AI 도구, 이제 "어떤 클라우드 계약을 유지할지"도 스스로 결정한다 — 구매팀은 아직 그 사실을 모른다

2026년 현재, 기업의 클라우드 인프라를 관리하는 AI 도구들은 조용히 새로운 권한을 획득하고 있다. 단순히 리소스를 최적화하거나 이상 징후를 탐지하는 수준을 넘어, 이제는 워크로드를 어느 벤더에 배치할지, 어느 리전으로 이전할지, 심지어 특정 벤더와의 계약을 사실상 종료하는 방향으로 실행까지 밀어붙이고 있다. 문제는 이 결정들이 법무팀, 구매팀, CTO 어느 누구의 공식 승인도 없이 이루어지고 있다는 점이다.

이것은 단순한 기술 편의성의 문제가 아니다. 누가, 언제, 어떤 근거로 벤더 관계를 바꾸기로 했는가라는 거버넌스의 핵심 질문이 AI 자동화의 속도 뒤에 묻혀버리고 있다.

멀티클라우드 최적화 AI가 조용히 하는 일

오늘날 대형 클라우드 관리 플랫폼들 — Apptio Cloudability, CloudHealth, Spot.io, Flexera 등 — 은 단순한 모니터링 도구가 아니다. 이들은 점점 더 실행 레이어로 진화하고 있다. 추천을 넘어서 실제로 워크로드를 옮기고, 인스턴스를 종료하고, 예약 구매를 갱신하거나 취소한다.

구체적으로 어떤 일이 벌어지는지 살펴보자.

워크로드 자동 마이그레이션: AI가 AWS의 특정 리전 가격이 Azure나 GCP보다 비싸다고 판단하면, 정책 범위 내에서 워크로드를 자동으로 이동시킨다. 이 과정에서 기존 벤더와의 약정 사용량이 줄어들고, 계약 위반 페널티가 발생할 수 있다.
Reserved Instance / Committed Use 자동 조정: AI 도구가 예약 인스턴스를 자동으로 수정하거나 해지 추천을 실행하면, 이는 수억 원 규모의 약정 계약에 영향을 미친다.
벤더 티어 변경: 특정 데이터를 더 저렴한 콜드 스토리지 또는 아예 다른 벤더의 오브젝트 스토리지로 이전하는 결정이 자동화 정책 안에서 실행된다.

이 모든 행위는 기술적으로는 "최적화"라는 이름으로 포장되어 있다. 하지만 법적·계약적 관점에서 보면, 이것은 조달 결정이다.

구매팀이 모르는 계약 변경

기업의 클라우드 계약은 단순한 서비스 이용 약관이 아니다. 대부분의 엔터프라이즈 계약에는 최소 사용량 약정(Minimum Commitment), 데이터 레지던시 조항, 특정 서비스 의존성 조항이 포함되어 있다. AWS Enterprise Discount Program(EDP)이나 Google Cloud Committed Use Discount 같은 계약들은 특정 기간 동안 특정 금액 이상을 사용하지 않으면 페널티를 부과한다.

AI 도구가 비용 절감을 위해 워크로드를 다른 벤더로 옮기는 순간, 이 약정 조건이 흔들린다. 그런데 그 결정을 내린 것은 AI이고, 구매팀은 분기 보고서를 받기 전까지 그 사실을 모를 가능성이 높다.

"클라우드 지출 자동화 도구는 재무적 결과를 최적화하도록 설계되어 있지만, 그 과정에서 계약 의무와 조달 승인 체계를 우회하는 경우가 늘고 있다." — Gartner, Hype Cycle for Cloud Management Technologies, 2025

이것이 단순히 "AI가 실수를 했다"의 문제가 아닌 이유가 여기 있다. AI는 실수한 것이 아니다. 주어진 정책과 목표 함수에 따라 완벽하게 작동한 것이다. 문제는 그 정책과 목표 함수를 누가 승인했는가가 불분명하다는 점이다.

a close up of a glass building with clouds in the background

Photo by Thimo Pedersen on Unsplash

"정책 범위 내 자동 실행"이라는 회색지대

AI 클라우드 관리 도구들은 대개 "정책(Policy) 기반 자동화"를 내세운다. 관리자가 정책을 설정하면, AI는 그 범위 안에서만 움직인다는 논리다. 언뜻 보면 합리적인 거버넌스 구조처럼 보인다.

하지만 실무에서 이 정책은 종종 다음과 같은 방식으로 설정된다.

"월 클라우드 비용을 15% 이상 절감하라"
"CPU 사용률이 20% 이하인 인스턴스는 자동으로 다운사이징하라"
"동일 워크로드 기준으로 더 저렴한 리전이 있으면 마이그레이션을 추천하고 승인 없이 실행하라"

세 번째 정책을 누가 승인했는가? 대부분의 경우, 클라우드 엔지니어나 FinOps 담당자가 플랫폼 설정 화면에서 토글 하나를 켠 것이다. 이것이 법무팀이나 구매팀의 공식 승인을 대체할 수 있는가?

이 질문에 "그렇다"고 답할 수 있는 기업은 많지 않을 것이다. 그러나 현실에서는 그렇게 운영되고 있다.

AI 도구가 만드는 새로운 법적 리스크

이 문제가 특히 심각해지는 지점은 데이터 레지던시와 규제 준수 영역이다.

예를 들어, GDPR 적용을 받는 유럽 고객 데이터를 처리하는 기업이 있다고 하자. AI 비용 최적화 도구가 스토리지 비용 절감을 위해 해당 데이터를 EU 외부 리전으로 자동 이전했다면? 기술적으로는 "정책 범위 내 실행"이지만, 법적으로는 GDPR 위반이 된다.

국내 상황도 다르지 않다. 개인정보보호법과 금융 분야의 망분리 규정, 의료 데이터 관련 규정들은 데이터가 어디에, 어떤 방식으로 저장되는지를 명확히 규정하고 있다. AI 도구가 이 경계를 자동으로 넘는 순간, 책임 소재는 모호해진다.

누가 책임을 지는가? AI 도구 벤더인가, 정책을 설정한 엔지니어인가, 아니면 그 플랫폼 도입을 승인한 CTO인가?

현재 대부분의 클라우드 AI 자동화 도구의 서비스 약관을 보면, 벤더는 "추천 및 실행의 결과에 대한 책임은 고객에게 있다"고 명시하고 있다. 결국 책임은 사람에게 돌아오지만, 결정은 AI가 했다는 구조적 모순이 남는다.

이 문제는 앞서 다룬 AI 클라우드의 보안 위협 탐지 자동화 거버넌스 문제와 본질적으로 같은 뿌리를 가지고 있다. 자동화가 실행 속도를 높이는 동안, 승인과 책임의 흔적은 사라진다.

실제로 어떤 일이 벌어지고 있는가

2025년 하반기부터 북미와 유럽의 몇몇 대형 엔터프라이즈에서 이와 관련된 사례들이 보고되기 시작했다. 구체적인 기업명은 공개되지 않았으나, 업계에서 알려진 패턴은 다음과 같다.

사례 유형 A: 금융 서비스 기업에서 FinOps AI 도구가 AWS Reserved Instance를 대량 해지하고 Azure로 워크로드를 이전했다. 이 과정에서 AWS EDP 약정 미달이 발생해 수십만 달러의 페널티가 부과됐다. 해당 결정을 한 "사람"은 없었고, 감사 로그에는 자동화 정책 실행 기록만 남아 있었다.

사례 유형 B: 헬스케어 기업에서 비용 최적화 AI가 환자 데이터 일부를 더 저렴한 오브젝트 스토리지로 이전했는데, 해당 스토리지가 HIPAA 준수 인증을 받지 않은 서비스였다. 내부 감사에서 발견되기까지 약 3개월이 걸렸다.

이런 사례들이 단순한 기술 오류가 아닌 이유는, AI 도구가 "잘못" 작동한 것이 아니라 "설계대로" 작동했기 때문이다. 비용을 줄이라는 목표는 달성했다. 단지 그 과정에서 계약, 규제, 데이터 주권이라는 맥락이 목표 함수에 포함되어 있지 않았을 뿐이다.

거버넌스 공백을 메우는 실질적 접근

이 문제를 해결하기 위한 완벽한 솔루션은 아직 없다. 하지만 지금 당장 실무에서 적용할 수 있는 접근들은 있다.

1. "실행 권한"과 "추천 권한"을 분리하라

AI 도구의 자동화 레벨을 세분화해야 한다. 추천(Recommend) → 승인 대기(Pending Approval) → 자동 실행(Auto-Execute)의 세 단계를 명확히 구분하고, 벤더 변경, 리전 이전, 약정 조정에 해당하는 모든 액션은 반드시 인간 승인 단계를 거치도록 정책을 설계해야 한다.

2. 조달 팀을 FinOps 정책 설계에 포함하라

현재 대부분의 기업에서 FinOps 정책은 클라우드 엔지니어링팀이 단독으로 설계한다. 하지만 이 정책이 사실상 조달 결정을 내리고 있다면, 구매팀과 법무팀이 정책 설계 단계부터 참여해야 한다. 특히 "자동 실행 허용 범위"를 명문화하는 작업은 기술팀만의 영역이 아니다.

3. 계약 의무를 AI 정책에 명시적으로 인코딩하라

벤더 약정 조건, 데이터 레지던시 요건, 규제 준수 조항을 AI 자동화 정책의 하드 제약(Hard Constraint)으로 설정해야 한다. "비용을 줄여라"라는 목표 함수가 "이 데이터는 EU 리전 밖으로 나갈 수 없다"는 제약보다 우선순위가 높아서는 안 된다.

4. 자동화 실행 로그에 "의사결정 근거"를 남겨라

단순히 "무엇을 했는가"의 로그가 아니라, "왜 했는가"의 맥락이 감사 기록에 남아야 한다. 어떤 정책 규칙이 발동됐는지, 그 정책은 누가 언제 승인했는지, 해당 실행이 어떤 계약 조항에 영향을 미치는지가 추적 가능해야 한다. 구글이 1,500억 원 세금 소송에서 보여준 것처럼, 기술 기업과 규제 당국 사이의 분쟁에서 "누가 무엇을 결정했는가"의 기록은 결정적인 증거가 된다.

5. AI 도구 도입 시 "자동화 책임 매트릭스"를 작성하라

어떤 유형의 결정을 AI가 자율 실행할 수 있는지, 어떤 결정은 반드시 인간이 승인해야 하는지를 명문화한 문서가 필요하다. 이것은 기술 문서가 아니라 거버넌스 문서이며, CTO, CFO, 법무팀, 구매팀이 모두 서명해야 하는 성격의 것이다.

속도와 통제 사이에서

AI 도구가 클라우드 비용을 줄이고 운영 효율을 높이는 것은 분명한 사실이다. 이것을 부정하는 것은 현실을 외면하는 것이다. 문제는 그 효율이 누군가의 승인을 생략하는 방식으로 달성되고 있다는 점이다.

Gartner의 2025년 클라우드 거버넌스 보고서에 따르면, 멀티클라우드 환경을 운영하는 기업 중 60% 이상이 AI 자동화 도구의 실행 범위를 명확히 문서화하지 않은 것으로 나타났다. 이는 대부분의 기업이 AI가 무엇을 할 수 있는지 알고 있지만, 무엇을 해서는 안 되는지를 명확히 정의하지 않았다는 의미다.

기술은 단순히 기계가 아니라, 인간의 삶을 풍요롭게 하는 도구다. 하지만 그 도구가 인간의 판단을 대신하기 시작할 때, 우리는 편의성이라는 이름 아래 책임의 공백을 허용하고 있는 것은 아닌지 물어야 한다.

AI 도구가 "어떤 벤더와 일할지"를 결정하는 시대가 왔다. 이제 남은 질문은 하나다. 그 결정에 당신의 조직은 서명을 했는가?

이 글에서 언급된 사례들은 업계에서 보고된 패턴을 바탕으로 재구성한 것으로, 특정 기업을 지칭하지 않습니다. 구체적인 수치와 계약 조건은 기업마다 다를 수 있습니다.

다음 글 예고: AI는 이제 "언제 이 데이터를 지울지"도 결정한다

이번 글에서는 AI가 클라우드 벤더 관계를 사실상 결정하는 문제를 다뤘다. 하지만 거버넌스 공백은 여기서 멈추지 않는다.

다음 편에서는 더 되돌릴 수 없는 문제를 다룬다. AI가 "언제, 무엇을, 왜 삭제할지"를 스스로 결정하는 순간, 감사팀이 묻는 질문 — "누가, 언제, 어떤 근거로 삭제를 승인했는가" — 에 아무도 답할 수 없게 되는 상황이다.

비용 최적화 AI가 "더 이상 필요 없다"고 판단한 데이터를 자율 삭제한다면, 그리고 그 데이터가 진행 중인 소송의 증거였다면? 혹은 GDPR이 요구하는 보존 의무 대상이었다면?

복구 불가능한 삭제와 책임 소재의 공백이 만나는 지점, 그곳에서 거버넌스는 어떻게 무너지는가. 다음 편에서 이어간다.

김테크의 'AI 클라우드 거버넌스' 시리즈는 격주로 업데이트됩니다. 다음 편 알림을 받으려면 뉴스레터를 구독하세요.

NOCODE TECH STACKER