해당 조치를 왜 수행하려는지에 대한 판단 근거, 즉 추론 과정을 관리자에게 제시해야 한다.

3단계: 사람 전용 영역

• 어떤 상황에서도 에이전트가 자율적으로 수행해서는 안 되는, 시스템의 존립과 직결된 핵심 작업을 의미한다.
• 사례
  • 데이터베이스 삭제
  • 핵심 보안 설정 우회
  • 에이전트 헌법 자체에 대한 수정
• 거버넌스: 다단계 인증(MFA) 또는 복수 인원의 이중 승인과 같은 강력한 통제 절차를 적용한다.

숨겨진 공격 표면 줄이기

중앙화된 헌법 체계를 구현하면, 중앙 IT의 관리 및 감독 없이 배포되는 섀도우 AI 에이전트로 인한 리스크를 완화할 수 있다.

• 통합 API: 모든 에이전트는 핵심 인프라와 상호작용하기 전에 해당 운영 원칙 체계에 따라 인증을 거쳐야 한다.
• 컴플라이언스 이력: 이를 통해 SOC2나 EU AI 법과 같은 규제 대응에 활용할 수 있는 중앙화된 감사 이력이 생성된다.
• 검증 가능한 의사결정: 자율적으로 내려진 판단과 실행에 대한 검증 가능한 기록을 축적할 수 있다.

기계 중심 세계 속 사람의 목소리

이른바 ‘헌법’은 코드가 아니라, 엔지니어의 경험과 판단이 집약된 사람의 문서다. 따라서 사람의 역할은 여전히 중요하다.

• 의도 설계자: IT 전문가의 역할은 ‘운영자’에서 ‘의도의 설계자’로 변화하고 있다.
• 문화적 전환: IT 팀은 개인이 나서서 문제를 해결하는 방식에서 벗어나, 시스템 중심의 거버넌스 문화로 전환해야 한다.

‘헌법 제정 회의’를 시작할 때

2020년대 후반에도 PDF 형식의 기존 SOP에 의존한다면, IT 운영은 비즈니스의 발목을 잡는 병목으로 전락할 가능성이 크다.

지금 바로 취해야 할 단계는 다음과 같다.

• 레드라인 정의: 수석 아키텍트를 중심으로 3단계 영역의 경계를 명확히 설정한다.
• 자동화 성과 도출: 즉시 자동화가 가능한 1단계 업무를 식별한다.
• 전략에 집중: 사람은 봇을 감시하는 데 시간을 쓰는 대신, 전략과 혁신에 집중하도록 방향을 전환한다.

dl-ciokorea@foundryco.com