AWS에서 Hetzner로 이전, 비용 90% 절감 및 Ansible로 ISO 27001 유지

 (medium.com/@accounts_73078)
1P by GN⁺ 12시간전 | ★ favorite | 댓글 1개
  • 미국 클라우드 서비스에서 발생하는 데이터 주권GDPR 준수 문제로 인해 유럽 클라우드로 이전 필요성 발생
  • 온전히 AWS의 편의성과 통합 서비스를 포기하면서도, Hetzner 등 유럽 호스팅으로 즉각적인 비용 절감과 데이터 명확성을 확보함
  • 인프라 운영 효율성을 위해 Ansible 기반 자동화와 자체 관리형 모니터링 시스템을 구축함
  • 직접 구축을 통해 보안 설계의 엄격함투명한 감사를 용이하게 하는 구조를 갖추게 됨
  • 90%의 비용 절감미국 감시 리스크 감소 등 비즈니스 측면에서도 전략적 이점을 얻음

AWS에서 유럽 클라우드(Hetzner)로의 전환 과정 및 ISO 27001 유지 전략

유럽 CTO의 고민: AWS를 벗어난 준수성 문제

  • 많은 기술 리더가 겪는 대표적 고민은 미국 클라우드 제공자의 한계에서 비롯됨
  • AWS에서 제공하는 강력한 ISO 27001 인증 서비스에 만족했으나, 미국 CLOUD Act 및 FISA로 인해 유럽 내 고객 데이터가 미국 관할권에 노출되는 문제를 피할 수 없음
  • 실제 서버의 위치와 무관하게 GDPR 약속을 지키기 힘든 상황 발생
  • 연간 $24,000에 달하는 클라우드 사용료가 실수요 대비 과도함을 인지하게 됨
  • 회사의 미래를 하나의 미국 기반 사업자에 의존하는 결정이 전략적으로 위험함을 실감함

Datapult의 실제 사례 소개

  • Datapult는 덴마크의 인력 관리 소프트웨어 기업으로 직원 스케줄링, 초과근무 수당 조정, 근태 데이터 관리 등 금융 수준의 신뢰성이 요구됨
  • AWS 기반 워크플로우에 맞게 법적 요건을 맞춰왔으나, 온프레미스 혹은 독립적 대체 서비스로의 이전 과정은 추가 법적 검토가 필요함

AWS를 떠날 때 우려와 실제 손실 요소

  • AWS의 통합된 편의성 포기는 심리적 진입장벽이 큼
  • Lambda, One-click RDS, 다양한 내장 규제 준수 툴 등 간편함과 자동화를 잃게 됨
  • 관리형 서비스에서 직접 제어와 책임 증가로 이어짐

유럽 클라우드의 기대 효과 및 현실적 이익

  • 유럽 서비스 제공자(Hetzner, OVHcloud)로의 이전으로 데이터 주권, GDPR, ISO 27001 측면에서 즉각적 이점 확보
    • 진정한 데이터 레지던시 증명을 통한 투명한 고객 소통 및 감사 대응
    • 예상 외의 비용 절감(90%) 및 예산 투명성 달성
    • AWS의 편리함을 포기하면서 기술적으로 더 강력한 자동화 절차(Ansible 구성) 와 보안성 증진 경험
  • 기존 대비 자율성과 혁신, 검증 가능한 인프라 확보

구체적 전환 전략과 주요 교훈

  • Ansible을 활용한 규정 준수 자동화
    • 모든 서버 구성을 ISO 27001 Annex A 통제에 직결시키는 방식의 셀프-도큐먼팅 인프라 관리 실현
  • AWS 대체 모니터링 시스템 구축
    • Prometheus, Grafana, Loki 조합을 통해 AWS CloudWatch 수준의 엔터프라이즈 모니터링 및 신속한 인시던트 대응 가능
  • 보안 설계 강화를 위한 보안-바이-디자인 구현
    • 관리형 보안툴 부재 상황에서 Ansible 자동화로 ISMS(정보보호관리체계) 강화와 개발자의 규정 준수 용이화 실현

기술을 넘어선 전략적 효과

  • 미국 감시 법률로 인한 컴플라이언스 리스크 최소화
  • 유럽 호스팅 인프라를 영업 차별화 포인트로 활용하며 신뢰도 및 브랜드 가치 제고
  • 절감된 클라우드 비용(90%)을 사업 본연에 재투자하는 구조 마련

전환 전략 적용 가이드 제시

  • 기존 AWS 인프라에서 주권을 갖춘 유럽 클라우드로의 마이그레이션 및 ISO 27001 유지 경험을 토대로 재현 가능한 가이드라인 제공 가능
  • CTO, 창업자가 AWS에서 유럽 클라우드로 전환을 고려할 때 비용 분석, 컴플라이언스 리스크, 이행 일정 등 맞춤형 상담 제공
    • 한 시간 내에 비용 차이, 주요 법적 리스크, 마이그레이션 초기 단계 정리 가능
GN⁺ 12시간전  [-]
Hacker News 의견

  • 우리는 직접 AWS의 핵심 기능들을 재구현함으로써 비용을 절감했지만, 많은 사람들이 DIY 스타일의 호스팅에서 드는 진짜 비용, 특히 24시간 지원 같은 부분을 간과함. 이런 지원을 집에서 만들어 쓰려고 하면 오히려 비용이 꽤 많이 들 수 있음. 연간 $24,000라는 AWS 사용료는 뛰어난 DevOps 프리랜서의 1~2개월치 또는 저임금 개발자 1/3 FTE 수준인데, 이 예산으로는 24시간 대응 지원을 기대하기 어려움. 물론 이런 선택이 합리적일 수도 있지만, 실제로 그만큼 개발 시간이나 관리에 드는 비용 등 모든 내용을 솔직하게 공개하지 않아서 아쉬움. 나도 비슷한 선택을 검토 중이나, 비용 절감보다는 독일 고객 등 비즈니스 요구 때문. 하지만 더 복잡해질 것이고 팀원 확충도 필요. CTO로서 내 시간은 한정되어 있는데 이런 작업에 직접 투입되는 건 시간 활용 면에서 최악임. 회사와 제품의 발전에 더 집중해야 한다고 생각. 개인적으로는 이런 작은 규모에는 Terraform이 과하다고 생각하고, Ansible이 더 잘 맞는 YAGNI(You Ain’t Gonna Need It) 케이스라고 느낌.

    • 사람들이 AWS, Azure, GCP 같은 대형 클라우드 업체가 실제로 24/7 어플리케이션 지원을 해준다고 오해하지만, 실상은 그렇지 않음. 그저 인프라가 "대체로" 잘 돌아가는 것일 뿐, 결국 제대로 쓰려면 여전히 전문가가 있어야 비용 폭탄이나 연동 문제를 직접 점검해야 함. 클라우드 실제 요금이 TCO(총 소유 비용)라는 이야기는 완전히 잘못된 신화임

    • AWS의 기능을 100% 복제하면 비용이 많이 들 수 있지만 80%만 필요하다면 상황이 달라짐. 또한 AWS를 세팅하고 지속적으로 기술을 갈고 닦아야 하는 노력도 무시할 수 없음. 예를 들어 AWS 대시보드 대신 grafana 등 더 나은 도구를 활용할 수도 있음. 결국 요구 사항의 규모와 다양성에 따라 달라짐. 항상 가장 비싼 해머가 정답은 아님

    • 절감 효과만 따져 보면 원래 2만4000달러의 90%인 2만1600달러를 연간 절감하는 셈. 하지만 이 정도 예산으로는 유럽 기준 SRE/DevOps 엔지니어를 뽑지 못함. 오히려 시간이 지날수록 직접 모든 인프라를 관리해야 해서 장기적으론 전체 소유 비용이 더 올라갈 것이라 생각. 그래도 도전을 응원함

    • 만약 미국 정부가 Amazon에 강제로 계정 정지를 요구할 리스크를 고려한다면 AWS를 쓰는 것이 위험할 수 있음. 최근 미국과 유럽(그린란드) 사이 전쟁 이야기가 나오는 상황에선 더 그렇다고 생각

    • 연간 $24,000라는 단순 계산법이 너무 순진하다고 생각. AWS에서 이 서비스들을 구축하는 데 몇 명이 필요한지, 본래 4만8천~10만 달러를 2만4천 달러로 줄이려면 인력이 얼마나 필요한지 등 구체적인 인력 비용 산정이 빠져 있다고 느낌

  • Prometheus, Grafana, Loki 조합만으로도 AWS에서 누리던 모니터링 수준을 직접 복제하거나 오히려 능가할 수 있었다고 생각. 이런 툴들이 이렇게 뛰어난데도 AWS의 모니터링 서비스는 비싸고 느리며 UX도 실망스럽다는 점이 항상 놀라움. 실제로 모니터링 비용 때문이 AWS 경험에서 가장 빠르고 불쾌했던 부분이었음

    • 실시간 로그 Live Tail 같은 단순한 기능조차 유료 서비스인 걸 보고 웃음이 나옴. 매일 로그를 보는 데 필수적인 기능조차 무료가 아니라니 CloudWatch(CW)는 정말 불편하다고 느낌

  • Hetzner의 주요 단점은 악성 사용자들로 IP가 오염되는 문제와 하드웨어 고장/업그레이드 필요성이 있음. 이런 점이 걱정되지 않았는지 궁금함. 또 Loki의 메모리 사용량 폭증 문제는 어떻게 해결하는지, 다른 대안은 없는지 궁금

    • IP 오염 문제는 Cloudflare를 통해 유저 접근을 프록시 처리하고, 방화벽(ufw)과 Cloudflare IP로 허용된 소스만 접속 가능하게 설정해 외부 접속 자체를 차단함. 하드웨어 장애/업그레이드는 Terraform 셋업으로 단시간에 교체 및 용량 확장 가능. Prometheus와 node exporter로 하드웨어 모니터링하며 사전 경보를 받고 있고, 9개월간 장애 없음. 앱은 데이터가 거의 없으며 데이터베이스는 빈번하게 복구 테스트함. Loki의 메모리 문제는 보관 정책과 인덱스 구분, 쿼리 동시성과 메모리 제한 튜닝, promtail 식 라벨 및 구조적 로깅 도입, 오래된 기록은 오브젝트 스토리지 백업이나 grep으로 대체 등 여러 방법을 조합해 해결

    • 우리가 경험한 Loki 문제는 기본 helm 등 배포 설정이 충분히 최적화되어 있지 않다는 데서 기인. 블로그에서 언급하는 퍼포먼스 팁대로 인덱스 재설정, 리드 전용 인스턴스 추가, 그 외 권장사항 반영 후 확실한 성능 향상을 경험함. 오픈소스보다는 자사 클라우드 서비스로 유도하려는 의도가 있으니 처음엔 삽질이 필요하다고 생각

    • Loki의 대안으로는 Victoria를 추천. 훨씬 빠르고 평판도 좋지만, 우리는 프로젝트의 유지보수자 다양성을 고려해 Loki를 선택. 위에서 얘기한 방법으로 단점 보완

    • https://en.wikipedia.org/wiki/Sybil_attack 링크 공유. 비싼 클라우드 업체가 PoW(작업증명) 방식 비슷하게 IP 평판을 갖추는 장점이 있음

  • ISO 27001은 국제 보안 관리 표준으로 유럽에서 인기 있는 지침임. 미국에서는 거의 적용되지 않고, 많은 유럽 회사들은 이 차이를 잘 못 받아들이는 경우가 있음. 미국 내 보안 표준의 기본은 SOC 2이며, ISO 27001보다 덜 엄격하고 미국 시장에 더 익숙함

    • ISO 27001은 원래 별로 딱딱하거나 빡빡한 기준이 아니고, 일반적으로 소프트웨어를 사용할 때 해야 할 기본을 요구함. 다만 실제로 문서로 증빙하는 게 까다롭고, SOC 2는 그에 비해 문서 작성 부담이 현저하게 적음

    • SOC 2와 ISO 27001 모두 경험해본 입장에서 SOC 2 심사는 실무 통제보다는 심사관의 역량과 직관에 좌우되는 측면이 많아 아쉬움. ISO 27001이 훨씬 명확하고 공정한 감사라고 느낌

    • ISO 27001 인증을 받지 않은 미국 클라우드 대기업을 하나만 꼽아달라고 질문

  • 나도 Azure로 비슷한 구성을 해 90% 절감함. 대기업이 고의적으로 복잡한 서비스 추상화 경험을 강요해 쉬운 운영이 점점 어려워지고 있다고 느낌

    • Azure의 비용 절감 사례에 대해 더 자세히 설명해달라고 요청

  • AWS에 비용을 지불하는 이유 중 하나는 운영 부담이 줄어든다는 점이고, 실제로 AWS의 관리형 DB를 쓰다 보니 예전처럼 mysql 클러스터 업그레이드에 스트레스를 안 느끼게 됨. 물론 이런 부분만으로 고비용을 정당화할 수는 없지만, 상당한 가치라고 생각

    • 이 지적에 공감. 실질적인 ISO 27001 인증을 하려면 업그레이드 프로세스도 내재화해야 효과적으로 개발/배포를 통제할 수 있음. 예를 들어 AWS RDS는 Postgres, MySQL의 메이저/마이너 업그레이드를 자동으로 수행하지 않고, 패치만 자동이고 나머진 내가 직접 해야 함. 클라우드/유럽 서버의 우위 비교가 아니라, 직접 복잡하고 인증된 환경을 운영하는 법에 대한 내용이 취지라고 봄. 고객이나 규제 비즈니스상 인프라 자율 관리를 해야 한다면 스스로 업그레이드하고 ISO 27001을 따는 게 맞지만, 그런 요구가 없다면 AWS RDS 등 클라우드 의존도 괜찮음

  • 숫자가 이해되지 않음. 연 $24,000에서 90% 절감해 월 $200이면 Hetzner 서버 1대 가격에 불과. 그런 상황이면 분산 시스템 없이 싱글 서버만 써도 될 것 같은데, 실제 초당 요청량이나 사용자 수가 궁금함

    • ISO 27001 준수하려면 싱글 서버로 운영이 안 되고 로그 및 모니터링 전용 별도 서버도 필요. 하중과 무관하게 반드시 복잡성이 따라옴. 직원들이 매일 로그인하지 않으며, 스케줄링 앱 특성상 주 1~2회만 확인하는 경우도 많음. DAU는 1만~2만, 피크 동시 접속은 1,500~2,000명 수준, 평균 동접은 50~150명. 클라우드 비용이 높아지는 이유는 실시간 기능과 복잡한 노동 규칙 등 앱에서 데이터 처리 부담이 큼. 예를 들어 교대 근무 배정 등은 보너스 계산 규칙까지 다르고, 스케줄 최적화도 연산량이 큼

    • $2,400이 아니라 $200임을 바로잡음

  • 디스크 암호화는 어떻게 하는지 궁금. AWS에선 자동이지만 일반 호스팅 업체에서 잘 구현하는 방법을 못 봤음. 암호화 키를 부팅 파티션에 저장하면 무용지물이란 점도 지적

    • ISO27001이 디스크 암호화를 반드시 요구하는 건 아니고 중요한 데이터의 적절한 보호 방법을 명시하면 됨. 특히 공유 하드웨어 환경에선 디스크 암호화가 가장 보편적인 수단. Hetzner는 ISO27001 인증 데이터센터에, 디스크 폐기 시 데이터 삭제 프로세스가 갖춰져 있으니 인증 요구사항을 충족할 수 있음

  • Hetzner를 정말 좋아해서 내 검색 엔진도 거기서 돌림. 물리서버를 쓰는 게 최고라고 생각

  • OVH, Hetzner 외에도 유럽 클라우드 중 UpCloud를 추천하고 싶음. UpCloud는 CPU 코어가 모두 실제 코어인 것 같고 vCPU(스레드 기반)가 아니라는 점이 장점. 다만 공식 참조가 부족해 아쉬움. OVH, Hetzner와 HyperScaler(초대형 클라우드) 비교는 쉽지 않은데, Hetzner의 경우 대부분이 소비자용 부품을 써서 차이가 있음. UpCloud 소개

    • 왜 저가 클라우드에는 진정한 IaaS 수준의 IAM(권한/정책/로그)이 항상 없는지 의아함. 콘솔 로그인만 있고, 진짜 퍼미션이나 역할, 머신 ID, 감사 로그까지 기본 제공이 안 됨. 오히려 OpenStack은 이런 기능을 이미 제공하는데 저가 클라우드는 다 다시 만든 느낌. UpCloud도 예시로 Crossplane 쓰는 가이드를 보면 API 크레덴셜을 콘솔 유저 레벨로 공유해서 위험해보임. Terraform으로는 관리가 힘드니 결국 upcli 등을 써야 하는 식. OpenStack Service Users OpenStack Federation UpCloud Crossplane 가이드 UpCloud subaccount 관리 UpCloud permission 설정
답변달기