‘소버린 클라우드’라는 표현은 기업 기술 분야에서 가장 남용되고 가장 덜 검증된 용어가 됐다. 특히 정부, 규제 산업, 지정학적 불안정에 민감한 기업에는 안심이 되는 말처럼 들린다. 약속의 내용도 단순하다. 데이터를 국내에 두고, 운영 통제권을 유지하며, 외국 시스템에 대한 의존도를 낮추겠다는 것이다. 문제는 클라우드 아키텍처의 현실이 마케팅 메시지와 맞아떨어지지 않는다는 점이다.

데이터센터가 국경 안에 있다는 사실만으로 클라우드가 소버린(sovereign)해지지는 않는다. 주권은 주소지의 문제가 아니다. 플랫폼을 누가 소유하고, 코드베이스를 누가 통제하며, 컨트롤 플레인을 누가 운영하고, 칩을 누가 공급하며, 소프트웨어를 누가 패치하고, 어느 법체계가 궁극적으로 접근을 강제하거나 운영을 중단하는지의 문제다. 이 질문에 자신 있게 답할 수 없다면 소버린 클라우드를 갖춘 것이 아니다. 그저 마음에 위안이 되는 라벨을 붙인 로컬 호스팅 계약을 맺은 것에 불과하다.

기업은 독립적이라고 주장하는 클라우드를 팔고 있다. 하지만 깊이 들여다볼수록 사라지지 않은 의존성의 층위가 드러난다. 기술적인 것도 있고, 계약적인 것도 있으며, 지정학적인 것도 있다. 어느 것 하나 중요하지 않은 것이 없다.

풀스택 문제

핵심 문제는 단순하면서도 냉혹하다. 클라우드 전체 스택을 자체적으로 구축하고 유지할 수 있는 국가는 극소수에 불과하다. 진정한 소버린 클라우드를 구축하려면 데이터센터 공간과 보안 인증 이상의 것이 필요하다. 프로세서, 시스템 소프트웨어, 네트워킹, 오케스트레이션, 관리 도구, 개발자 생태계, 그리고 이 모든 것을 대규모로 운영할 수 있는 운영 성숙도가 갖춰져야 한다. 이것이 최소한의 조건이다. 현실적으로 이런 수준의 엔드 투 엔드 독립성에 근접한 국가는 미국과 중국 두 곳뿐이다.

불편한 진실이다. 디지털 주권이 정책 목표가 된 유럽에서는 특히 그렇다. 대다수 지역 클라우드 업체는 수입 하드웨어, 수입 소프트웨어, 또는 외국 기업이 소유한 클라우드 컨트롤 플레인에 의존한다. 브랜드가 로컬이라 해도 기술적 DNA는 그렇지 않은 경우가 많다. 소버린이라고 제시되는 것은 실제로는 타사 플랫폼을 감싼 완화 조치 묶음인 경우가 허다하다.

하이퍼스케일러 인프라에 새 이름을 붙이는 것만으로 문제가 해결되지 않는 이유가 여기에 있다. 미국 클라우드 기업이 전문화된 로컬 리전, 전용 인스턴스, 또는 온프레미스 방식을 제공하더라도 주권 문제는 덜 드러날 뿐 사라지지 않는다. 소유 구조, 법적 노출, 운영 의존성은 그대로 남는다. 일부 서비스는 여전히 외부 관리 연결과 중앙화된 제어 기능에 의존하고 있어, 사실상 ‘본사와 연결’된 상태가 된다. 서비스 관리 관점에서는 수용 가능한 방식일 수 있지만, 해당 환경이 완전히 독립적이라는 주장을 약화시킨다.

유럽에는 좋지 않은 소식

유럽의 클라우드 독립 추진이 지지부진한 것은 야망이 부족해서가 아니다. 바람과 시장 구조 사이의 불일치 때문이다. 클라우드 시장은 이미 AWS, 마이크로소프트, 구글이라는 세 거대 업체를 중심으로 재편됐다. 규모의 경제, 글로벌 엔지니어링 역량, 플랫폼 범위, 개발자 생태계 모두 이가 장악하고 있다. 이런 수준의 통합이 굳어지면, 새로운 진입자가 경쟁력 있는 조건으로 동일한 스택을 재구축하기는 매우 어려워진다.

보다 자율적인 클라우드의 미래를 이끌 대안을 구축하려는 시도는 이미 여러 차례 있었다. 신뢰와 지역성을 앞세운 올바른 언어와 함께 헤드라인과 정책 지원을 이끌어냈다. 하지만 지속적인 경쟁력을 갖추는 데는 성공하지 못했다. 안드로메다(Andromeda), 뉴머지(Numergy), 가이아-X(Gaia-X) 같은 프로젝트는 정치적 의지가 자동으로 실행 가능한 클라우드 플랫폼으로 이어지지 않는다는 사실을 상기시켜 준다.

많은 기업이 아직도 소버린 클라우드를 전략적 트레이드오프가 아닌 조달 카테고리로 취급하기 때문에 이 문제는 중요하다. ‘로컬 제품을 구매하겠다’는 말만으로는 부족하다. 누구의 관점에서 로컬인가? 어떤 프로세서 위에서 구동되는가? 어떤 엔지니어가 업데이트를 담당하는가? 어느 모회사의 지배를 받는가? 어느 법원의 관할인가? 현재 논의의 상당 부분이 데이터 거주지와 주권을 혼동하고 있는데, 이 둘은 같은 개념이 아니다.

소버린 SaaS나 특정 산업 서비스처럼 작고 전문화된 영역에서는 틈새 플레이어가 자리를 잡을 현실적인 가능성이 있다. 하지만 소버린 하이퍼스케일 클라우드를 재현하는 것과는 차원이 다른 이야기다. 기업은 이 두 가지 선택지가 서로 대체 가능하다는 착각에서 벗어나야 한다.

출구 전략 없는 의존성

더욱 유용한 논의는 완벽한 소버린 클라우드가 존재하는지가 아니다. 대다수는 존재하지 않기 때문이다. 더 유용한 논의는 제거할 수 없는 의존성을 어떻게 관리할 것인지에 관한 것이다. 많은 클라우드 전략이 아직도 이 지점에서 위험할 정도로 미숙하다.

지정학적 긴장은 이제 배경음 수준의 소음이 아니다. 이사회와 규제기관은 불과 몇 년 전만 해도 과장된 우려로 치부됐을 시나리오에 직면해야 한다. 제재, 무역 보복, 시장 철수, 지역 제한, 또는 기술이 아닌 정치에 의해 촉발되는 서비스 가용성 변화 같은 상황이다. 이런 사태가 실제로 발생하지 않더라도, 신중한 아키텍처는 의존성이 비즈니스 연속성 문제가 될 수 있다는 가정 아래 설계되어야 한다.

기업은 오랫동안 모든 진지한 클라우드 전략에 신뢰할 수 있는 출구 전략이 필요하다는 사실을 외면해 왔다. 프레젠테이션 자료의 슬라이드 한 장이 아니라, 막연한 이식성 약속도 아닌, 타임라인·예산·기술 패턴·계약상 트리거·검증된 마이그레이션 가정을 갖춘 실질적인 출구 전략 말이다. 나쁜 소식은 출구에는 비용이 많이 들고 시간이 오래 걸린다는 것이다. 특정 클라우드 업체의 네이티브 플랫폼 서비스에 깊이 묶여 있다면, 한 분기 만에 빠져나오는 것은 불가능하다. 대다수 경우 2년 이내의 이전조차 상당한 계획 수립, 재설계, 지출이 필요하다.

멀티 클라우드는 어떨까? 복수의 클라우드를 사용한다고 해서 자동으로 협상력이나 이동성이 생기지는 않는다. 애플리케이션이 이식 가능하지 않다면, 멀티 클라우드는 더 많은 곳에서 동시에 종속되는 것을 의미한다. 여러 클라우드 업체의 차별화된 서비스를 의도적으로 활용하는 경우에는 전략적으로 유용할 수 있다. 하지만 업체 종속에 대한 마지막 순간의 헤지 수단으로서는 훨씬 덜 유용하다. 이식성은 설계되고, 예산이 편성되고, 유지되어야 한다. 그렇지 않으면 이식성은 존재하지 않는다.

리스크 감소의 스펙트럼

현명한 접근법은 절대적인 목표 추구를 멈추는 것이다. 순수한 형태의 완전한 주권은 대다수 기업과 국가에 달성 불가능하다. 달성 가능한 것은 더 높은 수준의 통제력이다. 의존성이 어디에 있는지 파악하는 것에서 시작해, 가장 위험한 의존성을 줄이고, 민감한 워크로드를 격리하며, 독점 서비스에 대한 불필요한 의존을 피하고, 혼란이 닥치기 전에 대비하는 것이다.

다시 말해, 소버린 클라우드는 제품이 아니라는 사실을 인식해야 한다. 리스크 감소 선택의 스펙트럼이다. 기업이 이 사실을 빨리 인정할수록, 신화를 사는 것을 멈추고 회복 탄력적인 운영 모델을 구축하는 데 집중할 수 있다. 시장은 환상이 수익성이 있기 때문에 계속해서 환상을 팔 것이다. 약속 이면의 아키텍처를 이해하고, 어느 수준의 의존성을 감수할 것인지 결정하는 일은 기업 스스로의 몫이다.
dl-itworldkorea@foundryco.com