AI 클라우드 환경에서 조용히, 그러나 매우 빠르게 진행되고 있는 변화가 있다. 바로 비용 최적화(Cost Optimization)의 자율화다. 예전에는 클라우드 비용 절감이 곧 "인간 엔지니어가 분석 → 제안 → 승인 → 실행"이라는 4단계 프로세스를 의미했다. 그런데 지금, AI 클라우드 도구들은 그 4단계를 통째로 건너뛰고 있다.

서비스 생명주기 자동화, 트래픽 라우팅 자율화, IAM 권한 최적화, 패치 자동 적용, 로그 보존 정책 변경, 복구 자율 실행 — 이 모든 영역에서 이미 AI가 인간 승인 없이 실행하는 단계로 넘어갔다는 사실을 나는 이 시리즈를 통해 반복해서 지적해왔다. 그리고 이제 마지막으로 남은 퍼즐 조각이 있다. "돈을 어떻게 쓸지"를 AI가 스스로 결정하는 것이다. 이것이 왜 다른 자율화보다 더 위험한지, 지금부터 따져보자.

---

비용 최적화 자율화, 어디까지 왔나

AWS Cost Optimizer, Google Cloud Recommender, Azure Advisor — 이름은 모두 "조언자(Advisor/Recommender)"다. 하지만 실제로는 이미 조언을 넘어선 지 오래다.

2025년 하반기부터 AWS는 Cost Optimization Hub와 Compute Optimizer를 통해 Reserved Instance 전환, Savings Plans 자동 구매, 미사용 리소스 자동 종료를 "자동 적용(Auto-apply)" 모드로 제공하기 시작했다. Google Cloud의 Active Assist는 Recommender API를 통해 정책 기반 자동 적용을 지원하며, Azure의 Automanage는 VM 크기 조정과 스토리지 계층 이동을 자율적으로 실행할 수 있다.

문제는 이 기능들이 기본값(default)으로 활성화되거나, 활성화 여부를 운영팀이 인지하지 못한 채 켜져 있는 경우가 적지 않다는 점이다. 한 국내 핀테크 기업의 클라우드 아키텍트는 내게 이런 말을 했다.

"어느 날 아침에 출근했더니 운영 환경 EC2 인스턴스 유형이 바뀌어 있었어요. 누가 승인했는지 Jira에도, Confluence에도 없었고, CloudTrail 로그를 뒤져서야 Compute Optimizer의 자동 적용 이력을 찾았습니다."

이것이 단순한 해프닝처럼 들릴 수 있다. 하지만 이 변경이 SOC 2 감사 기간 중에 발생했다면? 그리고 그 인스턴스가 카드 결제 처리 서버였다면?

---

"비용 절감"이라는 이름의 거버넌스 구멍

비용 최적화 자율화가 다른 AI 클라우드 자율화보다 거버넌스 관점에서 더 위험한 이유는 세 가지다.

1. 변경 동기가 "보안"이 아닌 "절감"이라 승인 기준이 느슨하다

보안 패치나 IAM 권한 변경은 CISO나 보안팀의 승인 프로세스가 비교적 명확하게 설정되어 있다. 하지만 비용 절감 변경은 "돈을 아끼는 일"로 인식되어 변경 관리(Change Management) 프로세스를 우회하는 경향이 있다. "어차피 좋은 일 아닌가?"라는 심리가 거버넌스 허점을 만든다.

2. 비용 변경은 인프라 전체를 연쇄적으로 건드린다

Reserved Instance를 On-Demand로 전환하거나, 특정 리전의 워크로드를 다른 리전으로 이동하는 결정은 단순한 "비용 변경"이 아니다. 데이터 레지던시(Data Residency) 규정, 지연 시간(Latency) SLA, 재해복구(DR) 구성, 심지어 개인정보보호법상 국외 이전 요건까지 건드릴 수 있다. GDPR이나 국내 개인정보보호법 관점에서 보면, AI가 "비용이 더 저렴하다"는 이유로 데이터를 다른 리전으로 옮겼을 때 그것이 적법한 국외 이전인지 아닌지를 누가 판단하고 승인했는가?

3. 감사 증거가 "AI 추천 로그"로 대체된다

전통적인 변경 관리에서는 변경 티켓 → 승인자 서명 → 실행 기록 → 사후 검토라는 증거 계층이 존재한다. 하지만 AI 자율 비용 최적화에서는 이 계층이 "Recommender가 제안 → 자동 적용 정책이 실행"이라는 두 줄의 API 로그로 압축된다. SOC 2 Type II나 ISO 27001 감사에서 감사인이 "이 변경을 누가 왜 승인했습니까?"라고 물을 때, "AI가 권고해서 자동으로 됐습니다"는 답변은 감사 증거(Audit Evidence)로 인정받기 어렵다.

PCI DSS v4.0은 변경 관리 요건(Requirement 6.5)에서 모든 시스템 구성 변경에 대해 "승인된 변경 요청에 따라 수행"되었음을 문서화하도록 명시하고 있다. AI 자율 실행은 이 요건의 전제 자체를 흔든다.

---

실제로 어떤 일이 벌어지는가 — 세 가지 시나리오

시나리오 1: Savings Plans 자동 구매와 예산 통제 붕괴

AWS Savings Plans는 1년 또는 3년 약정으로 선불 결제하는 구조다. AI 도구가 "현재 사용 패턴 기반으로 3년 Compute Savings Plans 구매를 권고하며 자동 적용합니다"라고 실행했을 때, 이 결정은 단순한 인프라 변경이 아니라 수십만 달러 규모의 재무 약정이다. 재무팀의 CAPEX/OPEX 분류, 이사회 승인이 필요한 계약 한도, 예산 통제 정책 — 이 모든 것이 AI의 비용 최적화 판단 하나로 우회될 수 있다.

시나리오 2: 스팟 인스턴스 전환과 SLA 위반

AI 비용 최적화 도구는 종종 On-Demand 인스턴스를 Spot Instance로 전환하도록 권고한다. 비용은 최대 90%까지 절감된다. 하지만 Spot Instance는 언제든 AWS에 의해 2분 전 통보 후 회수될 수 있다. 만약 이 전환이 고객에게 99.9% 가용성을 약속한 서비스의 핵심 컴포넌트에 적용되었다면? SLA 위반은 AI가 한 것이지만, 책임은 기업이 진다.

시나리오 3: 스토리지 계층 자동 이동과 규제 데이터 접근성 훼손

S3 Intelligent-Tiering이나 Azure Archive Storage로의 자동 계층 이동은 비용 절감에 효과적이다. 그런데 금융감독원이나 공정거래위원회가 특정 데이터를 즉시 제출하도록 요구했을 때, 해당 데이터가 Archive 계층에 있어 복원에 12~48시간이 필요하다면? 규제 기관의 데이터 제출 기한을 위반하는 상황이 AI의 비용 최적화 결정으로부터 시작될 수 있다.

---

AI 클라우드 비용 자율화, 어떻게 통제할 것인가

이 문제를 해결하는 방법은 "AI를 쓰지 말자"가 아니다. AI 클라우드 도구의 비용 최적화 능력은 실질적으로 강력하며, 잘 통제된 환경에서는 분명한 가치가 있다. 핵심은 자율화의 범위를 명확히 정의하고, 거버넌스 계층을 재설계하는 것이다.

실무에서 바로 적용할 수 있는 5가지 통제 방안

① 비용 변경에도 변경 관리 티켓을 의무화하라

AI 도구의 자동 적용 기능을 비활성화하고, 모든 권고 사항이 Jira, ServiceNow 등의 변경 관리 시스템에 티켓으로 생성되도록 연동하라. AWS의 경우 Compute Optimizer의 권고를 EventBridge를 통해 변경 관리 워크플로우로 라우팅하는 것이 가능하다.

② 재무적 임계값 기반 승인 계층을 설정하라

월 $500 이하의 절감 효과 → 자동 적용 허용, $500~$5,000 → 팀장 승인 필요, $5,000 이상 → 재무팀 및 CTO 승인 필요. 이런 식으로 변경의 재무적 영향에 비례하는 승인 계층을 정의하면 AI 자율화의 효율성을 살리면서도 중요 결정에 인간 승인자를 유지할 수 있다.

③ 데이터 레지던시와 규제 데이터에 대한 비용 최적화 예외 정책을 명시하라

개인정보, 금융 거래 데이터, 의료 정보 등 규제 적용 대상 데이터가 저장된 리소스에는 AI 비용 최적화 자율 실행을 명시적으로 제외(exclude)하는 태그 정책을 적용하라. AWS의 경우 Cost Optimization Hub에서 특정 태그가 붙은 리소스를 권고 대상에서 제외하는 것이 가능하다.

④ AI 비용 결정의 감사 추적을 별도로 보관하라

AI 도구가 생성한 권고 내용, 적용 여부, 적용 시각, 적용 주체(자동/수동)를 CloudTrail이나 별도의 감사 로그 시스템에 보관하라. 이 로그 자체가 AI에 의해 수정되거나 삭제되지 않도록 불변 스토리지(WORM: Write Once Read Many)에 저장하는 것이 좋다.

⑤ 분기별 AI 비용 결정 리뷰를 정례화하라

AI가 지난 분기 동안 자율적으로 실행한 비용 변경 목록을 인간이 주기적으로 검토하는 프로세스를 만들어라. 이것은 단순한 사후 점검이 아니라, AI의 판단 패턴이 비즈니스 목표 및 규제 요건과 일치하는지 확인하는 거버넌스 행위다.

---

누가 책임지는가 — 기업이 알아야 할 법적 현실

국내외 규제 환경에서 "AI가 결정했다"는 항변은 현재로서는 법적 면책 사유가 되지 않는다. 개인정보보호법, 전자금융거래법, 정보통신망법 등 국내 규제는 물론이고, GDPR, PCI DSS, SOC 2 등 글로벌 컴플라이언스 프레임워크 모두 시스템을 운영하는 기업이 최종 책임자임을 명확히 한다.

흥미롭게도 이 문제는 클라우드 영역에만 국한되지 않는다. AI가 자율적으로 판단하고 실행하는 영역이 넓어질수록, "누가 이 결정을 승인했는가"라는 질문은 기업 거버넌스의 핵심 과제가 된다. 이는 제조업의 공급망 AI 자동화나 금융업의 알고리즘 트레이딩 거버넌스와 본질적으로 같은 문제 구조를 갖는다. AI가 판단하는 영역이 클라우드 인프라에서 사업 전반으로 확장될수록, 거버넌스 설계의 중요성은 더욱 커질 것이다.

---

마치며: "자동화"와 "자율화"는 다르다

AI 클라우드 도구들이 제공하는 비용 최적화 기능은 분명히 강력하고 유용하다. 하지만 "자동화(Automation)"와 "자율화(Autonomy)"는 구별되어야 한다. 자동화는 인간이 정의한 규칙을 기계가 빠르게 실행하는 것이다. 자율화는 기계가 스스로 판단하고 실행하는 것이다.

지금 AI 클라우드 도구들이 향하는 방향은 후자다. 그리고 그 방향이 잘못된 것은 아니다. 문제는 거버넌스 설계가 그 속도를 따라가지 못하고 있다는 점이다.

비용을 아끼는 것은 좋다. 하지만 그 절감이 감사 실패, SLA 위반, 규제 제재, 또는 예상치 못한 재무 약정이라는 비용으로 돌아온다면, 그것은 절감이 아니라 부채다. AI가 비용을 최적화하는 동안, 당신의 조직은 그 결정에 대한 책임을 최적화하고 있는가? 그 질문에 답할 수 없다면, 지금 당장 AI 클라우드 도구의 자동 적용 설정을 다시 들여다봐야 할 때다.