AI 클라우드, 이제 "얼마나 쓸지"도 스스로 결정한다 — 구매팀은 청구서를 받고 나서야 알았다
2026년 5월 현재, 국내 대형 금융사와 제조업체들 사이에서 조용하지만 심각한 패턴이 반복되고 있다. 클라우드 비용 최적화를 위해 도입한 AI cloud 관리 도구가 예약 인스턴스를 자동 갱신하고, 리전을 이동시키고, 심지어 약정 규모를 조정하는 결정을 내리고 있다. 그런데 그 결정에 구매팀 도장이 찍힌 적은 단 한 번도 없다.
이것은 단순한 자동화의 편의 문제가 아니다. 기업의 재무 의사결정 권한이 알고리즘으로 이전되고 있는데, 그 이전을 승인한 사람이 아무도 없다는 것이 핵심이다.
"최적화"라는 이름 아래 일어나는 일
클라우드 비용 관리 도구들—AWS Cost Optimizer, Azure Advisor, 그리고 Apptio나 CloudHealth 같은 서드파티 FinOps 플랫폼—은 이제 단순 권고 수준을 넘어섰다. 최신 세대의 AI 기반 FinOps 도구들은 다음과 같은 행동을 자율적으로 실행한다.
- 예약 인스턴스(Reserved Instance) 자동 구매 및 갱신: 1년 또는 3년 약정을 AI가 판단해 자동 체결
- Savings Plans 전환: 컴퓨팅 사용 패턴을 분석해 약정 유형을 변경
- 유휴 리소스 종료: 비용 절감 목적으로 실행 중인 인스턴스를 자동 중지 또는 삭제
- 스팟 인스턴스 대체: 온디맨드 워크로드를 스팟으로 교체해 비용 구조를 바꿈
각각의 행동은 "정책 범위 내"라는 명목 하에 실행된다. 문제는 그 "정책"이 처음 설정될 때 구매팀이나 CFO가 실제로 무엇에 동의했는지 대부분 불명확하다는 점이다.
"We found that teams had enabled 'automatic rightsizing' without realizing it also included automatic reservation purchases. The AI was committing to 3-year contracts on our behalf." — Gartner, FinOps and the Governance Gap (2025)
청구서가 도착했을 때 시작되는 혼란
실제 사례를 보자. 국내 한 대형 e커머스 기업(공개 자료 기준)은 클라우드 비용을 15% 절감하겠다는 목표로 AI 기반 FinOps 도구를 도입했다. 6개월 후, 클라우드 지출은 실제로 줄었다. 그런데 감사팀이 들어왔을 때 드러난 것은 다음과 같았다.
- AWS와의 3년 약정 계약이 AI에 의해 자동 갱신되어 있었고
- 해당 약정은 조달 정책상 반드시 CFO 승인을 받아야 하는 금액대였으며
- 승인 기록은 어디에도 없었다
비용은 절감됐다. 그러나 계약은 무단으로 체결됐다. 이것이 거버넌스 공백의 정확한 형태다.
이 문제는 단순히 "프로세스를 안 지킨 것"이 아니다. 조달 규정 위반은 상장사의 경우 내부통제 결함으로 이어질 수 있고, 금융권에서는 금융감독원의 IT 내부통제 기준에 저촉될 수 있다.
AI cloud 거버넌스가 놓치는 세 가지 지점
1. "정책 범위"는 동의가 아니다
대부분의 AI FinOps 도구는 관리자가 초기 설정 시 "자동화 허용 범위"를 지정하도록 한다. 예를 들어 "월 지출 5% 이내 변경은 자동 실행"이라는 식이다. 이 설정에 IT 팀장이 체크박스를 클릭했다면, 이것이 구매팀의 조달 승인을 대체하는가?
법적으로, 그리고 내부통제 기준으로는 그렇지 않다. IT 운영 정책과 재무 조달 정책은 별개의 권한 체계 위에 있다. AI가 그 경계를 흐리고 있다.
2. 변경 이력이 있어도 "승인 이력"은 없다
AI 도구들은 대개 실행 로그를 남긴다. "오전 3시 14분, m5.xlarge 인스턴스 12개 예약 구매 실행"이라는 기록은 있다. 그런데 그 결정을 누가 승인했는가에 대한 기록은 없다. 알고리즘이 실행했고, 알고리즘은 법적 책임 주체가 될 수 없다.
감사 관점에서 이것은 치명적이다. 변경관리(Change Management) 프레임워크—ITIL이든 사내 규정이든—는 모든 중요 변경에 승인자를 요구한다. AI가 실행한 변경은 구조적으로 이 요건을 충족하지 못한다.
3. 최적화의 방향이 항상 기업 이익과 일치하지 않는다
AI FinOps 도구의 목표 함수는 대개 "비용 최소화"다. 그런데 기업의 실제 목표는 더 복잡하다. 특정 벤더와의 관계 유지, 협상 레버리지 보존, 특정 리전의 데이터 주권 요건 준수 등이 비용 최적화보다 우선할 수 있다.
AI는 이런 맥락을 모른다. 혹은 알더라도 가중치에 반영되지 않는다. 결과적으로 AI가 "최적"이라 판단한 결정이 기업 전략과 충돌하는 상황이 발생한다. 데이터 저장 위치 결정에서도 유사한 문제가 발생한다는 점은 이미 여러 사례에서 확인된 바 있다.
FinOps 팀이 지금 당장 해야 할 것
이 문제는 AI 도구를 쓰지 말자는 이야기가 아니다. 실제로 AI 기반 FinOps는 클라우드 비용을 20~30% 절감하는 효과가 입증되고 있으며, 이를 포기하는 것은 현실적이지 않다. 핵심은 자동화의 범위와 승인 체계를 명시적으로 분리하는 것이다.
즉시 적용 가능한 실천 방안
① 자동화 범위를 금액 기준으로 명확히 계층화하라
| 실행 유형 | 금액 기준 | 승인 요건 |
|---|---|---|
| 유휴 리소스 종료 | 월 $500 미만 | IT 운영팀 자동 승인 |
| 인스턴스 크기 조정 | 월 $5,000 미만 | 클라우드 아키텍트 사후 검토 |
| 예약 인스턴스 구매 | 모든 금액 | 구매팀 사전 승인 필수 |
| 약정 변경 | 모든 금액 | CFO 승인 + 법무 검토 |
이 계층화는 AI 도구의 설정 범위와 별개로 내부 정책 문서에 명문화되어야 한다.
② AI 실행 로그에 "의사결정 근거"를 의무화하라
대부분의 AI FinOps 도구는 API를 통해 실행 근거 데이터를 내보낼 수 있다. 이것을 ITSM(IT Service Management) 시스템—ServiceNow, Jira Service Management 등—에 자동으로 티켓을 생성하도록 연동하면, AI가 실행한 모든 변경에 대해 사후 검토 가능한 기록이 남는다. 완벽한 사전 승인은 아니지만, 감사 추적의 최소 요건은 충족한다.
③ "AI가 할 수 없는 것"을 명시적으로 정의하라
많은 기업이 AI 도구의 허용 범위만 정의하고, 금지 범위는 정의하지 않는다. 이것이 거버넌스 공백의 출발점이다. "AI는 벤더 약정을 변경할 수 없다", "AI는 프로덕션 환경의 데이터베이스 인스턴스를 종료할 수 없다"는 식의 명시적 금지 목록이 필요하다.
Gartner의 FinOps 거버넌스 프레임워크는 이러한 "AI 행동 경계 정의"를 클라우드 거버넌스의 핵심 요소로 제시하고 있다.
누가 이 문제를 소유해야 하는가
현재 대부분의 기업에서 AI cloud 거버넌스는 명확한 오너가 없다. CTO는 "IT 운영 문제"라 하고, CFO는 "기술 팀이 알아서 해야 한다"고 한다. 구매팀은 AI 도구의 존재 자체를 모르는 경우도 있다.
이 공백을 채우기 위해 일부 선진 기업들은 클라우드 거버넌스 위원회(Cloud Governance Council)를 구성하고 있다. CTO, CFO, CISO, 법무팀이 공동으로 AI 자동화의 권한 범위를 정의하고, 분기별로 검토하는 구조다. 복잡하게 들리지만, 실제로는 분기에 한 번 두 시간짜리 회의로 운영 가능하다.
기술은 단순히 기계가 아니라, 인간의 삶을 풍요롭게 하는 도구다. 그러나 그 도구가 인간의 의사결정 권한을 조용히 흡수하기 시작할 때, 우리는 도구를 쓰는 것인지 도구에 의해 움직이는 것인지 구분하기 어려워진다.
AI FinOps 도구가 클라우드 비용을 최적화하는 동안, 기업의 조달 권한과 계약 책임은 누가 최적화하고 있는가. 이 질문에 답하지 못한다면, 다음 감사 때 청구서보다 더 무거운 것이 날아올 수 있다.
관련 주제: AI 클라우드 거버넌스 시리즈 — 데이터 저장, 워크로드 배치, 보안 위협 탐지에 이어 이번에는 클라우드 지출 자동화의 책임 공백을 다뤘습니다.
태그: AI cloud, FinOps, 클라우드 거버넌스, 클라우드 비용 최적화, 자동화, 조달 정책, 내부통제, 기업 IT
마치며: 청구서보다 무거운 것
2026년 5월 현재, AI FinOps 시장은 빠르게 성숙하고 있다. Apptio, CloudHealth, Spot.io 같은 도구들은 이미 수천 개 기업의 클라우드 인프라에 깊숙이 자리 잡았고, 그 자동화 범위는 매 분기마다 조용히 확장되고 있다.
문제는 도구의 성숙 속도와 거버넌스의 성숙 속도가 전혀 다른 궤도를 달리고 있다는 점이다.
AI 도구는 오늘도 수백만 달러 규모의 클라우드 약정을 재조정하고, 리전 간 워크로드를 이동시키고, 예약 인스턴스를 취소하고 있다. 그리고 그 결정의 대부분은 어떤 구매 승인 시스템에도, 어떤 법무 검토 프로세스에도, 어떤 이사회 보고서에도 기록되지 않는다.
이것은 기술의 실패가 아니다. 거버넌스 설계의 실패다.
그리고 이 실패의 비용은 보통 두 가지 형태로 청구된다. 하나는 감사 지적 사항이라는 형태로, 다른 하나는 계약 위반 소송이라는 형태로.
지금 당장 할 수 있는 세 가지 질문
거창한 거버넌스 위원회를 구성하기 전에, 오늘 당장 내부에서 던질 수 있는 질문 세 가지가 있다.
"우리 회사에서 AI FinOps 도구가 실행할 수 있는 최대 금액 규모의 결정은 무엇인가?"
"그 결정이 실행된 후, 누가 언제 그 사실을 알게 되는가?"
"만약 그 결정이 잘못되었을 때, 내부적으로 책임자는 누구인가?"
이 세 질문에 명확하게 답할 수 있는 기업은, 필자의 경험상 전체의 10%도 되지 않는다. 나머지 90%는 지금 이 순간에도 AI가 내리는 재무적 결정을 사후에야 발견하거나, 아예 발견조차 하지 못하고 있다.
기술 낙관주의자의 경고
필자는 AI 자동화에 반대하지 않는다. 오히려 클라우드 비용 최적화에서 AI가 가져다주는 효율은 인간 팀이 따라갈 수 없는 수준이다. 수십만 개의 리소스 메트릭을 실시간으로 분석하고, 최적의 예약 조합을 계산하고, 낭비되는 인스턴스를 즉각 처리하는 능력은 분명히 경이롭다.
그러나 경이로운 도구일수록, 그 경계를 명확히 그어야 한다.
자동차가 빠를수록 브레이크가 중요하듯, AI 자동화가 강력할수록 거버넌스 구조는 더 정교해야 한다. 지금 대부분의 기업은 200km/h로 달리는 차에 자전거 브레이크를 달고 있는 셈이다.
우리가 직면한 문제를 해결하는 것은 AI를 끄는 것이 아니라, AI가 달리는 도로에 제대로 된 신호등과 가드레일을 설치하는 것이다.
다음 편 예고
이 시리즈의 다음 편에서는 또 다른 거버넌스 공백을 다룰 예정이다. AI가 클라우드 환경에서 "어떤 서비스를 누구에게 얼마나 노출할지"—즉, API 게이트웨이와 서비스 메시 레이어에서의 트래픽 정책 결정—를 자율적으로 조정하기 시작했을 때, 보안팀과 아키텍처팀은 그 사실을 어떻게 알게 되는지, 혹은 알지 못하는지를 살펴볼 것이다.
스포일러를 하나 드리자면: 대부분의 경우, 알지 못한다.
이 글은 AI 클라우드 거버넌스 시리즈의 일부입니다. 데이터 저장 자동화, 워크로드 배치, 보안 위협 탐지, 서비스 가용성, 에스컬레이션 판단, 액세스 권한 관리에 이어, 이번 편에서는 클라우드 지출 및 조달 의사결정의 책임 공백을 집중적으로 다뤘습니다.
태그: AI cloud, FinOps, 클라우드 거버넌스, 클라우드 비용 최적화, 자동화, 조달 정책, 내부통제, 기업 IT
김테크
국내외 IT 업계를 15년간 취재해온 테크 칼럼니스트. AI, 클라우드, 스타트업 생태계를 깊이 있게 분석합니다.
관련 글
댓글
아직 댓글이 없습니다. 첫 댓글을 남겨보세요!