멀티 클라우드 환경이 확산되며 인프라 거버넌스의 복잡성이 급격히 증가하고 있다. 수천 개의 자원 구성과 정책이 상호 의존하는 가운데, 플랫폼 팀은 보안 규제 및 표준 준수 문제를 대규모로 관리해야 한다. 하지만 대부분의 거버넌스·보안 도구는 ‘탐지 중심’으로 설계돼 위반 사항을 식별하는 데는 유용하나, 수정·검증·배포의 전 과정을 자동화하지 못해 수동 엔지니어링 부담이 누적되고 있다. HITRUST, FedRAMP 등 복잡한 규제 프레임워크를 적용하는 기업은 수십만 건의 위반 항목을 동시에 처리해야 하는 과제에 직면하고 있다.

인프라스트럭처 코드 플랫폼 기업 풀루미(Pulumi)는 AI 기반 정책 수정 기능을 탑재한 ‘풀루미 네오(Pulumi Neo)’를 공식 발표했다.

AI로 정책 위반 자동 수정, 규정 준수 자동화와 생산성 향상

네오는 정책 위반을 분석하고 적절한 IaC(Infrastructure as Code) 변경안을 자동 생성하며, 승인 워크플로를 통해 인적 검토 후 배포할 수 있도록 지원한다. 기업은 탐지에 그치지 않고 시정 조치를 병행함으로써 정책 위반 백로그를 근본적으로 줄일 수 있다.

네오는 임원 대시보드, 조직 전체 정책 관리, 승인 프로세스 통합 등 확장된 거버넌스 기능을 제공하며, 팀·엔터프라이즈·비즈니스 크리티컬 에디션에서 사용할 수 있다. 또한 Pulumi IaC로 사전 마이그레이션하지 않아도 모든 클라우드 인프라를 평가 및 수정할 수 있도록 설계됐다.

풀루미 고객사인 스피어 AI(Spear AI)의 마이클 헌터 CEO는 “코드형 정책(Policy as Code) 도입으로 문서 중심 검토 절차를 제거하고, 감사 승인 기간을 1년 반에서 3개월로 단축했다”고 밝혔다. 이는 정책 팩 기반 접근을 통해 감사인의 이해도와 검증 효율성을 동시에 높인 사례로 평가된다.

IDC의 짐 머서 부사장은 “거버넌스는 이제 탐지에서 대규모 해결로 이동하고 있다”며 “풀루미의 AI 기반 자동 수정 기능은 규정 준수 환경 내에서 문제를 식별할 뿐 아니라, 이를 즉시 시정할 수 있는 실행 체계로 전환시킨다”고 분석했다.

풀루미의 정책 관리 기능은 CIS, NIST, PCI DSS, HITRUST, ISO 27001, SOC 2 등 주요 규정 준수 프레임워크를 사전 내장하고 있다. 배포 시점의 정책 적용, 기존 인프라 스캐닝, 승인 기반 워크플로를 결합해 정책 관리의 전주기를 자동화한다. 이를 통해 플랫폼 팀은 기존의 탐지 중심 거버넌스를 시정 중심 체계로 전환하고, 기업 전체의 보안 신뢰도를 높일 수 있다.