18. 성공하는 기업의 2


?베스핀글로벌 / 정현석 이사


 

 

첫 번째는 클라우드 마이그레이션 역량이다. 마이그레이션은 물리적 환경에서 클라우드로 전환하는 것을 말한다. 최근 클라우드로 이동하는 대부분의 업체들은 Lift & Shift 전환 방식을 선택을 하는데, 그 이유는 Lift & Shift 가장 편리하고, 빠르며 안전한 방식으로 인식하고 있기 때문이다. 하지만 Lift & Shift 방식은 인프라를 클라우드로 전환 하는 것에 특화된 방식이라서 IT 혁신과는 거리가 멀다.

클라우드로 전환하기 위해 가장 먼저 해야할 일은 전환하는 목적과 목표를 명확히 하는 것이다. 비용절감이 목표인지 아니면 안정성과 확장성을 목표로 할지, 신기술 도입을 빨리 할 것인지 혹은 Cloud Native Application을 도입을 할 것인지, 또는 데이터 기반 의사결정을 위한 것인지 등 전환하고자 하는 목표를 명확히 해야 한다. 이유는 목표에 따라서 클라우드 도입 방식이 달라지기 때문이다. 그 다음으로 기업의 IT 자산을 평가해야 하는데 Lift & Shift 방식처럼 인프라만 평가할 것이 아니라 어플리케이션, 데이터베이스, 시큐리티 등 전반적인 IT 자산을 평가해야 한다. 앞서 말했듯이 클라우드 도입 목표와 IT 자산 평가에 따라서 클라우드 도입 방법이 달라질 수 있는데, 예를 들어 신속한 어플리케이션 개발을 하여 빠른 비즈니스환경을 만들기 위해서는 어플리케이션을 클라우드에 최적화하는 마이그레이션 방식인 Refactor 선택해야 한다.

IT자산 평가 이후 기업의 클라우드 준비상태를 점검하는 MRA(Migration Readiness Assessment)를 해야 한다. 클라우드는 기존 IT를 활용하는 방식과 굉장히 다르기 때문에 조직의 Process, Governance가 달라지지 않으면 완벽하게 클라우드를 구축×운영하기 힘들다. 그래서 조직이 클라우드로 가기 위해서 비즈니스, 인사, 프로세스, 플랫폼, 운영, 보안 등 6가지 준비상태를 평가를 통해 점검해야 한다.

MRA가 끝나면 마이그레이션을 준비하고 계획하는 단계인 MRP (Migration Readiness & Plan)를 진행한다. MRP단계에서는 기존에 IT자산을 평가한 내용을 기반으로 마이그레이션 대상을 선정하고(Scoping), 마이그레이션 방식을 선택하며, 주요 일정을 수립한 이후에 TO-BE Architecture를 설계한다. 그런 다음 TCO분석을 진행하고, PoC를 수행하여 최종적으로 점검하여 실제 마이그레이션을 완벽히 준비하는 것이 목표이다.

다음으로는 클라우드 표준 정책을 수립하는 것인데, 표준정책을 수립하는 이유는 효율적인 운영, 안정성 강화, 보안성 강화 그리고 비용절감을 위한 것이다. 표준정책을 세우는 항목은 Skills/Center of Excellence, Security & Compliance, Operating Model, Landing Zone, Migration Method, Resource 종류 및 Size 등이다.

표준정책 수립이 완료된 이후에 본격적인 마이그레이션이 시작되는데 안정적이고 빠르게 구축하고 이전하는 것이 핵심이다. 마이그레이션 이후에 성능테스트를 수행하고, 여러가지 안정화 단계를 거치면 마이그레이션 작업이 끝나게 된다. 대부분의 업체들이 마이그레이션을 진행할 때 기존 IT 운영 방식의 변화를 최소화하여 빠르게 이동하는 것에 집중하는데 이는 클라우드 도입 실패로 이어지는 경우가 굉장히 많다. 그렇기 때문에 IT혁신을 위해서는 목표를 명확히 하고 다양한 마이그레이션 능력을 갖추고 출발하는 것이 성공으로 가는 가장 빠른 길이다.

 

그림7

[그림7. 마이그레이션 역량]






 

둘째로 클라우드 비용절감 능력이다. 클라우드로 이동하는 대부분의 기업들은 IT 비용절감을 기대한다. 그러나 막상 클라우드로 이동해 보면 비용절감은 커녕 기존 비용보다 더 많이 나오는 경우가 적지 않다. 이유가 무엇일까? 결과대로 비용절감이 되지 않는 것일까? 필자의 경험을 통해서 말하자면 “그렇지 않다”이다. 대부분의 기업은 클라우드를 통해 비용절감을 이룰 수 있다. 비용절감을 못하는 이유는 조직내 클라우드 비용 절감 능력이 없거나, 기존 IT 사용 방식대로 클라우드를 사용하기 때문이다.

클라우드 비용은 기본적으로 이해가 쉽지 않다. 클라우드 비용은 계획 비용과 실제 비용이 다를 수 있고, 실시간으로 비용이 변화하며, 비용 구조가 서비스마다 다르고(VM당, 트랜젝션 당, 트래픽당, 이벤트 당 등), 아주 작은 단위까지 계측되어 비용이 청구되는 구조를 가지고 있기 때문에 세밀히 관리하지 않으면 사용하지 않는 서비스 비용을 내야할 수도 있다. 그리고 중앙에서 통합구매하여 리소스를 나눠서 사용하기가 어렵고, 비용 최적화 방법이 굉장히 많고 복잡하고 어려워서 누구나 쉽게 수행할 수 없다. 이런 이유 때문에 기존 IT 사용 방식대로 클라우드를 사용하면 비용을 절감할 수 없다.

글로벌 MSP기업 베스핀글로벌은 매월 자체 클라우드 비용을 2억원씩 절감한다고 신문기사를 통해 밝혔다. 베스핀글로벌은 그 방법을 다음과 같이 4단계로 설명한다. 1단계는 Visualization 단계로서 비용절감을 하기 위해서는 사용량이 가시적으로 보여야 줄일 수 있다고 강조한다. 실시간 클라우드 사용량, 이상 비용 탐지 등 클라우드 사용현황을 눈으로 봐야지만 적절한 방식을 통해 줄일 수 있다고 한다. ?2단계는 Allocation 단계로, 비용을 통합하고 배분할 수 있어야 한다. 이는 기업에서 구매 통합을 하여 구매파워를 통해 비용절감을 이루는 방식과 동일하다. 흩어져 있는 비용을 하나로 통합하여 저렴한 비용으로 구매하고, 구매한 것을 다시 나눠서 사용할 수 있는 방식을 채택해야 비용을 절감할 수 있다고 말한다. 통합구매한 것을 나누어 쓰고자 한다면 CSP에서 제공하는 콘솔이외에 3rd party CMP(Cloud Management Platform)의 분배기능이 필요하다. ?3번째는 Optimization 단계로 미사용 리소스를 삭제하고, Right sizing, Right service Choice, RI, Spot instance, savings plan, EDP계약 등 다양한 방식을 통해 매월 Optimization을 수행 해야한다고 한다. ?4번째는 Governance 단계인데 비용을 통제하고 관리할 수 있어야 한다고 말했다. 조직마다 비용, 예산, 정책을 프로세스화 하고 이를 SW로 관리하여 실시간 비용 모니터링을 한다면 비용을 획기적으로 줄일 수 있다고 한다. 베스핀글로벌은 이러한 4가지 단계를 수행하기 위해서는 반드시 CMP(Cloud management Platform)가 필요하고, 클라우드 비용 전문가가 반드시 필요하다고 말했고, 이러한 역량이 있다면 클라우드 비용의 80%까지도 절감이 될 수 있다고 말했다. 앞으로 클라우드 서비스는 더욱 복잡해질 것이고 멀티클라우드 사용이 보편화되면 클라우드 비용관리 부서가 생길 만큼 중요해질 것이다.

 

그림8

[그림8. 비용절감 역량]






 

세 번째 역량으로는 Cloud Native Application(CNA) 개발·운영 능력이다. CNA는 비즈니스 민첩성을 강화하기 위한 것으로 고객이 원하는 대로 빠르게 Application을 개발·운영하는 방식이다. 대부분의 업체들은 이를 위해 컨테이너를 도입하고 개발 방식을 Micro Service Architecture(MSA) 전환하는 것에 집중하는데 이런 접근은 실패로 이어지는 경우가 많다. 이유는 CNA 개발 역량은 굉장히 다양한 능력을 조직에 요구하기 때문이다.

CNA를 구현하기 위해서는 가장 먼저 조직에 Agile 개발 문화와 정책과 프로세스 그리고 평가 체계가 갖추어져 있어야한다. 개발 구조가 아무리 MSA로 되어 있다고 해도 Agile하지 못한 개발 조직 구조에서는 무용지물이 될 수 있다.

다음으로 Application이 MSA로 되어 있어야 한다(물론 경우에 따라 아닐 수도 있다). 이는 조직 내에 Micro Service 단위에 대한 정책, 표준 통신 방식, 분산 DB 설계 등 다양한 역량을 갖추어야 한다는 것을 의미한다. 그리고 Agile과 MSA를 받쳐줄 수 있는 CI/CD, Provisioning Tools 등 자동화된 개발 환경이 필요하며, 빠른 개발을 운영해 줄 수 있는 클라우드 인프라가 필요하다. 이 모든 환경을 365일 모니터링 할 수 있는 환경이 필요하고, SLI, SLO, SLA등 운영 지표 관리가 필요하다. 또한 이를 운영할 수 있는 DevOps에 특화된 SRE팀도 필요하다. CNA를 개발할 수 있는 역량은 앞서 언급한 대로 다양한 기술, 역량, 툴이 필요하며 무엇보다도 조직의 문화와 프로세스가 갖추어져야만 완벽한 비즈니스 민첩한 환경이 만들어진다.

 

그림9


[그림9. CNA 개발 역량]






 

네 번째 역량으로는 빅데이터 역량이다. 데이터가 중요한 자산이 되어가는 산업환경에서 모든 기업은 빅데이터를 확보하기 위한 노력을 시작했다. 하지만 기업들은 자신의 기업에 데이터가 많지 않다는 것을 금방 알게 된다. 그래서 많은 데이터를 모으기 위한 빅데이터 시스템을 구축하지만, 빅데이터 시스템을 구축했다고 해서 데이터가 모이겠는가? 빅데이터 역량은 시스템을 구축했다고 생기는 능력이 아니고 모든 직원이 데이터를 통해서 할 수 있는 것이 무엇인지를 파악하고, 데이터를 스스로 모으는 데에서부터 시작한다. 데이터에 대한 중요성을 직원들이 인식하지 않는 한 데이터가 모아지지 않을 뿐더러 데이터 활용을 통한 비즈니스 혁신도 물 건너간 이야기가 될 수 있다.

성공하는 기업들은 가장 먼저 데이터를 사용할 수 있는 교육과 문화, 그리고 프로세스를 만든다. 그리고 그 데이터를 지속적으로 사용하면서 데이터 기반 의사결정을 할 수 있도록 유도한다. RDB에서부터 시작하여 Dataware house를 거쳐 Data Lake까지 계속적으로 데이터를 모으고, 데이터를 사용할 수 있도록 정제하고, 정제된 데이터를 가지고 전 직원이 지속적으로 사용한다. 데이터가 많이 모아지면 수요예측, 이상징후, 개인화 등 다양한 AI 알고리즘을 활용하여 새로운 비즈니스를 추진한다. 정리하면 빅데이터를 잘 사용하는 기업들은 교육-데이터수집-데이터사용-AI활용을 지속적으로 수행하면서 데이터 사용하여 비즈니스에 접목하여 혁신을 이루는 기업이다.

 

그림10


[그림10. 빅데이터 역량]






 

다섯 번째로는 클라우드 시큐리티 능력이다. 클라우드 초창기에는 많은 업체가 클라우드 안에서의 보안을 의심하여 클라우드로의 전환을 꺼렸다. 하지만 시간이 지나면서 클라우드 안에서의 보안이 기존 레거시 보안보다 결코 떨어지지 않는다는 것이 증명되었고, 그 이후 보안을 중요하게 생각하는 대기업, 금융, 공공기관들도 앞다퉈 클라우드를 도입하고 있다. 클라우드 사용이 늘어나면서 클라우드 보안에 문제가 생겼다면 이는 클라우드 보안에 문제가 생겼다는 것이 아니라 기존 보안 방식으로는 해결이 안 된다는 것을 알게 된 것이다. 그 원인은 클라우드 서비스의 발전에서 찾을 수 있다. 예전 클라우드 서비스는 레거시 시스템에 존재하는 서버, 스토리지, 네트워크가 서비스의 주류로 있었는데, 최근에는 레거시 시스템에 존재하지 않았던 Serverless, Container, 관리형 DB, API Gateway, Micro service Architecture 등 Full managed Service Feature들이 많이 생겨나고 있어 새로운 보안 역량이 요구된다.

 

그림11


[그림11. 클라우드 시큐리티의 다른 점]


 

필자는 클라우드 안에서의 보안은 향후 2년안에 완전히 바뀔 것으로 예상하고 있다. 그이유는 클라우드 보안의 특징 때문인데, 클라우드 보안의 특징은 프로그램이 가능하다는 점, 계속 새로운 기술이 확산된다는 점, IAM, Serverless 등 레거시 시스템과 다른 기술적 특징이 존재한다는 점, 클라우드 규모와 복잡성은 가시화를 어렵게 만든다는 점이다. 이러한 특징이 최근 클라우드 안에서 보안 위협을 야기시키고 있다.

 

그림12


[그림12. 클라우드 보안의 특징]


그렇다면 어떻게 클라우드 보안을 강화해야 할까? 성공하는 기업들은 다음과 같은 6가지 클라우드 보안 능력을 확보하고 있다. 첫째로 클라우드 기술을 아주 잘 이해하고 있어야 한다. 이제는 보안 기술만 알아서는 완벽한 보안을 할 수 없다. 예를 들어 컨테이너 보안을 하기 위해서는 컨테이너 기술에 대한 이해가 필수이며, 컨테이너 기술을 이해하기 위해서는 개발 프로세스에 대한 이해가 필요하다. 이렇듯 클라우드 안에서 완벽한 보안을 하기 위해서는 클라우드 기술을 이해해야만 한다. 둘째로 CSP와 책임공유 모델을 이해하고 이에 따른 보안 정책이 필요하다. 셋째로 클라우드 환경에서 제공하는 서비스 특징 및 CSP가 제공하는 설치형 또는 다양한 관리형 서비스의 활용을 지원할 수 있는 새로운 보안솔루션의 구성과 보안정책이 필요하다. 넷째로 완벽한 보안을 위해서는 Cloud Native 보안 기술이 필요하다. Container 및 Serverless 등 새로운 관리형 컴퓨팅 서비스는 Legacy의 설치형 보안 솔루션을 이용 할 수 없음으로 Cloud Native를 지원하는 다른 형태의 보안 솔루션이나 CSP의 보안기능에 대한 구성이 필요하다. 다섯째로 Cloud 보안의 자동화는 매우 중요한 항목이다. 클라우드에서 서비스를 개발, 배포, 운영하는 전 과정에 대한 보안 자동화가 필요하다. 마지막 여섯째로 DevSecOps로 보안영역을 Shift Left 해야 한다. Security Triad (Build/Deploy/Run)의 연속된 Pipeline에서 Shift Left는 매우 중요한 원칙이며, Shift Left를 통해 원천적으로 보안 문제를 해결해야 보안 부채를 지속적으로 해결할 수 있다.



 

그림13

[그림13. 클라우드 역량]


 

최근 많은 기업들은 4차산업혁명 시대에서 살아남기 위해서 디지털를 이용해 비즈니스 혁신을 추구한다. 그래서 클라우드를 활용하여 디지털트랜스포메이션을 진행하고 있다. 대부분의 업체들은 디지털 혁신과 클라우드 도입을 기술적으로만 접근하는데 이는 실패로 이어질 가능성이 굉장히 높다. 왜냐하면 최근 나오는 IT기술은 기존 레거시 시스템에서는 볼 수 없었던 기술이기 때문이다. 이러한 새로운 기술을 확보하기 위해서는 문화, 프로세스, 인사제도, 전문성에 대한 다른 해석 등의 선행되어야 한다. 이것을 다르게 표현하면 디지털 혁신과 클라우드 도입은 문화와 프로세스의 변화가 70%이고, 기술도입이 30%란 이야기다.

성공하는 기업의 5가지 역량은 문화와 프로세스의 변화를 추구하면서 기술적 역량을 확보하고 있는 기업이라고 결론을 내고 싶고, 모든 기업이 반드시 확보해야 할 역량이라고 강조하고 싶다. “굉장히 빠르고, 급변하는 비즈니스 환경에서 살아남고 싶다면 이러한 역량을 확보하거나 디지털 파트너십을 맺으라!”





저작권정책

K-ICT 클라우드혁신센터의 저작물인 『성공하는 기업의 5가지 클라우드 역량』은 K-ICT 클라우드혁신센터에서 베스핀글로벌 정현석 이사에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.