김주헌 세일포인트 수석 솔루션 컨설턴트가 9일 바이라인플러스와 진행한 ‘세일포인트 아이덴티티TV 2026’ 웨비나에서 ‘보안 트렌드: 강화되는 ISMS-P 인증 내용 및 SailPoint를 통한 대응 방안’을 주제로 발표하고 있다. (출처=바이라인네트워크)
|

세일포인트, ISMS-P 대응해 계정 생애주기 자동화…AI 에이전트까지 통합 관리

직원이 퇴사한 후에 계정이 남거나, 직무가 바뀌었는데 이전의 권한이 유지되는 등의 문제는 기업 계정 관리의 대표적인 허점이다. 특히 클라우드와 서비스형 소프트웨어(SaaS)가 늘면서 한 사람의 계정과 권한이 여러 시스템에 분산됐다. 기업이 계정 현황을 빠짐없이 파악하고 불필요한 권한을 제때 회수하기도 어려워졌다.

여기에 더해 인공지능(AI) 에이전트의 등장은 관리해야 하는 범위를 더 넓혔다. AI 에이전트는 서비스 계정과 애플리케이션 프로그래밍 인터페이스(API) 키를 이용해 기업 데이터에 접근하고 업무를 수행한다. 기업이 관리해야 할 디지털 신원인 ‘아이덴티티’가 임직원에서 머신과 AI 에이전트로 확대된 것이다.

세일포인트는 9일 바이라인플러스와 진행한 ‘아이덴티티TV 2026(IdentityTV 2026)’ 웨비나에서 ‘강화되는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증과 AI 확산에 대응하는 아이덴티티 보안 전략’을 소개했다.

이날 세일포인트는 ▲먼저 조직 안의 계정과 애플리케이션을 찾아낸다. 이후 ▲사용자의 입사와 인사이동, 퇴사에 맞춰 권한을 자동으로 조정한다. 그리고 난 후 ▲AI 에이전트가 어떤 데이터에 접근하고 무슨 행동을 하는지 한 플랫폼 안에서 관리한다는 세단계 방안을 제시했다.

ISMS-P, 서류 넘어 계정 회수까지 현장 검증

김주헌 세일포인트 수석 솔루션 컨설턴트는 ISMS-P 인증제도 개편으로 기업의 계정과 권한 관리 방식도 달라져야 한다고 강조했다.

기존 ISMS-P 인증은 관리체계 수립과 운영, 보호대책, 개인정보 처리 단계 등 총 101개 세부 점검 항목으로 구성된다. 기업이 보안정책과 업무 절차를 갖추고 관련 증적을 제출하면 심사원이 이를 확인하는 방식이다.

김 컨설턴트는 정부가 기존의 서류와 증적 중심 심사를 실제 운영 상태를 확인하는 방향으로 바꾸고 있다고 설명했다. 취약점 진단과 모의침투, 소스코드 진단 같은 기술 검증을 확대하고 실시간 시연 방식의 현장 심사도 도입할 예정이다.

퇴직자와 직무 변경자의 권한이 실제로 회수되는지도 확인한다. 심사 과정에서 테스트 계정에 퇴직이나 직무 변경 상황을 부여한 뒤 해당 계정과 권한이 즉시 조정되는지를 점검하는 방식이다.

김 컨설턴트는 최근 3년간 ISMS·ISMS-P 인증기업 가운데 약 14%에 해당하는 179개사에서 침해사고가 발생했다고 전했다. 인증을 받은 시점에만 보안체계를 갖추고 이후 운영 상태를 제대로 관리하지 않는 문제를 줄이기 위해 사후 점검도 강화된다는 설명이다.

정부는 강화인증과 표준인증, 간편인증으로 인증체계를 나누는 방안도 추진하고 있다. 강화인증 기준의 예시에는 계정 생성과 수정, 비활성화, 삭제 등 계정 생애주기 전반을 자동화하고 계정 상태 변경을 실시간으로 반영하는 내용이 포함됐다.

김 컨설턴트는 강화된 인증에 대응하려면 인사정보와 계정관리 시스템을 연결해야 한다고 강조했다. 직원이 입사하면 업무에 필요한 기본 권한을 부여하고 부서와 직무, 직급에 따라 추가 권한을 설정하는 방식이다.

휴직이나 인사이동이 발생하면 기존 권한을 다시 검토한다. 퇴사할 때는 사용자가 보유한 여러 시스템의 계정과 권한을 자동으로 회수한다.

정기적인 접근권한 검토를 통해 사용하지 않는 권한도 제거한다. 사용자가 업무상 필요한 범위를 넘어선 권한을 갖고 있거나 직무분리(SoD) 정책을 위반하면 경고를 발생시키고 권한 검토 절차를 시작한다. 계정 생성과 승인, 변경, 회수 과정은 기록으로 남긴다. 기업은 이를 ISMS-P 심사나 내부 감사에서 보안정책을 실제로 이행했다는 근거로 활용할 수 있다.

김 컨설턴트는 “대부분의 기업은 아이덴티티 보안을 위한 기본 정책과 절차를 보유하고 있다”며 “문제는 정책을 기술적으로 얼마나 정확하게 이행할 수 있느냐는 것”이라고 말했다.

수천개 애플리케이션, 모두 같은 수준으로 통제할 수 없다

계정 생애주기 자동화의 전제는 기업이 사용하는 시스템을 파악하고 연결하는 것이다. 이윤혁 세일포인트 솔루션 엔지니어는 “애플리케이션과 데이터, AI가 늘어나는 상황에서 모든 시스템에 같은 수준의 통제를 적용하기는 어렵다”고 설명했다.

대규모 기업은 수천개에서 많게는 1만개 이상의 애플리케이션을 사용한다. 인수합병과 부서별 SaaS 도입, 업무 도구 확산이 이어지면서 정보기술(IT) 부서가 파악하지 못한 ‘섀도우 IT’도 늘어난다. 고객정보와 재무자료, 설계자료, 연구정보 등 기업 데이터도 여러 저장소에 분산돼 있다. 현업 부서가 직접 파일과 폴더의 공유 권한을 설정하면 중앙 보안조직은 누가 어떤 데이터에 접근할 수 있는지 파악하기 어렵다.

최근에는 조직의 승인 없이 AI 서비스를 사용하는 ‘섀도우 AI’도 본격적인 관리 대상으로 떠올랐다. AI 에이전트가 서비스 계정과 API 키로 여러 시스템에 연결되면서 사람 계정만 관리해서는 전체 접근 경로를 확인하기 어려워졌다.

세일포인트는 시스템의 중요도와 위험에 따라 관리 수준을 나누는 ‘0-1-4 커넥티비티(0-1-4 Connectivity)’ 체계를 제시했다. 모든 시스템에 강한 통제를 일괄 적용하지 않고 먼저 사용 현황을 파악한 뒤 필요한 수준의 거버넌스를 적용하는 구조다.

‘0클릭’ 단계는 가시성 확보에 초점을 맞춘다. 브라우저와 기존 자산관리 시스템 등을 통해 조직에서 사용하는 SaaS와 AI 서비스를 찾는다. 관리체계에 포함되지 않은 애플리케이션과 섀도우 IT, 섀도우 AI를 파악하는 단계다.

‘1클릭’ 단계에서는 세일포인트가 제공하는 1000개 이상의 커넥터를 이용해 애플리케이션을 아이덴티티 관리체계와 연결한다. 사용자 계정 생성과 권한 요청, 접근권한 검토, 인증 절차 등을 자동화할 수 있다. 승인하지 않은 AI 서비스를 발견하면 경고만 보내는 데 그치지 않는다. 조직 정책에 따라 접근을 제한하거나 승인된 서비스로 사용자를 유도할 수 있다는 설명이다.

‘4클릭’ 단계는 전사적자원관리(ERP)와 금융시스템, 주요 데이터 플랫폼처럼 세부적인 권한 통제가 필요한 영역에 적용한다.

ERP에서는 한 사용자가 거래처를 만들고 대금 지급까지 승인하지 못하도록 직무분리 정책을 설정할 수 있다. 데이터 플랫폼에서는 특정 역할이 누구에게 부여됐는지, 현재도 해당 권한이 필요한지, AI 에이전트가 업무 범위를 넘어선 데이터에 접근하는지를 확인한다.

표준 API나 커넥터를 제공하지 않는 기존 시스템은 ‘로봇 프로세스 자동화(RPA)’ 도구와 연결해 관리 범위에 포함할 수 있다. 오래된 시스템이라는 이유로 계정과 권한 관리 대상에서 제외하지 않겠다는 접근이다.

이윤혁 세일포인트 솔루션 엔지니어가 9일 열린 ‘세일포인트 아이덴티티TV 2026’ 웨비나에서 ‘원활한 아이덴티티 보안 확장: SailPoint 커넥티비티의 강력한 힘’을 주제로 발표하고 있다. (출처=바이라인네트워크)

세일포인트는 사용자의 소속과 직무, 보유 권한, 위험 수준 등을 ‘아이덴티티 컨텍스트’로 묶어 관리한다. 보안 정보 및 이벤트 관리(SIEM) 시스템에서 이상 로그인을 탐지하면 해당 사용자가 누구인지, 어떤 권한을 가졌는지, 민감 데이터에 접근할 수 있는지를 함께 확인하는 방식이다. 단일 보안 경고만 보는 것보다 사건의 위험도와 대응 우선순위를 구체적으로 판단할 수 있다.

이윤혁 엔지니어는 “커넥티비티는 단순히 시스템을 연결하는 기술이 아니다”며 “적절한 시스템에 적절한 시점과 수준의 거버넌스를 적용하기 위한 전략”이라고 말했다.

AI 에이전트의 신원과 행적, 모두 감시해야

김환일 세일포인트 솔루션 엔지니어 부장은 “AI 에이전트를 기업의 공식적인 아이덴티티 관리 대상으로 편입해야 한다”고 강조했다.

AI 에이전트는 중앙 IT 조직이 일괄적으로 개발하고 배포하는 방식으로만 확산하지 않는다. 개발팀은 클라우드 AI 플랫폼을 이용하고 영업팀은 고객관계관리(CRM) 서비스에 포함된 AI 기능을 사용할 수 있다. 각 부서가 업무에 필요한 에이전트를 개별적으로 만들 수도 있다.

이 과정이 중앙 관리체계 밖에서 진행되면 기업은 어떤 AI 에이전트가 존재하는지 파악하기 어렵다. 누가 만들었고 어떤 업무를 담당하는지, 어떤 시스템과 데이터에 접근하는지, 누가 해당 에이전트의 권한을 책임지는지도 불분명해진다.

AI 에이전트는 사람보다 빠른 속도로 여러 시스템을 호출하고 반복 작업을 수행한다. 과도한 권한을 가진 에이전트가 침해되거나 잘못 작동하면 짧은 시간에 여러 시스템과 데이터로 피해가 확산할 수 있다.

단순 조회 업무를 맡은 에이전트가 데이터 수정이나 대량 내려받기 권한까지 갖고 있다면 평소에는 문제가 드러나지 않을 수 있다. 공격자가 해당 권한을 악용하거나 에이전트가 예상하지 않은 행동을 하면 피해 범위는 달라진다.

세일포인트는 AI 에이전트 관리체계로 ‘세일포인트 에이전틱 패브릭(SailPoint Agentic Fabric)’을 제시했다. 에이전틱 패브릭은 ▲AI 에이전트 탐지와 통합 등록 ▲실시간 거버넌스와 감사 ▲권한 부여·보호·대응 등 세 영역으로 구성된다.

첫 단계에서는 브라우저와 엔드포인트, AI 플랫폼 등 여러 환경에 흩어진 에이전트를 찾아 하나의 등록부에서 관리한다.

에이전트 목록만 작성하는 것은 아니다. 소유자와 업무 목적, 연결된 사용자, 접근 가능한 시스템과 데이터를 함께 기록한다. AI 에이전트를 단순한 소프트웨어가 아니라 권한을 갖고 업무를 수행하는 아이덴티티로 관리하는 방식이다.

두 번째 단계에서는 에이전트의 권한을 검토한다. 해당 권한이 왜 필요한지, 누가 승인했는지, 현재도 사용해야 하는지, 보안정책을 위반하지 않는지를 확인한다.

사람 계정과 마찬가지로 AI 에이전트에도 최소 권한 원칙을 적용한다. 필요한 권한만 부여하고 업무가 바뀌거나 에이전트를 폐기하면 관련 권한을 회수한다. 고객정보나 재무정보에 접근할 때는 업무상 근거와 승인 기록도 남겨야 한다.

세 번째 단계에서는 AI 에이전트가 실제로 수행하는 행동을 확인한다. 어떤 데이터를 읽고 어떤 API를 호출하는지, 어느 시간대에 작업하는지, 기존 행동 양식과 다른 움직임이 나타나는지를 분석한다.

AI 에이전트는 정상적인 계정과 자격증명을 이용해 작업한다. 위험한 활동도 일반적인 시스템 호출처럼 보일 수 있다. 계정이 정상적으로 로그인했다는 사실이나 권한 보유 여부만 확인해서는 이상행동을 발견하기 어렵다는 설명이다.

위험 수준이 높아지면 권한을 줄이거나 계정을 비활성화하는 대응도 자동화할 수 있다. 엔드포인트 탐지 및 대응(EDR)이나 SIEM 시스템이 위협 신호를 보내면 관련 에이전트와 계정을 찾아 추가 인증과 권한 회수 절차를 실행하는 방식이다.

서로 다른 보안 솔루션이 위험정보를 실시간으로 교환하는 ‘공유 신호 프레임워크(SSF)’도 활용한다. 악성코드나 이상 로그인 같은 위협 신호와 사용자·에이전트의 권한 정보를 연결해 대응 속도를 높이는 구조다.

김환일 부장은 “기업이 던져야 할 질문은 AI를 사용할 것인가가 아니라 어떻게 안전하게 확장할 것인가”라며 “AI 에이전트를 식별하고 거버넌스 체계에서 관리하며 운영 중 보호하고 대응할 수 있어야 한다”고 강조했다.

이날 세일포인트가 강조한 핵심은 ‘발견하고, 권한을 검토하고, 변화에 맞춰 회수하는 것’이다. 기업은 존재를 파악하지 못한 계정과 애플리케이션을 관리할 수 없다. AI 에이전트도 소유자와 업무 목적, 접근 범위를 확인할 수 있어야 보안 정책을 제대로 적용할 수 있다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.