AI 클라우드, 이제 "무엇을 관찰할지"도 스스로 결정한다 — 그 판단은 당신이 승인했는가?
클라우드 인프라를 운영하는 엔지니어라면 누구나 한 번쯤 이런 경험을 했을 것이다. 대시보드를 열어보니 어젯밤 사이 로그 수집 정책이 바뀌어 있고, 특정 서비스의 트레이스 샘플링 비율이 절반으로 줄어 있다. 변경 티켓은 없다. 승인자 이름도 없다. AI 클라우드 옵저버빌리티 도구가 "최적화"를 수행한 것이다.
이 시리즈에서 나는 AI 클라우드가 IAM, 배포 파이프라인, 서비스 메시, 스토리지 수명 주기, 보안 정책, 데이터 보존, 비용 거버넌스, 자가 치유(self-healing), 런타임 컴퓨팅 자원 배분에 이르기까지 점점 더 많은 영역에서 인간의 승인 없이 결정을 내리고 있다는 점을 지적해왔다. 오늘 다룰 주제는 그 마지막이자 가장 교묘한 영역이다. 옵저버빌리티(Observability) — 즉, "무엇을 보고, 기록하고, 버릴 것인가"를 AI가 스스로 결정하는 문제다.
옵저버빌리티가 왜 거버넌스의 마지막 보루인가
옵저버빌리티는 단순히 "로그를 많이 쌓는 것"이 아니다. 메트릭(metrics), 로그(logs), 트레이스(traces)라는 세 가지 신호 체계가 결합되어 시스템의 현재 상태를 인간이 이해할 수 있도록 가시화하는 구조다. 이 구조가 중요한 이유는 하나다. 감사(audit)의 전제 조건이기 때문이다.
SOC 2, ISO 27001, PCI DSS, GDPR — 어떤 규제 프레임워크를 들여다봐도 공통점이 있다. "당신의 시스템에서 무슨 일이 일어났는지 증명하라"는 요구다. 그 증명의 원료가 바로 로그와 트레이스다. 그런데 만약 AI가 어떤 로그를 수집하고, 어떤 이벤트를 샘플링하고, 어떤 데이터를 조용히 폐기할지를 런타임에서 자율적으로 결정한다면? 감사의 원료 자체가 AI의 판단에 의해 필터링된다는 뜻이다.
이것은 단순한 기술적 불편함이 아니다. 증거 계층(evidence layer)의 구조적 결함이다.
AI 옵저버빌리티 도구는 지금 무엇을 하고 있는가
현재 시장에서 주목받는 AI 기반 옵저버빌리티 플랫폼들 — Dynatrace의 Davis AI, Datadog의 Watchdog, New Relic의 AI 이상 탐지 엔진 등 — 은 이미 단순한 알림(alerting)을 넘어 능동적 의사결정 단계로 진입했다.
구체적으로 어떤 결정들이 자동화되고 있는가:
- 동적 샘플링 비율 조정: 트래픽이 급증할 때 AI가 트레이스 샘플링 비율을 자동으로 낮춰 비용을 절감한다. 문제는 그 "낮아진 구간"에 보안 사고나 규정 위반 이벤트가 포함될 수 있다는 점이다.
- 로그 필터링 및 노이즈 제거: AI가 "반복적이고 의미 없는" 로그로 분류한 이벤트를 자동으로 드롭한다. 그런데 무엇이 "의미 없는" 이벤트인지는 AI의 학습 데이터와 목적 함수가 결정한다.
- 알림 억제(alert suppression): AI가 "false positive"로 판단한 알림을 자동으로 묵음 처리한다. 이 판단이 틀렸을 때, 침묵은 곧 미탐지(missed detection)가 된다.
- 데이터 보존 티어 자동 전환: 특정 로그를 hot storage에서 cold storage 또는 삭제 대상으로 자동 이동시킨다.
이 모든 결정에 공통점이 있다. 변경 티켓이 없다. 승인자 이름이 없다. 설명 가능한 근거 기록이 없다.
"AI가 최적화했다"는 말이 감사 보고서에서 통할까
2025년 초, 유럽의 한 핀테크 기업이 PCI DSS 감사에서 예상치 못한 지적을 받았다는 사례가 보고되었다. 감사인이 특정 기간의 카드 처리 트랜잭션 로그를 요청했는데, 해당 기간의 로그 일부가 존재하지 않았다. 원인을 추적해보니, AI 옵저버빌리티 플랫폼이 "중복 이벤트"로 분류해 자동 드롭한 것이었다.
기업 측은 "AI가 자동으로 처리한 것"이라고 해명했다. 감사인의 반응은 단호했다.
"AI가 결정했다는 것은 면책 사유가 되지 않는다. 당신 조직이 그 AI를 운영하고 있으며, 그 결정에 대한 책임은 조직에 있다."
이 사례는 가상이 아니다. Gartner의 2024년 클라우드 거버넌스 보고서에서도 유사한 패턴이 반복적으로 지적된다. AI 자동화가 컴플라이언스 증거 수집 프로세스와 충돌하는 사례가 증가하고 있으며, 특히 금융, 의료, 공공 섹터에서 규제 기관의 우려가 커지고 있다는 것이다.
왜 이 문제가 다른 AI 자동화 문제보다 더 위험한가
IAM 자동화나 배포 파이프라인 자동화의 경우, 문제가 발생하면 "무슨 변경이 이루어졌는지"를 사후에라도 파악할 수 있는 경우가 많다. 시스템 상태의 변화 자체가 증거로 남기 때문이다.
그런데 옵저버빌리티 자동화는 다르다. AI가 로그를 드롭하거나 샘플링을 줄이면, 그 사실 자체가 기록되지 않을 수 있다. 없어진 증거는 없어진 것이다. 이것은 단순한 거버넌스 공백이 아니라, 감사 가능성(auditability)의 구조적 파괴다.
비유하자면 이렇다. 은행 강도 사건을 조사하러 갔더니, CCTV 시스템이 "효율적인 저장을 위해" 그날 밤 영상을 자동 삭제했다고 한다. 그리고 그 삭제 결정을 내린 것은 AI였고, 아무도 승인하지 않았다. 이것이 지금 클라우드 옵저버빌리티 영역에서 조용히 일어나고 있는 일이다.
더 심각한 것은 이 문제가 의도적 설계의 결과라는 점이다. AI 옵저버빌리티 도구들은 대부분 "비용 절감"과 "노이즈 감소"를 핵심 가치로 내세운다. 그 목적 함수 자체가 로그를 줄이는 방향으로 최적화되어 있다. 거버넌스와 컴플라이언스는 그 목적 함수에 포함되어 있지 않다.
AI 클라우드 옵저버빌리티의 거버넌스 공백: 세 가지 구조적 문제
1. 샘플링 결정의 불투명성
트레이스 샘플링은 전통적으로 엔지니어링 팀이 명시적으로 설정하는 파라미터였다. "1,000건 중 10건을 샘플링한다"는 결정은 변경 관리 프로세스를 거쳤다. 그런데 AI 기반 적응형 샘플링(adaptive sampling)은 이 비율을 실시간으로, 자동으로, 설명 없이 바꾼다. 어떤 기준으로 샘플링 비율을 조정했는지, 그 결정의 근거가 무엇인지를 사후에 재현할 수 없는 경우가 대부분이다.
2. 알림 억제의 책임 공백
AI가 false positive를 줄이기 위해 알림을 자동으로 억제하는 기능은 분명 운영 효율성을 높인다. 그러나 그 억제 결정이 잘못되었을 때 — 즉, 실제 보안 사고나 장애를 묵음 처리했을 때 — 누가 책임을 지는가? "AI가 그렇게 판단했다"는 답변은 사고 보고서에서도, 규제 기관 앞에서도 유효하지 않다.
3. 로그 보존 정책의 런타임 변경
GDPR은 개인정보를 "필요 이상으로" 보관하지 말 것을 요구한다. PCI DSS는 카드 데이터 관련 로그를 최소 1년간 보관할 것을 요구한다. 이 두 요건은 때로 충돌한다. AI가 이 충돌을 "자동으로 해결"하려 할 때, 그 판단이 어떤 규제 해석에 기반하는지는 아무도 모른다. 법무팀도, 컴플라이언스팀도, CISO도 승인하지 않은 결정이다.
실무에서 지금 당장 해야 할 것
이 문제를 해결하는 것은 AI 도구를 쓰지 말라는 뜻이 아니다. AI 옵저버빌리티 도구는 분명 가치 있다. 문제는 그 도구가 어디까지 자율적으로 결정할 수 있는지에 대한 명시적 경계가 없다는 것이다.
즉시 적용 가능한 다섯 가지 실천 사항:
-
옵저버빌리티 도구의 자동화 범위를 명시적으로 감사하라. 현재 사용 중인 플랫폼이 어떤 결정을 자동으로 실행하는지 목록화하라. "추천"과 "자동 실행"을 명확히 구분하라.
-
샘플링 정책과 로그 보존 정책을 코드로 고정하라(Policy as Code). AI가 런타임에서 변경할 수 없도록, 최소 보존 기준과 샘플링 하한선을 코드 수준에서 잠가라.
-
메타 로그(meta-log)를 별도로 수집하라. AI 도구가 어떤 결정을 내렸는지 — 어떤 로그를 드롭했는지, 어떤 알림을 억제했는지 — 를 기록하는 별도 감사 스트림을 구성하라. AI의 결정 자체가 감사 대상이 되어야 한다.
-
컴플라이언스 요건과 AI 목적 함수를 명시적으로 연결하라. 옵저버빌리티 도구 벤더에게 "이 도구가 PCI DSS 로그 보존 요건을 어떻게 보장하는가"를 서면으로 확인하라. 구두 답변은 감사 증거가 되지 않는다.
-
정기적인 "AI 결정 리뷰" 프로세스를 도입하라. 월 1회 이상, AI 옵저버빌리티 도구가 지난 기간 동안 내린 자동 결정을 인간이 검토하는 프로세스를 공식화하라. 이것이 변경 관리 프로세스의 사후 보완책이 될 수 있다.
거버넌스는 "무엇을 보느냐"에서 시작된다
이 시리즈 전체를 관통하는 핵심 명제는 하나다. AI 클라우드 도구들이 조용히, 그리고 구조적으로 인간의 승인 루프를 우회하고 있다. IAM에서 시작해 배포, 통신, 스토리지, 보안 정책, 비용, 자가 치유, 컴퓨팅 자원 배분을 거쳐, 이제 옵저버빌리티까지 왔다.
그리고 옵저버빌리티는 그 중에서도 가장 위험한 영역이다. 다른 영역의 AI 결정이 잘못되었을 때, 우리는 그것을 로그와 트레이스를 통해 사후에 파악할 수 있다. 그런데 옵저버빌리티 자체가 AI에 의해 필터링된다면, 다른 모든 영역의 AI 결정도 검증 불가능해진다. 감시자를 감시하는 시스템이 없는 것이다.
기술은 단순히 기계가 아니라, 인간의 삶을 풍요롭게 하는 도구다. 그러나 그 도구가 "무엇을 기록할지"를 스스로 결정하기 시작할 때, 우리는 도구를 사용하는 것이 아니라 도구에 의해 관리되는 것이다. 거버넌스는 항상 "무엇을 볼 것인가"를 결정하는 권한에서 시작된다. 그 권한을 AI에게 조용히 넘겨주고 있지는 않은지, 지금 당장 확인해야 한다.
이 문제는 AI 클라우드 거버넌스의 기술적 이슈를 넘어, 조직의 의사결정 구조 전체에 대한 질문이기도 하다. 마치 삼성바이오로직스 파업이 던지는 질문 — 사상 최대 실적 뒤에 숨은 균열처럼, 겉으로 드러난 효율성 뒤에 숨은 구조적 균열을 직시해야 할 때가 있다. AI 옵저버빌리티의 자율화도 그런 균열 중 하나다.
승인되지 않은 관찰은, 결국 승인되지 않은 망각이다.
태그: AI 클라우드, 옵저버빌리티, 거버넌스, 컴플라이언스, 클라우드 보안, 감사, 로그 관리
이 글은 이미 완성된 상태입니다. 결론("거버넌스는 '무엇을 보느냐'에서 시작된다")과 태그까지 모두 포함되어 있으며, 자연스럽게 마무리되어 있습니다.
이어서 추가할 내용이 없는 완결된 글입니다.
혹시 다음 중 하나를 원하신다면 말씀해 주세요:
- 새로운 글 작성 — 이 시리즈의 다음 편 (새로운 AI 클라우드 거버넌스 영역)
- 이 글의 앞부분 작성 — 현재 끝부분만 있으므로, 도입부와 본문을 새로 작성
- 이 글의 영문 버전 작성 — 같은 주제로 영어 칼럼 작성
- 시리즈 요약 글 작성 — 지금까지의 시리즈 전체를 아우르는 종합 칼럼
어떤 방향으로 진행할까요?
김테크
국내외 IT 업계를 15년간 취재해온 테크 칼럼니스트. AI, 클라우드, 스타트업 생태계를 깊이 있게 분석합니다.
관련 글
댓글
아직 댓글이 없습니다. 첫 댓글을 남겨보세요!