클라우드 거버넌스란 무엇인가요?

거버넌스 프레임워크는 클라우드 사용이 안전하고 투명하며 더 광범위한 비즈니스 목표와 일치하도록 보장하기 위해 기업이 사용하는 모든 역할과 기술적 제어를 정의합니다. 거버넌스 프레임워크는 클라우드 환경의 "운영 규칙" 역할을 합니다. 이 프레임워크는 누가 리소스를 생성하거나 삭제할 수 있는지, 어떤 보안 조치가 반드시 적용되어야 하는지, 팀이 비용을 어떻게 통제할 것인지 및 기업이 법률과 규정을 어떻게 준수할 것인지를 정의합니다.

클라우드 거버넌스 프레임워크는 여러 거버넌스 구성 요소를 기반으로 하며, 이러한 요소를 다루기 위해 작성됩니다. 이러한 구성 요소에는 다음이 포함됩니다.

• 클라우드 지출을 관리하고 통제하기 위한 비용 거버넌스.
  
  
• 오용 및 악용으로부터 클라우드 시스템과 해당 시스템이 보유한 데이터를 보호하기 위한 보안 거버넌스.
  
  
• 누가 어떤 리소스에 액세스할 수 있는지와 어떤 작업을 수행할 수 있는지를 관리하기 위한 액세스 거버넌스.
  
  
• 일반 데이터 보호 규정(GDPR) 및 건강 보험 양도 및 책임에 관한 법률(HIPAA)과 같은 규정을 준수하도록 보장하기 위한 컴플라이언스 거버넌스.
  
  
• 시스템 안정성과 가시성을 유지하기 위한 운영 거버넌스.
  
  
• 데이터를 분류, 저장, 이동 및 삭제하는 방식을 정의하기 위한 데이터 거버넌스.

클라우드 플랫폼에서는 몇 번의 클릭만으로 새로운 자산 및 리소스 인스턴스를 쉽게 생성할 수 있습니다. 명확한 가드레일이 없으면 이러한 환경에서 통제되지 않는 지출, 보안 공백 및 운영 혼란의 위험이 급격히 증가합니다.

클라우드 거버넌스 프레임워크는 정책(문서화된 규칙), 프로세스(해당 규칙을 따르는 방식), 제어(규칙을 시행하는 기술적 메커니즘) 및 명확하게 정의된 역할(누가 어떤 작업을 수행할 수 있는지)을 수립함으로써 이러한 문제를 방지하는 데 도움을 줍니다.

궁극적으로 클라우드 거버넌스의 목표는 조직이 위험을 완화하기 위한 보안 및 책임성 조치를 구현하면서 클라우드 서비스의 이점을 활용할 수 있도록 지원하는 것입니다.

클라우드 거버넌스 전략은 복잡성, 공격 표면 관리, 섀도 IT 및 비용 관리와 같이 클라우드 도입과 일반적으로 연관되는 과제를 기업이 해결할 수 있도록 지원합니다.

전반적으로 클라우드 도입은 기업에 큰 이점을 가져다주었습니다. 클라우드 서비스는 개발 및 운영팀이 수요에 맞춰 리소스를 빠르게 확장하거나 축소할 수 있도록 지원하며(최대 용량을 처리하기 위해 과도하게 하드웨어를 구축하는 대신), 이를 통해 IT 환경의 유연성을 높여줍니다. 또한 개발자가 몇 분 만에 인프라를 프로비저닝할 수 있도록 지원해 새로운 애플리케이션과 서비스를 구축, 테스트 및 배포하는 과정을 가속화합니다.

클라우드 서비스 공급자는 시스템 가용성을 여러 지역에서 높일 수 있도록 이중화 및 재해 복구 기능을 포함해 플랫폼을 설계하는 경우가 많습니다.

그러나 클라우드 컴퓨팅에도 과제가 없는 것은 아닙니다.  

클라우드 환경은 본질적으로 복잡하며, 대부분의 기업은 대규모의 지리적으로 분산된 하이브리드 클라우드 및 멀티클라우드 환경에서 클라우드 서비스를 운영하고 있습니다.

또한 클라우드 서비스는 웹 앱, 애플리케이션 프로그래밍 인터페이스(API), 로드 밸런서와 같이 외부 인터넷에 노출되는 엔드포인트를 IT 환경에 추가하며, 이로 인해 공격 표면이 크게 확대됩니다. 공격 표면이 커질수록 보안 문제와 데이터 침해가 발생할 가능성도 증가합니다. IBM의 2025 데이터 유출 비용(CODB) 보고서에 따르면 전체 데이터 침해의 30%는 여러 환경에 분산된 데이터와 관련이 있습니다.

직원과 부서는 승인 없이 자체적으로 클라우드 툴을 생성하는 경우가 많으며, 이는 명확한 소유권 체계나 관리 방식 없이 서비스가 무분별하게 증가하는 결과로 이어질 수 있습니다. 이러한 현상은 "클라우드 스프롤"이라고 하며, 클라우드, 데이터 센터 및 지역 전반에 걸쳐 존재하는 모든 자산, 워크로드, 데이터 흐름 및 ID를 팀이 완전히 파악하기 어렵게 만듭니다. 그 결과 클라우드 시스템에서 어떤 일이 발생하고 있는지에 대한 가시성을 유지하고 클라우드 지출을 관리하기가 어려워집니다.

전체 기업의 거의 절반(44%)은 클라우드 지출에 대해 제한적인 가시성만 확보하고 있습니다. 무분별하게 확장된 클라우드 환경에서 증가하는 관리되지 않는 데이터 소스(섀도 데이터)는 사이버 범죄자에게 매력적인 표적이 되므로, 클라우드 스프롤은 상당한 데이터 보안 위험과 취약점을 초래할 수도 있습니다.

또한 클라우드 환경에서는 데이터가 분산된 플랫폼과 서비스를 오가야 하므로, 모든 구성 요소에 적절한 암호화 프로토콜과 액세스 제어를 적용하기가 어려울 수 있습니다.

클라우드 거버넌스 이니셔티브는 기업이 클라우드 정책과 모범 사례를 위한 단일 정보 기준을 구축할 수 있도록 지원하며, 이를 통해 보다 명확한 데이터 기반 의사 결정이 가능해집니다. 팀은 모든 클라우드 환경 전반에 걸쳐 일관된 가드레일과 보안 제어를 설정할 수 있습니다. 동일한 규칙이 모든 클라우드 리소스에 적용되며, IT 환경 전반의 보안 상태도 강화됩니다.

거버넌스는 환경 생성 방식, 소유권 및 변경 방식을 표준화할 수 있도록 지원하며, 이를 통해 서로 다른 팀도 승인된 클라우드 리소스를 안전하고 쉽게 사용할 수 있게 됩니다. 강력한 거버넌스 모델은 클라우드 의사 결정과 관련된 역할과 책임도 명확하게 정의합니다. 클라우드 워크로드에서 문제가 발생하면 누구나 어떤 사용자가 해당 문제를 해결할 책임이 있는지 알 수 있습니다. 이처럼 표준화 수준이 높아지고 역할이 명확해지면 부서 전반의 운영 효율성 향상에도 도움이 됩니다. 

클라우드 거버넌스는 클라우드 사용에 대한 중앙 집중식 모니터링과 보고를 지원하며, 이를 통해 사용자는 클라우드 환경에 대한 더 높은 가시성을 확보할 수 있습니다. 이러한 기능은 기업이 클라우드 지출을 추적하고, 특정 사용자 또는 작업에 비용을 연결하며, 시간이 지남에 따라 클라우드 예산을 최적화할 수 있도록 지원합니다.

또한 클라우드 거버넌스 프레임워크는 단순히 아키텍처에 고급 기술을 추가하는 데 그치지 않고, 클라우드 투자가 측정 가능한 가치를 제공하도록 조직을 지원할 수 있습니다.

새롭고 부상하는 기술을 IT 환경에 도입하면 상당한 이점이 있지만, 이러한 기술은 반드시 명확한 목적에 부합해야 합니다. 우수한 거버넌스는 팀이 클라우드 결정을 비즈니스 성과와 직접 연결하고, 클라우드 서비스를 확장하기 전에 새로운 투자에 대한 가치 제안을 명확히 설명하도록 요구하며, 이는 비용 최적화를 촉진합니다.

조직은 클라우드 거버넌스 프레임워크를 구현하기 위해 클라우드 거버넌스 솔루션을 사용하는 경우가 많습니다. 이러한 솔루션은 거버넌스 운영 방식과 정책 시행을 자동화하는 다양한 고급 클라우드 관리 툴로 구성됩니다. 클라우드 거버넌스 솔루션의 폭넓은 기능은 클라우드 거버넌스의 복잡성을 줄이는 데 도움을 주며, 이를 통해 기업은 IT 에코시스템 전반에서 정책 시행을 간소화할 수 있습니다.

효과적인 클라우드 거버넌스 프레임워크는 공통된 원칙을 기반으로 구축됩니다.

클라우드 거버넌스 프레임워크는 기업이 클라우드 서비스 사용과 관련된 엄격한 정책을 수립하고 시행할 수 있도록 지원하며, 이를 통해 복잡하고 동적으로 변화하는 클라우드 환경을 보다 쉽게 관리할 수 있습니다.

클라우드 거버넌스는 하나의 관리 체계로서 여러 유형의 IT 관리를 결합해 클라우드 서비스를 엔드 투 엔드로 보호하기 위한 포괄적인 프레임워크를 제공합니다. 

클라우드 거버넌스의 데이터 관리 구성 요소는 클라우드에서 데이터를 분류, 저장, 보호, 보존 및 삭제하는 방식을 정의합니다.

방대한 양의 데이터가 클라우드에 저장되고 있습니다. 현재 기업 데이터의 절반 이상(51%)이 퍼블릭 클라우드에 저장되어 있습니다.

클라우드 플랫폼은 이처럼 대규모로 데이터를 수집하고 분석하는 작업을 더 쉽게 만들어 줍니다. 동시에 클라우드 환경에서 빅 데이터 워크플로와 데이터베이스가 운영되면서 데이터 관리는 클라우드 거버넌스에서 더욱 중요한 요소가 되고 있습니다.

데이터 관리는 일반적으로 "공개", "내부", "기밀" 및 "고도 기밀"과 같은 범주를 사용하는 데이터 분류 체계에서 시작됩니다. 각 분류에는 적절한 암호화 프로토콜, 액세스 제한, 데이터 위치 제약 및 백업 정책이 연결됩니다.

데이터 관리 정책은 데이터 수명 주기 관리도 다룹니다. 데이터 수명 주기 관리는 데이터를 언제 아카이브해야 하는지, 법적 또는 비즈니스상의 이유로 얼마나 오래 보관해야 하는지 및 데이터를 안전하게 폐기하는 방법을 정의합니다. 또한 데이터 주권(데이터를 국가 및 지역별로 어떻게 처리하거나 저장할 수 있는지를 규정하는 법률), 국가 간 데이터 전송 및 데이터 개인정보 보호와 관련된 요구 사항도 정의하며, 특히 개인 식별 정보가 포함된 경우 더욱 중요합니다.

운영 관리는 다음과 같은 일상적인 클라우드 운영 방식을 정의합니다.

• 프로비저닝: 가상 머신, 데이터베이스, 계정, Kubernetes 클러스터 및 기타 시스템과 같은 클라우드 리소스를 생성, 수정 및 종료하는 통제된 프로세스입니다.

• 변경 관리: 코드 및 인프라 배포와 같은 프로덕션 환경 변경 사항을 어떻게 제안, 검토, 승인, 테스트 및 최종 배포할 것인지를 정의합니다. 변경 관리 방식은 배포 속도를 유지하거나 높이면서도 위험을 줄일 수 있도록 팀을 지원합니다.

• 배포 방식: 새로운 버전의 애플리케이션과 서비스를 클라우드 환경에 배포하는 방법을 정의합니다.

• 모니터링 및 알림 방식: 어떤 지표와 데이터를 모니터링해야 하는지 정의하고, 팀이 문제를 조기에 발견하고 신속히 대응할 수 있도록 알림 기준을 설정합니다.

• 인시던트 관리: 데이터 침해 및 사이버 공격을 포함해 계획되지 않은 서비스 중단 또는 성능 저하 상황을 처리하는 프로세스입니다. 인시던트 관리는 어떤 상황을 인시던트로 간주할 것인지, 인시던트를 어떻게 분류, 탐지 및 기록할 것인지 및 각 인시던트를 누가 처리할 책임이 있는지를 정의합니다.

• 용량 계획은 클라우드 서비스가 과도한 프로비저닝 없이도 수요를 충족할 수 있도록 충분한 리소스(컴퓨팅, 스토리지, 네트워크 대역폭)를 확보하도록 지원합니다. 용량 계획 기능은 리소스를 확장하기 위한 임계값과 트리거를 정의합니다. 또한 필요에 따라 오토스케일링 기능을 사용하고 사용량 추세를 모니터링해 팀이 향후 리소스 할당 요구 사항을 예측할 수 있도록 지원합니다.

운영 관리는 클라우드 서비스의 성능 목표를 정의하는 서비스 수준 목표(SLO) 및 서비스 수준 계약(SLA)도 수립합니다.

클라우드 관리의 핵심 구성 요소인 보안 및 컴플라이언스 관리는 모든 클라우드 워크로드가 보호되고, 보안 정책이 시행되며, 규제 요구 사항이 충족되도록 지원합니다.

실제로 이는 "개인 데이터를 보호해야 한다"와 같은 상위 수준의 의무를 다중 인증(MFA)과 같은 구체적인 제어 방식으로 전환하는 것을 의미합니다. 또한 이는 모든 클라우드 환경 전반에 걸쳐 제어를 일관되게 적용하는 것도 포함합니다.

보안 및 컴플라이언스 관리 방식은 ID 및 액세스 관리(IAM) 시스템에 크게 의존합니다. IAM 시스템은 각 구성 요소를 누가 조회, 수정 또는 배포할 수 있는지를 정의하는 역할 기반 액세스 제어(RBAC)와 같은 세분화된 액세스 정책을 시행하는 데 도움을 줍니다.

클라우드 보안 관리에는 방화벽 및 네트워크 세분화 방식과 같은 네트워크 보안, 보안 정보 및 이벤트 관리 소프트웨어와 같은 인시던트 대응 툴 및 운영 방식, 증거 수집 프로토콜도 포함됩니다.

클라우드 비용 관리는 클라우드 지출이 명확한 목적을 가지고 이루어지며, 비용 효율적이고 비즈니스 목표와 연결되도록 보장합니다.

전 세계의 경영진 및 기술 전문가 중 거의 85%는 클라우드 지출을 가장 큰 과제로 꼽고 있습니다. 새로운 인스턴스와 서비스를 매우 쉽게 생성할 수 있기 때문에 클라우드 지출은 빠르게 통제 불가능한 수준으로 증가할 수 있습니다. 대부분의 기업(76%)은 매월 클라우드 서비스에 500만 달러 이상을 지출하고 있습니다.

비용 관리 방식은 기술적 의사 결정에 재무적 기준을 적용함으로써 팀이 클라우드 서비스를 선택할 때 항상 예산과 ROI를 고려하도록 만듭니다.

재무 관리에는 예산 수립 프로세스, 차지백 또는 쇼백 모델 및 비용 할당 메커니즘(예: 태그를 사용해 지출을 특정 비즈니스 운영 또는 부서에 연결하는 방식)을 정의하는 작업이 포함됩니다. 쇼백 모델은 팀에 직접 비용을 청구하지 않고 클라우드 사용 비용을 보여주며, 차지백 모델은 클라우드 서비스 사용 비용을 팀에 직접 청구합니다.

클라우드 비용 관리의 주요 목표에는 클라우드 리소스를 적정 규모로 조정하고 낭비되는 리소스 사용을 제거하는 것이 포함되며, 이러한 낭비는 전체 클라우드 지출의 29%를 차지합니다.

위험 관리는 기업이 벤더 종속성(기업이 상당한 비용, 노력 또는 운영 중단 없이 클라우드 공급자를 변경하기 어렵게 만드는 문제)과 같은 클라우드 특화 위험을 식별하고 평가할 수 있도록 지원합니다. 이는 어떤 문제가 발생할 수 있는지, 그 영향이 얼마나 큰지 및 발생 가능성이 얼마나 높은지를 이해하는 과정입니다. 조직은 이러한 정보를 바탕으로 위험을 회피, 완화, 분산 또는 명시적으로 수용하기 위한 제어를 마련할 수 있습니다.

위험 관리는 예방적, 탐지적 및 시정적 제어의 설계에도 영향을 미칩니다.

예를 들어 클라우드 보안팀이 민감한 고객 데이터를 포함하고 있지만 지나치게 허용적인 버킷 정책(데이터 유출로 이어질 수 있는 정책)이 적용된 객체 스토리지 서비스를 발견했다고 가정해 보겠습니다.

이 경우 팀은 프로덕션 계정에서 버킷을 생성하려는 모든 시도에 대해 "퍼블릭 액세스 차단" 설정이 반드시 활성화되어 있어야 한다는 전사적 규칙(예방적 제어)을 만들 수 있습니다. 사용자의 배포 템플릿이 버킷을 공개 상태로 설정하려고 하면 배포는 실패하고 오류 메시지가 반환됩니다.

또한 팀은 "public"으로 표시된 버킷 또는 "민감 데이터" 태그가 포함된 객체를 확인하는 스크립트를 사용해 지속적인 구성 스캐닝(탐지적 제어)을 구현할 수 있습니다. 스캔 과정에서 해당 기준에 부합하는 버킷이 발견되면 보안팀과 해당 서비스를 담당하는 팀에 알림이 전송됩니다.

보안팀은 자동 수정 기능(시정적 제어)을 구현할 수도 있습니다. 모니터링 시스템이 민감한 데이터가 포함된 공개 버킷을 탐지하면 시스템은 자동으로 해당 버킷의 퍼블릭 액세스를 제거하고 기본 암호화를 활성화하며 IT 서비스 관리(ITSM) 시스템에 인시던트 티켓을 생성합니다.

글로벌 헬스케어 기업이 확장성과 가용성을 높이기 위해 전자 건강 기록(EHR) 시스템을 퍼블릭 클라우드로 마이그레이션한다고 가정해 보겠습니다. 이 기업은 가상 머신(VM), 데이터베이스, 객체 스토리지 및 서버리스 함수를 포함한 여러 클라우드 계정과 서비스를 사용하고 있습니다. 이 환경을 위한 클라우드 거버넌스 프레임워크를 구축하는 과정에는 다음과 같은 단계가 포함될 수 있습니다.

이 기업은 보안, 컴플라이언스, IT, DevOps 및 재무 부서 인력으로 구성된 클라우드 거버넌스 위원회를 구성합니다. 거버넌스 위원회는 다음과 같은 명확한 규칙을 수립합니다.

• 프로덕션 환경에는 DevOps 팀만 배포할 수 있습니다.
  
  
• 모든 환자 데이터는 전송 중과 저장 중 모두 암호화되어야 합니다.
  
  
• 환자 데이터는 미국 또는 캐나다 내에 저장되어야 합니다.
  
  
• 모든 리소스에는 소유자, 비용 센터, 환경 및 데이터 분류 태그가 지정되어야 합니다.

이러한 규칙은 문서화된 정책으로 정의됩니다. 예를 들어 "보호 대상 건강 정보(PHI)는 암호화되어야 하며 공개적으로 액세스할 수 없어야 한다" 및 "Clinical Apps 그룹만 프로덕션 EHR 데이터베이스에 액세스할 수 있다"와 같은 정책이 포함됩니다.

위원회는 클라우드 환경을 어떻게 구성할지 결정합니다. 그리고 개발, 테스트, 스테이징 및 프로덕션용 계정을 각각 별도로 생성합니다. 민감한 EHR 워크로드는 전용 프로덕션 계정에서 실행되며, 툴과 로그는 공유 보안 계정에 저장됩니다.

그다음으로 RBAC 정책을 정의합니다. 개발자는 개발 및 테스트 환경에서 작업할 수 있습니다. 운영팀은 스테이징 및 프로덕션 환경을 관리할 수 있습니다. 보안팀은 전체 환경에 대한 로그와 거버넌스 정책을 조회할 수 있습니다. 이러한 역할은 HR 그룹과 연결되어 액세스 제어가 각 사용자의 업무 역할과 일치하도록 설정됩니다.

이 기업은 클라우드 서비스를 싱글사인온(SSO) 시스템과 연결합니다. 사용자는 회사 계정으로 로그인하며, 소속 업무 그룹에 따라 프로덕션 관리자, 읽기 전용 뷰어, 보안 감사자 및 재무 분석가와 같은 클라우드 역할이 부여됩니다.

위원회는 민감한 역할에 대해 MFA를 필수로 적용하기로 결정합니다. 또한 가장 위험도가 높은 역할의 경우 필요한 시점에만 짧은 기간 동안 액세스를 부여하는 "적시 액세스" 방식을 적용하며, 이후 액세스 권한은 자동으로 제거됩니다.

예를 들어 새로운 DevOps 엔지니어가 팀에 합류하면 해당 사용자는 적절한 그룹에 배정되며, 개발 및 테스트 환경에 필요한 클라우드 권한은 자동으로 부여되지만 프로덕션 권한은 부여되지 않습니다.

이 기업은 정책을 policy-as-code 규칙으로 전환하며, 이를 통해 위험한 작업이 자동으로 차단됩니다. policy as code를 사용하면 보안, 컴플라이언스 및 운영 정책이 소프트웨어 코드에 직접 작성되며, 거버넌스 툴 또는 클라우드 플랫폼에 의해 자동으로 시행됩니다.

예를 들어 policy-as-code 규칙은 PHI 워크로드가 미국 또는 캐나다 외 지역에 배포되지 못하도록 차단하거나 데이터베이스에 백업이 활성화되어 있도록 요구할 수 있습니다.

이러한 규칙은 두 가지 방식으로 시행됩니다. 클라우드 플랫폼 수준에서는 지속적 통합/지속적 제공(CI/CD) 파이프라인이 배포 전에 클라우드 인프라 템플릿을 검사합니다. 또한 누군가 콘솔을 통해 수동으로 리소스를 생성하려고 하더라도 규정을 준수하지 않는 변경을 차단하는 전사적 정책으로 시행됩니다.

이 기업은 건강 데이터를 처리하기 때문에 데이터 거버넌스를 특히 엄격하게 적용합니다. 모든 데이터 저장소에는 데이터 분류가 지정되며, 모든 스토리지와 데이터베이스는 기본적으로 암호화되고(중앙에서 관리되는 암호화 키 사용), 개발자는 암호화를 비활성화할 수 없습니다.

PHI 워크로드는 인터넷에 직접 액세스할 수 없는 프라이빗 네트워크에서 실행되며, 승인된 게이트웨이 또는 로드 밸런서를 통해서만 서비스가 외부에 노출됩니다. 또한 이 기업은 중앙 계정에서 상세 로그를 수집하고 자동 점검을 수행해 조직이 HIPAA 및 기타 컴플라이언스 표준을 준수하고 있음을 감사 담당자에게 입증합니다.

모든 클라우드 리소스에는 비용 센터와 소유자 태그가 지정되므로 비용을 특정 팀이나 제품과 연결해 추적할 수 있습니다.

하이브리드 클라우드 및 멀티클라우드 환경에서 재무 책임 운영 방식을 시행하는 FinOps 툴은 대시보드를 사용해 앱, 환경 및 지역별 클라우드 지출을 표시하며, 사업 부문별 예산과 알림도 함께 제공합니다. 새로운 분석 워크로드의 비용이 갑자기 증가하면 대시보드는 해당 워크로드를 예산 초과 상태로 표시합니다.

연구팀은 비용이 많이 발생하는 워크로드에 대한 자동 알림을 받게 되며, 이를 통해 클라우드 사용 현황을 검토하게 됩니다. 검토 과정에서 해당 워크로드가 실제 운영 데이터를 사용하는 것이 아니라 EHR 테스트를 위한 익명화된 데이터를 사용하고 있다는 사실을 발견합니다. 테스트는 중요한 작업이므로 팀은 전체 워크로드를 중단하는 대신 비프로덕션 워크로드가 하루 동안 사용할 수 있는 데이터 양에 엄격한 제한을 설정하기로 결정합니다.

이 기업은 새로운 클라우드 서비스, 위협 또는 규제가 등장할 때마다 클라우드 거버넌스 프레임워크와 관련 정책을 지속적으로 검토합니다.

상황이 변경되면 거버넌스 위원회는 이에 맞춰 프레임워크를 조정합니다. 또한 개발자가 거버넌스 규칙 내에서 작업할 수 있도록 리소스 태그 지정 방법, 환경 요청 절차 및 PHI 처리 방법 등을 포함한 교육과 문서를 제공합니다. 

인공지능(AI)은 핵심 기능을 자동화하고 클라우드 리소스, 워크로드 및 활동을 실시간으로 분석할 수 있도록 지원함으로써 클라우드 거버넌스를 변화시키고 있습니다. AI는 클라우드 환경에서 정책을 정의, 시행, 모니터링 및 최적화하는 방식 전반에 활용되고 있으며, 동시에 기업이 기존 클라우드 제어 위에 새로운 거버넌스 요구 사항을 추가로 구현하도록 만들고 있습니다.

AI 툴은 클라우드 리소스를 지속적으로 탐지하고 분류하며, 민감한 데이터를 식별하고, 약하거나 과도하게 제한적인 제어에 대한 인사이트를 제공하며, 서비스 계보(클라우드 서비스가 시간에 따라 어떻게 변화해 왔는지를 보여주는 기록)를 유지할 수 있습니다.

AI 기반 클라우드 거버넌스는 클라우드 확장성도 향상시키며, 이를 통해 기업은 거버넌스 인력을 거의 늘리지 않거나 전혀 늘리지 않고도 수천 개 규모의 클라우드 리소스를 수십만 개 수준까지 확장할 수 있습니다.

확장에 대응하기 위해 AI는 거버넌스 워크로드를 재구성합니다. AI 및 머신 러닝(ML) 알고리즘은 리소스 탐지, 문제 분류 및 기본 수정 작업(예: 리소스 태그 지정 또는 예산 한도 적용)을 처리합니다. 사람은 가드레일 설계, 예외 상황 및 엣지 케이스 처리 및 위험 간 트레이드오프 검토에 집중합니다.

많은 클라우드 공급자와 전문 플랫폼은 클라우드 스택의 일부로 생성형 AI 전용 거버넌스 제어도 제공하며, 이를 통해 팀은 지능형 클라우드 거버넌스를 구현할 수 있습니다.

지능형 거버넌스 환경에서는 정책이 클라우드 플랫폼 내에 코드화되고 시행되며, 그 위에 생성형 AI 레이어가 추가됩니다. 생성형 AI 기반 거버넌스 툴은 고급 분석을 수행해 자동화된 위험 점수 산정, 이상 탐지 및 데이터 요약 기능을 제공할 수 있습니다. 일부 클라우드 벤더는 생성형 AI 엔드포인트가 퍼블릭 인터넷에 노출되지 않도록 지원하기 위해 프라이빗 엔드포인트와 제로 트러스트 데이터 라우팅도 제공합니다.

AI 기술은 강력한 거버넌스 지원 수단이 될 수 있지만, 동시에 AI 자체도 거버넌스의 대상이 되어야 합니다. 

AI는 모델 드리프트(AI 또는 ML 모델이 학습한 패턴이 더 이상 현실과 일치하지 않게 되면서 시간이 지남에 따라 성능이 저하되는 현상) 및 사이버 공격과 같은 문제에 취약합니다.

클라우드 리소스와 마찬가지로 팀은 AI 서비스를 빠르게 생성할 수 있으며, 이 과정에서 공식적인 보안 제어 및 정책의 적용을 받지 않는 섀도 AI 툴이 의도치 않게 만들어질 수 있습니다. 2025년 데이터 침해 비용 보고서에 따르면 섀도 AI와 관련된 보안 인시던트는 전체 데이터 침해의 20%를 차지했습니다.

또한 많은 AI 툴이 클라우드에서 구축되고 운영되기 때문에 AI 거버넌스 요구 사항은 사실상 클라우드 거버넌스 요구 사항이 되었습니다. 따라서 기업은 "기존 정책 위에 AI를 추가하는" 접근 방식 대신 엄격한 테스트와 명확하게 정의된 에스컬레이션 경로를 포함한 포괄적인 AI 인식형 클라우드 거버넌스로 이동하고 있습니다.

클라우드 환경에서 효과적인 AI 거버넌스는 일반적으로 다음 사항을 정의합니다.

• 모든 AI 워크로드에 대한 필수 등록 요구 사항.
  
  
• 설명 가능성, 편향 테스트 및 견고성에 대한 요구 사항.
  
  
• 생성형 AI 및 타사 모델에 대한 허용 가능한 사용 요구 사항.
  
  
• human-in-the-loop 사례에 대한 규칙. 여기에는 AI가 언제 자율적으로 동작할 수 있는지 또는 동작할 수 없는지가 정의됩니다(예를 들어 AI는 로그인은 자동 차단할 수 있지만, 고액 거래 차단의 경우에는 반드시 사람의 승인을 받아야 합니다).
  
  
• 자율적으로 수행된 AI 작업에 대한 명확한 책임 운영 방식(AI가 사용자를 차단한 경우 거버넌스는 누가 책임을 지는지 정의해야 함).

이러한 운영 방식은 조직이 클라우드에서 AI 사용의 이점을 극대화하면서도 충분한 AI 제어를 적용할 수 있도록 지원합니다.