오랫동안 기업 IT 전략은 세 가지 전제를 바탕으로 운영됐다. 인프라는 글로벌하게 구축할 수 있고, 공급업체는 통합할수록 효율적이며, 시스템이 위치한 지역은 위험이나 규제 준수에 큰 영향을 미치지 않는다는 것이었다. 그러나 이러한 모델은 더 이상 통하지 않는다. 지정학적 긴장이 고조되고 AI 규제가 빠르게 확대되는 데다 공급망까지 불안정해지면서 CIO들은 기술이 어디에서 운영되는지를 넘어 어떻게 조달하고 관리하며 보호할 것인지까지 다시 고민해야 하는 상황에 놓였다.
오픈소스 소프트웨어 기업 수세(SUSE)의 CIO 요헨 야저는 “3년 전만 해도 기술 조달 결정은 항상 총소유비용(TCO)을 기준으로 시작됐다”라며 “하지만 이제는 비용이 가장 중요한 기준이 아니다. 지금은 위험 평가부터 시작하는 경우가 훨씬 많다”라고 설명했다.
SUSE
이러한 변화는 기업 아키텍처 의사결정 전반에도 영향을 미치고 있다. CIO들은 하이퍼스케일 클라우드 사업자에 대한 의존도를 재평가하고, 소버린 클라우드 도입 가능성을 검토하는 한편 데이터가 어디에 저장되고 국가 간 어떻게 이동하는지에도 한층 더 주의를 기울이고 있다.
엔터프라이즈 정보관리 기업 오픈텍스트(OpenText)의 EVP·CIO·CDO인 섀넌 벨은 “지정학적 위험은 이제 아키텍처와 기술 조달 전략을 결정하는 핵심 고려 요소가 됐다”라고 밝혔다.
그 결과 기업 IT 운영 환경은 이전보다 더욱 복잡하고 파편화되고 있다. 가트너의 루이스 핀토는 기업들이 이제 지리적 위치를 단순한 배포상의 문제가 아니라 아키텍처 설계의 핵심 제약 조건으로 인식하고 있다고 분석했다. IDC 자문위원이자 토론토 메트로폴리탄대학교 교수인 론 베이빈은 CIO들이 국가와 지역마다 점점 복잡해지는 규제 체계에 대응해야 하는 과제를 안고 있다고 설명했다.
AI가 기업 운영 전반에 깊숙이 적용되면서 데이터 자체의 전략적 중요성도 커지고 있다. CIO들은 데이터가 어디에 저장되는지만이 아니라 국경을 넘어 어떻게 접근되고 이동하며 보호되는지까지 면밀하게 관리하기 시작했다.
보안 모바일 액세스 기업 하이포리(Hypori)의 CSO 맷 스턴은 “비즈니스는 국경을 넘을 수 있지만 데이터는 항상 그럴 수 있는 것은 아니다”라고 말했다.
기업들은 글로벌 플랫폼을 포기하는 대신 활용 방식을 새롭게 설계하고 있다. 디지털 주권이 일시적인 변수가 아닌 장기적인 전략 제약으로 자리 잡으면서 CIO들에게는 새로운 대응 전략이 요구되고 있다. 다음은 CIO가 반드시 실천해야 할 다섯 가지 과제다.
1. 지리적 위치를 핵심 아키텍처 요소로 고려하라
가장 근본적인 변화는 개념적 전환이다. 이제 시스템이 위치한 곳은 단순한 배포상의 세부 사항이 아니라 아키텍처를 설계할 때 반드시 고려해야 하는 핵심 변수로 자리 잡았다. 그동안 CIO들은 규모의 경제와 운영 효율성을 극대화하기 위해 소수의 하이퍼스케일 클라우드 환경에 워크로드를 집중해왔다. 이러한 전략은 글로벌 환경에서 안정적인 서비스 이용과 예측 가능한 규제 환경을 전제로 했다. 하지만 이제는 그 같은 전제가 더 이상 유효하지 않다.
가트너의 루이스 핀토는 “기술이 어디에 위치하고 누가 운영 통제권을 갖고 있는지가 이제는 중요한 비즈니스 리스크가 됐다”라며 “기업들은 데이터 저장 위치와 접근 권한을 이전보다 훨씬 면밀하게 관리하고 있다”라고 설명했다.
수세의 요헨 야저는 이러한 변화가 기업들로 하여금 인프라에 대한 기본적인 가정까지 다시 검토하도록 만들고 있다고 말했다. 그는 “예전에는 AWS와 구글 클라우드, 그리고 온프레미스 환경 정도만 고려하면 됐다. 하지만 디지털 주권 요구사항이 본격화되면서 이제는 소버린 클라우드도 중요한 선택지가 되고 있다”라고 밝혔다.
그렇다고 하이퍼스케일 클라우드를 완전히 포기하는 것은 아니다. 수세 역시 상용 클라우드와 자체 데이터센터를 결합한 하이브리드 인프라를 운영하고 있다. 대신 기업들은 어떤 워크로드가 더 강력한 주권 보호를 필요로 하는지, 어떤 시스템은 글로벌 클라우드 환경에 그대로 둘 수 있는지를 보다 세밀하게 판단하기 시작했다.
이러한 변화는 운영 모델에도 영향을 미치고 있다. 오픈텍스트의 섀넌 벨은 워크로드 배치 전략이 데이터 민감도와 규제 노출 수준, 운영 리스크를 중심으로 결정되는 사례가 늘고 있다고 설명했다.
벨은 “클라우드 우선(cloud-first) 전략에서 벗어나 업무 목적에 가장 적합한 환경을 선택하는 방향으로 전환하고 있다”라고 말했다.
2. 효율성이 아니라 다중 관할권 환경에서의 복원력을 설계하라
지리적 제약이 커질수록 설계 목표도 효율성에서 복원력으로 바뀌고 있다. 기업들은 특히 하이퍼스케일 클라우드 사업자를 중심으로 한 소수 글로벌 공급업체에 대한 의존도를 다시 검토하고 있다. AWS와 마이크로소프트(MS), 구글은 여전히 대부분 기업의 IT 전략에서 중요한 위치를 차지하고 있지만, CIO들은 공급업체 집중에 따른 위험을 이전보다 심각하게 인식하기 시작했다.
핀토는 “공급업체 집중은 더 이상 전략적 강점이 아니라 시스템 전체에 영향을 미칠 수 있는 위험으로 인식되고 있다”라며 “기업들은 하이퍼스케일 클라우드를 포기하기보다 의도적으로 공급업체 포트폴리오를 분산하고 있다”라고 설명했다.
이에 따라 표준화된 저위험 워크로드는 글로벌 클라우드 사업자에서 계속 운영하는 반면, 민감한 업무는 지역 클라우드나 소버린 클라우드로 분산하는 전략이 확산되고 있다.
야저는 과거 클라우드 통합 전략이 오히려 기업의 유연성을 제한하고 있다고 지적했다. 그는 “많은 기업이 단일 클라우드 사업자를 기준으로 기술과 역량, 운영 계획을 모두 최적화했다”라며 “하지만 이후 3년 또는 5년짜리 장기 계약을 체결하면서 다른 대안을 선택하기 어려운 상황에 놓이게 됐다”라고 밝혔다.
베이빈은 규제 준수를 넘어 새로운 위험도 등장하고 있다고 설명했다. 일부 지역에서는 데이터센터 자체가 지정학적 갈등의 표적이 될 가능성도 있다는 것이다.
그는 “CIO들은 이제 AI 모델이 어느 지역에서 운영되고 있는지, 그리고 해당 지역에는 어떤 위험이 존재하는지까지 고려해야 한다”라고 말했다.
결국 기업들은 지정학적 환경과 규제, 공급업체 상황이 바뀌더라도 대응할 수 있도록 선택권을 유지하는 방향으로 기술 조달 전략을 재편하고 있다. 그 결과 운영 구조는 이전보다 다소 파편화됐지만, 변화에 대응하는 복원력은 한층 강화되고 있다.
3. 주권 수준과 위험도에 따라 워크로드를 분류하라
복원력을 확보하려면 인프라를 다양화하는 것만으로는 충분하지 않다. 어떤 워크로드에 어떤 수준의 보호가 필요한지를 정교하게 구분하는 작업도 필요하다. 이에 따라 디지털 주권을 보다 세분화해 접근하는 방식이 확산되고 있다. CIO들은 이제 디지털 주권을 ‘적용 여부’를 결정하는 이분법적 개념이 아니라 다양한 수준을 고려해야 하는 연속적인 개념으로 바라보고 있다.
수세의 요헨 야저는 “이 문제를 흑백논리로 접근해서는 안 된다”라며 “워크로드의 특성과 중요도, 그리고 해당 워크로드에 요구되는 주권 수준에 따라 판단해야 한다”라고 설명했다.
Gartner
실제로는 워크로드를 위험도와 데이터 민감도, 비즈니스 영향도에 따라 분류하는 것을 의미한다. 인사(HR) 시스템이나 보안 시스템, 자체 개발한 AI 모델처럼 민감한 데이터는 소버린 클라우드나 온프레미스처럼 엄격하게 통제되는 환경에서 운영해야 할 수 있다. 반면 마케팅 시스템이나 대외 서비스처럼 상대적으로 민감도가 낮은 애플리케이션은 글로벌 클라우드 환경에서도 충분히 운영할 수 있다.
이처럼 워크로드 특성에 따라 배치하는 방식은 비용과 성능, 규제 준수, 사용자 경험(UX) 사이에서 균형을 맞출 수 있도록 돕는다. 동시에 디지털 주권을 절대적으로 달성해야 하는 목표가 아니라 여러 요소를 종합적으로 고려해야 하는 전략적 선택의 문제로 바라보는 접근이기도 하다.
야저는 CIO들이 이 과정을 지나치게 복잡하게 만들 필요는 없다고 조언했다. 그는 “너무 복잡하게 설계하려고 하지 말라. 우선 워크로드를 분류하고 중요한 시스템부터 대응하면 된다”라고 밝혔다.
오픈텍스트의 섀넌 벨 역시 모든 기업 데이터가 동일한 수준의 보호를 필요로 하는 것은 아니라고 설명했다.
벨은 “기업 데이터의 90% 이상은 퍼블릭 환경에서도 안전하게 운영할 수 있다”라며 “실제로 가장 중요한 핵심 자산은 극히 일부에 불과하며, 집중적으로 보호해야 할 대상도 바로 그 데이터”라고 말했다.
4. 기술 스택 전반에 이동성과 이탈 전략을 내재화하라
기업들이 멀티클라우드와 소버린 클라우드, 지역별 클라우드 서비스를 함께 활용하면서 워크로드를 자유롭게 이동할 수 있는 역량은 핵심 경쟁력으로 떠오르고 있다.
벨은 워크로드 이동성을 초기 설계 단계부터 고려하는 것이 점점 더 중요해지고 있다며 “이러한 유연성은 단순한 최적화 수단이 아니라 반드시 갖춰야 할 핵심 요건이 되고 있다”라고 설명했다.
이를 위해 기업들은 개방형 표준과 컨테이너 기술, 쿠버네티스 같은 오케스트레이션 플랫폼 도입을 확대하고 있다. 이러한 기술은 클라우드 사업자 간은 물론 클라우드와 온프레미스 환경 사이에서도 워크로드를 보다 쉽게 이전할 수 있도록 지원한다.
계약 전략도 달라지고 있다. CIO들은 계약 해지 조항을 강화하고 가격 보호 장치와 계약 유연성을 확보하는 데 더 많은 관심을 기울이고 있다.
가트너의 루이스 핀토는 기업들이 기술 조달 전략에 ‘Exit by Design(설계 단계부터 이탈 가능성을 고려하는 전략)’을 적극 반영하고 있다고 설명했다. 계약상 신속하게 서비스를 종료하거나 이전할 수 있는 권한이 보장되지 않으면 규제나 운영 환경이 바뀌더라도 적절히 대응하지 못할 수 있기 때문이다.
OpenText
궁극적인 목표는 워크로드를 끊임없이 이동시키는 것이 아니라 필요할 때 언제든 다른 선택지를 활용할 수 있는 유연성을 확보하는 데 있다. CIO들은 환경 변화에 맞춰 전략을 조정할 수 있는 선택권을 원한다.
벨은 “일부 CIO는 지나치게 높은 이동성을 추구하거나 반대로 이동성을 거의 확보하지 않는 실수를 한다”라며 “가장 중요한 것은 그 중간에서 적절한 균형을 찾는 것”이라고 말했다.
5. 디지털 주권 전략을 엣지와 엔드포인트까지 확대하라
디지털 주권 논의는 주로 클라우드 인프라에 집중돼 있지만, 실제 위험은 데이터센터에서 끝나지 않는다. 특히 원격근무와 모바일 업무 환경이 확산되면서 데이터에 어떻게 접근하는지도 중요한 관리 대상이 되고 있다. 이처럼 눈에 잘 드러나지 않지만 갈수록 중요성이 커지는 새로운 과제가 등장하고 있다.
보안 모바일 액세스 기업 하이포리의 맷 스턴은 “비즈니스는 국경을 넘을 수 있지만 데이터는 항상 그럴 수 있는 것은 아니다”라고 말했다.
직원이 해외를 이동하거나 원격으로 근무하는 과정에서 민감한 데이터가 국가 간에 접근되면서 현지 규제를 위반할 가능성이 생길 수 있다. 또한 국경 통과 과정에서 업무용 기기가 검사되거나 압수될 위험도 존재한다. 이에 따라 일부 기업은 기존 보안 모델을 근본적으로 재검토하고 있다. 단말기 자체를 보호하는 데 집중하기보다 데이터 접근을 통제하는 방향으로 전략을 전환하는 것이다.
스턴은 AI 확산과 분산된 업무 환경이 기업 보안의 개념 자체를 바꾸고 있다고 설명했다.
그는 “이제 신원(Identity)이 새로운 보안 경계가 되고 있다”라며 “더 이상 기기 중심이 아니라 사용자 신원 중심으로 보안을 설계해야 한다”라고 말했다.
Hypori
이는 디지털 주권이 단순히 데이터를 어디에 저장하는지의 문제가 아니라, 누가 어떤 위치에서 어떤 조건으로 데이터에 접근할 수 있는지를 관리하는 문제로 확대되고 있음을 보여준다.
비용 최적화에서 지속적인 위험 관리로
이 같은 변화는 CIO 역할 자체가 근본적으로 달라지고 있음을 의미한다. 이제 기술 전략은 단순히 가장 낮은 비용으로 IT 역량을 제공하는 것이 아니라 규제와 지정학, 공급망, 보안 등 다양한 위험을 장기적으로 관리하는 전략적 활동으로 바뀌고 있다.
IDC 자문위원이자 토론토 메트로폴리탄대학교 교수인 론 베이빈은 “이 문제는 CIO 혼자 해결할 수 있는 과제가 아니다”라며 “경영진과 이사회 모두가 어떤 선택에 어떤 대가가 따르는지 이해해야 한다”라고 설명했다.
실제로 더 높은 수준의 통제력과 유연성을 확보하려면 추가 비용이 발생할 수 있고, 서비스 구축 속도가 늦어지거나 최신 기능을 활용하는 데 제약이 따를 수도 있다.
Toronto Metropolitan University
그럼에도 기업들이 새로운 환경에 적응하면서 CIO들은 이전보다 복잡하지만 훨씬 더 복원력이 높은 IT 전략을 구축하고 있다. 가트너의 루이스 핀토는 이러한 변화에 가장 잘 대응하는 기업은 지정학을 일시적인 변수나 단기적인 혼란 요인이 아니라 지속적인 설계 제약으로 받아들이는 조직이라고 분석했다.
이를 위해서는 운영 준비 태세와 위험 관리에 대한 새로운 사고방식이 필요하다.
오픈텍스트의 벨은 “위험에 대비한다는 것은 위험을 실시간으로 이해하고 완화하며 지속적으로 관리하는 것을 의미한다”라고 말했다.
이제 CIO에게 디지털 주권은 일부 규제 준수 차원의 이슈가 아니다. 기술을 어떻게 조달하고 구축하며 운영하고 거버넌스를 수립하고 보호할 것인지를 결정하는 핵심 설계 원칙으로 자리 잡고 있다.
dl-ciokorea@foundryco.com
Read More from This Article: ‘클라우드 퍼스트’는 끝났다…디지털 주권 시대 CIO의 새 전략 5가지
Source: News

