세일포인트 “AI 시대, 보안의 중심은 아이덴티티에 있다”

에이전틱 AI 시대, 새롭게 떠오른 아이덴티티 보안 위협과 해법

“AI 시대에는 사람만 관리하면 안 된다.“

AI의 부상으로 보안 지형이 바뀌고 있다. 지정권 세일포인트코리아 지사장은 지난 15일 열린 세일포인트x바이라인플러스 웨비나 ‘아이덴티티TV’ 환영사에서 에이전틱 AI의 등장과 함께 달라진 보안 패러다임을 강조하며 이같이 말했다.

지 지사장은 “AI는 더 이상 단순한 도구가 아닌, 보안 결정을 내리는 주체로 진화하고 있다”며 “이제 보안은 아이덴티티를 중심으로 완전히 재편되고 있다”고 말했다.

이어 그는 “과거에는 사람, 협력사, 계약직 등 사람 중심의 권한 관리가 중요했다면, 이제는 AI 기반의 봇이 스스로 데이터를 불러오고 의사결정을 내리는 시대”라며 “AI 에이전트를 포함한 새로운 형태의 아이덴티티가 등장하면서 기업은 더 이상 경계 기반의 보안만으로는 안전을 보장할 수 없게 됐다”고 설명했다.

특히, 지 지사장은 아이덴티티 보안 위협에 대한 실무 사례를 언급하며 경각심을 불러일으켰다. 그는 “한 고객사의 경우, 4만개가 넘는 서비스 계정을 발견했고 그중 절반은 누가 만들었는지조차 모르는 상태였다”며 “이처럼 아이덴티티 보안은 기업 생존의 문제로, 빠르고 안전한 IT 자원 활용과 고객 경험 개선을 위한 촉매제”라고 강조했다.

모든 보안 위협은 아이덴티티에서 시작된다

지 지사장의 환영사에 이어 기조연설을 맡은 세일포인트 제품총괄 겸 최고기술책임자(CTO) 찬드라 그냐나삼반담(Chandra Gnanasambandam) 부사장은 ‘2025 아이덴티티 보안 대전망: 트렌드와 전략’을 주제로 발표하며, 세일포인트의 아이덴티티 기반 보안의 기술 전략을 구체적으로 제시했다.

찬드라 그냐나삼반삼 세일포인트 제품총괄 부사장 겸 최고기술책임자(CTO)가 15일 열린 세일포인트 웨비나 아이덴티티TV에서 발표하고 있다. (사진=바이라인네트워크)

그냐나삼반담 부사장은 “오늘날 대부분의 보안 사고는 아이덴티티에서 시작된다”며 “이제는 아이덴티티를 중심에 두고 보안 전략을 재설계해야 한다”고 강조했다.

이어 그는, “인공지능(AI)과 클라우드 확산으로 AI 에이전트가 늘고 있는 지금, 인간뿐 아니라 AI 계정을 포함한 통합 아이덴티티 거버넌스가 보안의 핵심 과제로 부상했다”고 설명했다.

또한 그냐나삼반담 부사장은 앞으로 3년간 세일포인트가 집중할 전략으로 ▲AI와 디지털 에이전트 포함한 아이덴티티 관리 확대 ▲정적 권한에서 ‘최소 권한·실시간 접근’으로의 전환 ▲위협 기반 권한 부여 자동화 ▲데이터 직접 접근을 포함한 워크로드 보안 ▲아이덴티티 기반 위협 탐지 및 분석 기능 강화 ▲보안 오케스트레이션 및 자동화 역량 확보 등을 제시했다.

이어 “기존 보안 운영센터(SOC)는 네트워크, 클라우드, 엔드포인트 중심으로 구성돼 있으나 정작 ‘아이덴티티’ 기반 위협 정보를 충분히 반영하지 못한다”며 “우리는 이 간극을 메우기 위해 아이덴티티 중심 위협 탐지와 예측 리스크 분석 기능을 앞으로 강화해갈 것”이라고 덧붙였다.

AI도 아이덴티티…보안 라이프사이클 관리해야

찬드라 부사장과 지정권 지사장이 세일포인트가 왜 지금 ‘아이덴티티 중심 보안’을 강조하고 있는지 그 배경과 필요성을 설명했다면, 시니어 솔루션 컨설턴트인 김환일 세일포인트 부장은 실질적인 실행 전략과 함께 고객들이 자주 묻는 현실적인 질문들을 중심으로 해법을 제시했다.

김환일 부장은 “이제는 아이덴티티 없이는 보안이 성립되지 않는다. 보안의 출발점이 경계에서 권한으로 완전히 이동했다”며 세일포인트의 세 가지 전략 축을 설명했다.

첫째는 AI 기반 보안 기능 고도화다. 자연어 검색, 문서 요약, 워크플로우 자동화를 지원하는 ‘하버 파일럿(Harbor Pilot)’을 비롯해 머신 계정 자동 탐지, 특권 작업 자동화(PTA) 기능이 여기에 포함된다.

둘째는 아이덴티티 컨텍스트 분석이다. 권한이 어디서 어떤 경로로 유입됐는지를 분석해, 불필요하거나 위험한 권한을 사전에 제거할 수 있도록 지원한다.

셋째는 통합 플랫폼 전략이다. 클라우드 기반의 아이덴티티 보안 플랫폼인 아틀라스(Atlas)를 기반으로 셀프 서비스 권한 해지, 사용자 맞춤 설명, 앱 자동 탐지 등의 기능을 제공하며, AI 기반 고급 분석 기능까지 함께 제공하고 있다.

김환일 세일포인트 부장이 15일 열린 세일포인트 웨비나 아이덴티티TV에서 발표하고 있다. (사진=바이라인네트워크)

이어, 김 부장은 AI 아이덴티티 보안과 관련해 자주 등장하는 질문들을 정리하며, 예상 답변과 함께 아이덴티티 보안에 대한 주요 위협과 대응 방안을 제시했다.

AI를 도입하면 가장 큰 보안 위협은 무엇인가?
가장 큰 위협은 통제되지 않은 AI 아이덴티티다. AI가 어떤 작업을 하는지, 왜 그런 행동을 하는지 추적이 어려운 상황이 가장 위험하다. 단 몇 초 만에 보안 위협으로 이어질 수 있다.

AI 아이덴티티와 기존 서비스 계정은 어떻게 다른가?
AI는 자율성과 속도에서 완전히 다르다. 기존 봇은 정해진 스크립트를 따르지만, 진화된 에이전틱 AI는 스스로 판단하고 권한을 요청하며, 사람보다 빠르게 대규모 작업을 수행한다. 기존 보안 모델로는 대응이 어렵다.

AI 권한 설계에는 어떤 모델이 필요한가?
정책 기반 아이덴티티 모델이 필요하다. AI가 수행하는 역할, 접근 대상 데이터의 민감도 등을 기준으로 등급화하고, 동적 접근 제어와 감사 추적 기능을 필수적으로 통합해야 한다.

최소 권한 원칙(Least Privilege)은 AI에도 적용 가능한가?
물론이다. 오히려 AI에는 더 철저히 적용돼야 한다. AI의 사용 패턴을 분석해, 필요한 시점에만 권한을 부여하고 바로 회수하는 ‘저스트 인 타임(Just-in-Time)’ 모델이 핵심이다.

효과적인 AI 아이덴티티 거버넌스를 위해 무엇이 필요한가?
대부분의 조직은 아직 이 구조를 제대로 갖추지 못했다. 사람처럼 AI에게도 도입, 권한 부여, 변경, 폐기까지 전 과정을 통제하는 ‘아이덴티티 라이프사이클’ 관리가 필요하다.

관련 규제는 어떻게 바뀌고 있나?
미국, 유럽, 아시아 전역에서 AI에 대한 책임성과 감사 가능성을 요구하는 규제가 빠르게 등장하고 있다. 지금 대응하지 않으면, 향후 훨씬 큰 비용과 리스크를 감수하게 된다.

앞으로 AI는 어떻게 진화하나?
AI는 단순한 자동화 도구가 아니라 자율적이고 상호작용하는 에이전트로 빠르게 발전 중입니다. 실시간 정책 실행과 책임 추적 체계는 선택이 아닌 필수가 될 것이다.

보안팀은 AI팀과 어떻게 협업해야 하나?
보안팀은 AI 프로젝트 초기 단계부터 참여해야 한다. 위험 모델링과 거버넌스 설계는 개발팀, 보안팀, 법무팀이 함께 설계해야 합니다. AI 보안은 전사 협업이 필요한 팀스포츠다.

AI 보안 프로그램의 성숙도는 어떻게 측정하나?
우선 AI 아이덴티티의 가시성부터 확보해야 한다. 조직 내 어떤 AI가 있고, 어떤 권한을 가지고 있는지 파악하는 것이 출발점이다. 이후 자동으로 AI 아이덴티티를 관리하고 정책 적용 정도까지 분석하게 되면, 그때는 AI 보안 프로그램의 성숙도를 평가할 수 있게 된다.