GCP 결제 계정(Billing)·권한·프로젝트 관리 완벽 가이드

Google Cloud Platform(GCP)을 활용하는 기업과 팀에게는 단순히 서비스를 올리는 것 이상으로 중요한 과제가 있습니다.
바로 비용을 체계적으로 통제하고, 불필요한 권한을 최소화하며, 조직 전체의 거버넌스(운영 표준)를 일관성 있게 유지하는 것입니다.

GCP 환경은 프로젝트와 리소스가 빠르게 늘어나기 때문에, 초기에 설계와 정책을 제대로 잡아두지 않으면 어느 순간부터 비용이 통제 불가능하게 급증하거나, 보안 취약점이 방치되거나, 중복·비효율적인 리소스 관리 문제가 생기기 쉽습니다. 특히 여러 부서나 서비스 라인이 동시에 운영되는 조직에서는 결제 계정(Billing Account) 관리, IAM(권한 관리) 구조, 프로젝트 네이밍 규칙, 보안 정책 적용, IaC 기반 표준화가 긴밀하게 연결되어야 합니다.

이번 가이드는 헌엽 팀/조직이 여러 개의 GCP 프로젝트를 운영하고 있다는 가상의 시나리오를 전제로 작성되었습니다.
여기서는 다음과 같은 핵심 흐름을 단계별·실무 중심으로 다룹니다.

결제 계정 설계 – 조직 전체 비용 가시성과 정책 일원화를 위한 Billing Account 운영 전략
IAM 권한 관리 – 최소 권한 부여 원칙, 그룹 기반 권한 부여, 민감 권한 통제 방법
프로젝트 구조화 – 조직/폴더/프로젝트 계층 설계, 네이밍·레이블 표준화
보안 가드레일 – Organization Policy, VPC Service Controls, CMEK 암호화 등 필수 보안 정책
IaC(코드 기반 관리) – Terraform·Google Cloud Blueprints를 활용한 자동화와 변경 이력 관리

이 가이드를 끝까지 읽으면, GCP 환경을 처음부터 안전하고 효율적으로 설계하고, 운영 중인 조직이라면 비용 절감과 보안 강화를 동시에 달성할 수 있는 실무 팁을 모두 확인할 수 있습니다.
즉, 단발성 설정이 아닌 장기적인 클라우드 운영 체계를 구축하고 싶은 모든 분께 도움이 될 내용입니다.

Table of Contents

1. 결제 계정(Billing Account) 설계 전략

조직(Organization) 기준 단일 결제 계정을 기본 권장합니다.

장점:
- 모든 프로젝트 비용을 한 곳에서 확인 가능
- 세금계산서·결제 수단 관리 단순화
- 비용 정책 일원화로 통제력 강화
예외: 고객사별, 사업부별 강한 비용 분리 필요 시 결제 계정 2개 이상 운영 가능

결제 계정 연결 방법

프로젝트 생성
해당 프로젝트를 결제 계정에 링크
폴더 단위로 라우팅 시, 프로젝트 네이밍·레이블 표준화 → Budget/Alert와 연계

Budget·Alert 설정 필수

월 예산 + 임계치(50% / 80% / 100%)
초과 시 이메일 + Pub/Sub 알림
BigQuery, Cloud Run 등 비용 급증 리소스 별도 모니터링 규칙 설정

2. IAM(Identity and Access Management) 기본 원칙

최소 권한(Principle of Least Privilege)
역할 분리(Separation of Duties)
상속 가시화

그룹 중심 관리

사용자 개별 바인딩 지양 → Google 그룹 단위로 권한 부여
예: dev-team@company.com 그룹에 roles/compute.admin 권한 부여

역할(Role) 선택 가이드

Primitive Role(Owner/Editor/Viewer) 지양
사전 정의 역할(predefined roles) 우선: roles/compute.admin, roles/bigquery.dataViewer 등
필요 시 커스텀 역할 생성(필수 권한만 포함)

권한 범위(Level)

Organization: Org Admin, Billing Admin 등 소수만
Folder: 팀 리드, 서비스 라인별 관리자
Project: 운영/개발/데이터 팀별 세분화

민감 권한 통제

Billing Admin, Project Deleter, Service Account Key Admin → 보안팀 한정
Service Account Impersonation 활용, 키 발급 금지 정책 적용

3. 프로젝트 구조·네이밍·레이블 표준

조직 구조 예시

네이밍 규칙

프로젝트: prj-서비스명-환경-지역
리소스 접두어: svc, func, gke, bq 등

레이블(Label)·태그(Tag) 활용

필수 키: cost_center, owner, env, team, system, confidentiality
청구서/BigQuery 비용 분석에 활용 가능

4. 보안·거버넌스 가드레일 (Organization Policy)

외부 서비스 계정 키 생성 금지
공용 IP 제한(승인 절차 필요)
지역 제한(예: KR/ASIA)
CMEK(고객 관리 암호화 키) 필수
버킷·디스크 삭제 방지 옵션
VPC Service Controls로 데이터 유출 방지

5. 결제·비용 관리 운영

비용 태깅 자동화: Terraform/Blueprints에서 레이블 자동 부여
할인 정책: CUD, Savings Plan 검토 / Sustained Use 할인 활용
비용 가시화: Cloud Billing Export → BigQuery → Looker Studio 대시보드 → 월간 보고서 자동 발송

6. 접근 흐름(온보딩·오프보딩)

온보딩: Google 그룹에 추가 → 해당 그룹에 폴더/프로젝트 권한 부여 → SSO/SAML + 2단계 인증
오프보딩: 그룹 제거 → 리소스 소유권 전환
정기 점검: IAM Reconciliation, Access Transparency 로깅 확인

7. 서비스 계정(SA) 운영 전략

사람 계정 vs 워크로드 계정 분리
Workload Identity Federation / Pool 활용 → 키리스(keless) 접근
워크로드별 전용 SA 사용, 최소 권한 부여
SA Impersonation + Cloud Audit Logs로 추적성 확보

8. 네트워크·프로젝트 분리

환경별(dev/stage/prod) 프로젝트·VPC 분리
Shared VPC로 네트워크 표준화
Private Google Access, Cloud NAT, 서버리스 VPC 커넥터로 외부 노출 최소화

9. 감사·로깅·모니터링

Audit Logs(관리/데이터 액세스) 전면 활성화
장기 보관(Log Router → Cloud Storage/BigQuery/SiEM)
Security Command Center, Policy Intelligence, Cloud Asset Inventory 활용
Budget Alerts + Security Alerts를 Slack/이메일로 통합

10. IaC(Infrastructure as Code)로 표준화

Terraform/Google Cloud Blueprints로 조직 구조, IAM, 정책, 네트워크, 예산까지 코드화
GitHub Actions/Cloud Build로 변경 승인 및 기록 보존
Drift 감지(Terraform plan 주기 실행)

헌엽 팀을 위한 GCP 시작 체크리스트

조직·폴더·프로젝트 구조 확정 + 네이밍/레이블 표준 문서화
단일 결제 계정 + Budget/Alert 설정
IAM 그룹 중심 설계 + 민감 권한 최소화
서비스 계정 키 금지, Impersonation/Workload Identity 사용
Organization Policy, VPC SC, CMEK 등 보안 정책 적용
Billing Export → BigQuery → 대시보드, 비용 리포트 자동화
모든 변경 사항을 IaC로 관리

Disclaimer: 본 블로그의 정보는 개인의 단순 참고 및 기록용으로 작성된 것이며, 개인적인 조사와 생각을 담은 내용이기에 오류가 있거나 편향된 내용이 있을 수 있습니다.