AI 도구, 이제 "언제 데이터를 삭제할지"도 스스로 결정한다 — 컴플라이언스팀은 그 사실을 감사 이후에야 알았다

클라우드 환경에서 AI 도구가 자율적으로 내리는 결정의 범위가 점점 넓어지고 있다. 보안 정책 변경, 네트워크 구성, 패치 적용, 용량 계획에 이어 이제는 데이터 수명주기 관리(Data Lifecycle Management) 영역까지 AI가 손을 뻗었다. 문제는 이 결정이 "정책 범위 내 실행"이라는 기술적 면죄부 아래 조직의 법무팀, 컴플라이언스팀, 데이터 거버넌스 위원회의 눈에 띄지 않은 채 조용히 이루어진다는 점이다.

데이터를 "언제 삭제할지", "어디로 이동할지", "어떤 티어로 전환할지"를 AI가 결정하는 세상. 이것이 왜 지금 이 시점에 중요한 문제인지 짚어보자.

데이터 수명주기 관리, AI가 맡게 된 사연

클라우드 비용 최적화 압박이 거세지면서 많은 기업들이 AWS S3 Intelligent-Tiering, Google Cloud Storage Autoclass, Azure Blob Storage Lifecycle Management 같은 자동화 기능에 손을 뻗었다. 초기에는 단순했다. "30일 이상 접근하지 않은 객체는 저비용 티어로 이동", "90일 후 아카이브", "365일 후 삭제" 같은 규칙 기반 정책이었다.

그런데 2024년을 기점으로 이 영역에도 AI가 본격적으로 개입하기 시작했다. 단순한 규칙 실행을 넘어, AI가 접근 패턴, 데이터 중요도, 비용 목표, 규정 준수 요건을 종합적으로 추론해 "이 데이터는 지금 삭제해도 된다"는 결정을 내리기 시작한 것이다.

AWS의 경우 Amazon DataZone과 S3 Intelligent-Tiering이 결합되면서 데이터 카탈로그 정보와 접근 패턴을 함께 분석해 수명주기 정책을 동적으로 조정할 수 있는 구조가 마련되었다. Google Cloud의 BigQuery Biglake와 Dataplex 역시 AI 기반 데이터 품질 평가와 수명주기 추천을 점점 자동화 방향으로 강화하고 있다.

"삭제"는 되돌릴 수 없다 — 그래서 더 위험하다

Tags shaped like clouds show disappointment.

Photo by Phil Hearing on Unsplash

보안 정책 변경이나 네트워크 구성 오류는 대부분 되돌릴 수 있다. 권한을 복원하고, 방화벽 룰을 재설정하면 된다. 하지만 데이터 삭제는 다르다. 백업이 없거나 삭제 후 보존 기간이 지났다면, 그 데이터는 영구적으로 사라진다.

이 비가역성(irreversibility)이 AI 도구의 자율적 데이터 수명주기 결정을 특히 위험하게 만드는 핵심 요소다.

실제로 이런 시나리오가 가능하다:

한 글로벌 제조기업의 클라우드 환경에서 AI 기반 FinOps 도구가 "6개월 이상 접근되지 않은 로그 데이터"를 저비용 티어로 이동시킨 뒤 90일 후 자동 삭제 처리했다. 해당 로그는 EU GDPR의 데이터 처리 기록 요건상 3년 이상 보관해야 하는 데이터였다. 컴플라이언스팀은 외부 감사가 시작된 이후에야 이 사실을 알았다.

이 시나리오가 가상처럼 보이는가? 실제로 GDPR 위반 사례의 상당수는 의도적 삭제가 아닌 자동화된 프로세스의 부적절한 실행에서 비롯된다는 점을 감안하면, AI 도구가 이 자동화 체계에 더 깊이 개입할수록 리스크는 기하급수적으로 커진다.

AI 도구가 데이터 삭제를 결정하는 세 가지 경로

1. FinOps 자동화 도구의 비용 최적화 실행

Apptio Cloudability, CloudHealth, Spot.io 같은 FinOps 도구들은 이제 단순한 비용 가시성 제공을 넘어 직접 실행(autonomous execution) 기능을 탑재하고 있다. 비용 목표를 설정해두면 AI가 "어떤 데이터를 어떤 티어로 옮길지", 나아가 "어떤 데이터를 삭제할지"까지 정책 범위 내에서 자율적으로 결정한다.

문제는 이 "정책 범위"가 초기에 엔지니어링팀이 설정한 것이며, 법무팀이나 컴플라이언스팀의 검토를 거치지 않은 경우가 많다는 점이다. 엔지니어 입장에서는 "오래된 로그 데이터"지만, 법무팀 입장에서는 "소송 대비 증거 보전 대상"일 수 있다.

2. 데이터 카탈로그 AI의 품질 평가 자동화

AWS Glue, Azure Purview(현 Microsoft Purview), Google Dataplex 같은 데이터 카탈로그 플랫폼은 AI를 활용해 데이터 품질을 자동 평가하고, "중복 데이터", "오래된 데이터", "품질 미달 데이터"에 대한 삭제 또는 아카이브 권고를 자동 생성한다.

일부 조직에서는 이 권고가 자동 승인되어 실행되도록 워크플로를 구성해두는데, 이 경우 AI의 품질 평가 기준이 조직의 법적 보존 의무와 충돌할 수 있다.

3. 관찰가능성(Observability) 플랫폼의 로그 관리 자동화

Datadog, Splunk, Elastic 같은 관찰가능성 플랫폼은 방대한 로그 데이터를 다루면서 자체적으로 "어떤 로그를 얼마나 보관할지"를 AI가 최적화하는 기능을 강화하고 있다. 비용 효율성을 위해 AI가 "이 로그는 더 이상 가치가 없다"고 판단해 삭제하는 경우, 그 로그가 보안 인시던트 조사나 규제 감사에 필요한 증거였다면 심각한 문제가 된다.

AI 클라우드가 패치 적용 시점을 스스로 결정하면서 운영팀이 사후에야 인지하게 되는 거버넌스 공백과 구조적으로 동일한 문제다. AI의 결정 속도가 인간의 검토 속도를 압도하면서, 거버넌스는 사후 보고서가 되어버린다.

컴플라이언스팀이 감사 이후에야 알게 되는 이유

AI 도구의 데이터 수명주기 결정이 컴플라이언스팀을 우회하는 데는 구조적 이유가 있다.

첫째, 감사 로그의 기술적 복잡성. AI 도구가 데이터를 삭제할 때 남기는 로그는 존재한다. 그러나 그 로그는 "S3 DeleteObject API 호출"처럼 기술적 이벤트로 기록될 뿐, "AI가 비용 최적화 목표에 따라 GDPR 보존 의무 데이터를 삭제했음"이라는 맥락으로 기록되지 않는다. 컴플라이언스팀이 이 로그를 실시간으로 해석하려면 기술적 역량과 도구가 필요한데, 대부분의 조직에서 그 역량은 엔지니어링팀에 집중되어 있다.

둘째, 변경관리 프로세스의 사각지대. 전통적인 변경관리위원회(CAB)는 인프라 변경, 배포, 보안 정책 변경을 검토하도록 설계되었다. "AI가 데이터 수명주기 정책을 동적으로 조정해 특정 데이터를 삭제한 것"이 CAB의 검토 범위에 포함되는지 명확하지 않은 조직이 대부분이다.

셋째, "정책 내 실행"의 면죄부. 엔지니어링팀은 "우리가 설정한 정책 범위 내에서 AI가 실행한 것"이라고 설명한다. 이 설명은 기술적으로는 정확하다. 그러나 그 정책이 법적 보존 의무를 반영하지 않았다면, 기술적 정확성이 법적 책임을 면제해주지는 않는다.

AI 도구 자율 실행 시대의 데이터 거버넌스 재설계

이 문제는 AI를 멈추자는 이야기가 아니다. AI 도구의 자동화는 분명히 운영 효율성을 높인다. 문제는 자동화의 경계를 어디에 그을 것인가, 그리고 그 경계를 누가, 어떻게 설정하고 감독할 것인가다.

실무에서 바로 적용할 수 있는 세 가지 원칙

1. 삭제 결정은 반드시 인간 승인 게이트를 유지하라

티어 이동, 아카이브는 AI의 자율 실행을 허용하더라도, 삭제(permanent deletion)는 반드시 인간 승인 단계를 포함하도록 워크플로를 설계해야 한다. AWS Step Functions, Azure Logic Apps 같은 워크플로 오케스트레이션 도구를 활용해 삭제 전 컴플라이언스 담당자에게 승인 요청을 자동 발송하는 구조를 만들 수 있다.

2. 데이터 분류(Classification)와 수명주기 정책을 연동하라

AI 도구가 수명주기 결정을 내리기 전에, 해당 데이터가 어떤 법적 보존 의무를 가지는지 데이터 분류 레이블이 먼저 적용되어 있어야 한다. "GDPR_보존_3년", "SOX_보존_7년", "소송_홀드" 같은 태그가 없는 데이터에 대해서는 AI의 자율 삭제를 차단하는 가드레일이 필요하다.

3. 컴플라이언스팀을 데이터 거버넌스 정책 설정 단계에 포함시켜라

현재 대부분의 조직에서 AI 도구의 수명주기 정책은 엔지니어링팀이 단독으로 설정한다. 이 정책 설정 단계에 컴플라이언스팀, 법무팀, 데이터 거버넌스 위원회가 참여하는 크로스펑셔널 리뷰 프로세스를 도입해야 한다. 사후 감사가 아닌 사전 설계 단계에서 거버넌스가 작동해야 한다.

기술이 결정할 수 있는 것과 결정해서는 안 되는 것

기술은 단순히 기계가 아니라, 인간의 삶을 풍요롭게 하는 도구다. 그러나 그 도구가 "무엇을 기억하고, 무엇을 잊을 것인가"를 스스로 결정하기 시작할 때, 우리는 도구와 책임의 경계를 다시 그어야 한다.

데이터는 단순한 비트와 바이트가 아니다. 어떤 데이터는 누군가의 권리를 증명하는 증거이고, 어떤 데이터는 기업의 법적 의무를 이행하는 기록이며, 어떤 데이터는 미래의 감사에서 조직을 보호하는 방패다. AI 도구가 비용 효율성의 관점에서 "이 데이터는 더 이상 필요 없다"고 판단하는 순간, 그 판단이 얼마나 많은 맥락을 놓치고 있는지 우리는 감사 이후에야 알게 된다.

라디오 AI 시대에 청취자의 신뢰를 누가 지키는가라는 질문처럼, AI 클라우드 시대에 데이터의 기억을 누가 지키는가라는 질문도 이제 기술의 문제가 아닌 거버넌스와 책임의 문제다.

AI가 더 많은 것을 자율적으로 결정하는 세상에서, 인간이 반드시 붙잡아야 할 결정권의 마지노선이 어디인지 — 2026년 5월 현재, 그 경계를 명확히 그어야 할 시간이 이미 지나가고 있는지도 모른다.

이 글이 유익했다면, 클라우드 AI 자동화 거버넌스 시리즈의 다른 글도 참고하세요.

태그: AI 도구, 클라우드, 데이터 거버넌스, 컴플라이언스, 데이터 수명주기 관리, 자동화, 감사

[편집자 주: 이 글은 클라우드 AI 자동화 거버넌스 시리즈의 일부입니다. 시리즈의 이전 글들과 연결되는 맥락에서 읽으시면 더욱 풍부한 이해가 가능합니다.]

그래서, 지금 당신의 조직은 어디에 있는가

이 글을 읽는 독자 중 상당수는 아마 이런 생각을 하고 있을 것이다.

"우리 조직도 S3 Intelligent-Tiering 켜놨는데... 컴플라이언스팀이 그 설정 알고 있나?"

솔직히 말하자. 모르고 있을 가능성이 높다.

클라우드 AI 자동화 거버넌스 시리즈를 통해 우리가 반복적으로 확인한 패턴은 하나다. AI 도구는 엔지니어링팀이 설정한 정책의 범위 안에서 조용히, 빠르게, 그리고 기록을 남기지 않는 방식으로 결정을 실행한다. 그리고 그 결정이 문제가 되는 순간은 항상 사후다.

보안 포스처는 침해 사고 이후에야 바뀌어 있었다는 것을 알았다. IAM 권한은 권한 남용 사고 이후에야 자동 조정되었다는 것을 알았다. 패치는 서비스 장애 이후에야 자동 적용되었다는 것을 알았다. 그리고 이제 데이터는 — 감사 소환장이 도착한 이후에야 이미 삭제되었다는 것을 알게 된다.

패턴이 보이는가?

AI가 "기억과 망각"을 결정하는 시대의 조직 체크리스트

이론보다 실용이 먼저다. 지금 당장 조직 내부에서 확인해야 할 다섯 가지 질문을 제시한다.

① 우리 클라우드 환경에서 데이터 수명주기 정책을 누가 설정했는가? 엔지니어링팀 단독이라면, 그 정책이 법적 보존 의무를 반영하고 있는지 검증된 적이 없을 가능성이 높다.

② 자동 삭제 또는 아카이브 실행 이력이 감사 가능한 로그로 남아 있는가? AWS CloudTrail, Azure Monitor, GCP Audit Logs가 켜져 있다고 해서 의미 있는 수명주기 결정 이력이 남는 것은 아니다. "무엇이 왜 삭제되었는가"를 재구성할 수 있는 로그인지 확인해야 한다.

③ 소송 홀드(Litigation Hold) 또는 규제 조사 중인 데이터에 AI 자동화 예외 처리가 적용되어 있는가? 법무팀이 소송 홀드를 선언했을 때, 그 정보가 클라우드 데이터 거버넌스 정책에 자동으로 반영되는 연결 고리가 있는가? 대부분의 조직에서 이 두 시스템은 완전히 분리되어 있다.

④ 컴플라이언스팀은 현재 어떤 데이터가 AI에 의해 자동 관리되고 있는지 알고 있는가? 모른다면, 그것 자체가 이미 거버넌스 공백이다.

⑤ 삭제 불가 데이터(Immutable Data)에 대한 정의가 문서화되어 있고, 그 정의가 AI 도구의 정책에 반영되어 있는가? 구두로 "중요한 데이터는 건드리지 말라"고 했다면, AI 도구는 그 말을 듣지 못했다.

다섯 가지 질문 중 세 개 이상에 "확실하지 않다"고 답했다면, 지금 당신의 조직은 이미 거버넌스 공백 위에 서 있다.

마지막으로: 망각도 설계되어야 한다

흥미로운 역설이 있다. 개인정보 보호 관점에서 GDPR은 "잊혀질 권리(Right to be Forgotten)"를 보장한다. 데이터는 필요 이상으로 오래 보존되어서는 안 된다. 동시에, 기업 컴플라이언스와 법적 책임 관점에서는 데이터가 충분히 오래 보존되지 않으면 막대한 법적 리스크가 발생한다.

이 두 요구 사항은 서로 긴장 관계에 있다. 그리고 AI 도구는 이 긴장을 해소해주는 것이 아니라, 그 긴장을 인간이 설계하지 않은 방식으로 처리하고 있다.

망각은 단순히 "오래된 데이터를 지우는 것"이 아니다. 망각도 기억만큼이나 신중하게 설계되어야 한다. 언제, 무엇을, 왜 잊을 것인가 — 이 결정은 비용 최적화 알고리즘이 아닌, 조직의 법적·윤리적 책임을 이해하는 인간이 내려야 한다.

AI는 탁월한 실행자다. 그러나 무엇을 실행할 것인가의 경계는 여전히 인간이 그어야 한다. 그 경계를 AI에게 위임하는 순간, 우리가 잃는 것은 단순한 데이터가 아니다. 우리가 잃는 것은 조직의 기억에 대한 주권이다.

2026년 5월, 클라우드 AI 자동화는 이미 우리 조직의 깊숙한 곳까지 들어와 있다. 이제 남은 질문은 하나다.

당신의 조직은 AI가 무엇을 기억하고 무엇을 잊을지를 — 의도적으로 설계했는가, 아니면 그냥 내버려두었는가.

클라우드 AI 자동화 거버넌스 시리즈는 계속됩니다. 다음 편에서는 AI가 클라우드 비용 이상(Anomaly)을 감지하고 자율적으로 대응하는 과정에서 발생하는 거버넌스 공백을 다룰 예정입니다.