사이버아크 ”폭증하는 ′머신·AI’ 계정, 모든 아이덴티티 통합 관리 시급“

By곽중희

“회사에 얼마나 많은 아이덴티티(계정)가 있는지 모르는 경우가 대다수입니다. 게다가 최근에는 챗GPT 같은 대규모언어모델(LLM)을 사용하면서 인공지능(AI) 에이전트가 사람보다도 훨씬 많은 아이덴티티를 가지게 됐습니다. 수많은 ‘머신 아이덴티티‘를 통합해 관리하지 않으면, 언제 어떤 보안 사고가 발생할 지 아무도 알 수 없습니다.” 

최장락 사이버아크 시니어 솔루션 엔지니어 이사는 3일 서울 파크하얏트 호텔에서 열린 ‘2025년 아이덴티티 보안 환경 리포트 및 비즈니스 전략’ 기자간담회에서 이같이 강조했다.

머신 아이덴티티는 기존 아이덴티티와 본질적으로 다르지 않다. 아이디·비밀번호나 인증서를 사람이 사용하면 사용자 계정이 되고, 서버·애플리케이션·로봇이 같은 수단을 사용하면 그것이 머신 아이덴티티다. 대표적인 예로 서버 간 통신에 쓰이는 SSH(Secure Shell) 키, 데이터베이스 접속 계정, 클라우드 애플리케이션의 인증서가 있으며, 로봇 프로세스 자동화(RPA, Robotic Process Automation) 같은 자동화 툴도 인증정보를 보관·사용한다. 최근에는 쿠버네티스(Kubernetes)나 젠킨스(Jenkins) 같은 개발·운영 환경에서 생성되는 키와 토큰, 그리고 AI 에이전트가 계정과 연동돼 자동으로 키를 사용하는 경우까지 모두 머신 아이덴티티에 포함된다.

문제는 이러한 인증 정보가 눈에 보이지 않는 곳곳에 흩어져 있어 관리가 어렵다는 점이다. SSH 키는 생성 후 어디에 복제됐는지 추적하기 힘들고, 한 번 유출되면 만료 없이 계속 악용될 수 있다. RPA에 저장된 계정 정보가 관리자 눈에 노출되는 경우도 있어 보안사고로 직결될 수 있다. 보이지 않는 수많은 머신 아이덴티티가 관리되지 않을 경우, 공격자는 이를 이용해 합법적인 사용자나 애플리케이션으로 위장해 내부 시스템에 침투할 수 있다.

기업 10곳 중 9곳, 아이덴티티 침해 경험… “관리 어려워“

사이버아크가 전 세계 20개국의 보안 책임자 2600명을 대상으로 조사한 ‘2025 아이덴티티 보안 환경 : APJ 주요 연구‘에 따르면, 최근 12개월 동안 기업 10곳 중 9곳이 아이덴티티 관련 침해를 겪었다. 특히, 피싱은 AI 기반 기술을 이용해 더욱 정교해지고 있으며, 응답 기업의 상당수가 지난 1년간 두 차례 이상 침해를 경험했다고 답했다. 기업의 95%가 AI나 LLM을 활용해 업무를 자동화하거나 보안을 강화하고 있지만, 동시에 공격자들이 같은 기술을 활용해 아이덴티티 탈취를 시도하고 있다는 점이 가장 큰 위협으로 꼽혔다.

또, 주목할 부분은 ‘머신 아이덴티티’의 폭발적인 증가다. 머신 계정은 사람 계정과 비교해 평균 82배 많으며, 이 중 40% 이상이 민감 데이터에 특권 접근 권한을 가지고 있는 것으로 조사됐다. 실제로, 국내 한 대기업은 사이버아크의 솔루션을 도입해 서버 계정을 취합한 결과, 수십만 개의 머신 키가 존재하는 것으로 확인됐다. 이 중 상당수는 어디에 복제돼 있는지 알 수 없는 상태였다.

아울러, 아이덴티티가 부서·프로젝트 단위로 흩어져 있는 사일로 구조 역시 심각한 취약성을 드러내고 있다. 응답자의 70%는 사일로가 조직 보안 위험의 근본 원인이라고 답했고, 절반 이상은 클라우드 권한에 대한 가시성을 확보하지 못하고 있다고 했다. 기업들은 세션 보호 도구를 보유하고 있지만, 중앙에서 통합적으로 가시성과 통제를 제공하지 못해 침해 대응이 늦어지는 경우가 많았다.

사람·머신·AI 아이덴티티, 한 플랫폼에서 통합 관리해야

이처럼 복잡해지는 아이덴티티 보안 환경에서 사이버아크는 ‘통합 플랫폼 전략‘을 앞세우고 있다. 사람과 머신이 사용하는 모든 아이덴티티를 단일 플랫폼에서 관리해 탐지·권한 제어·대응까지 가능하게 한다는 전략이다. 중앙에서 모든 아이덴티티를 한 눈에 보고 관제하는 것이다. 이를 위해 사이버아크는 올해 관련 기업들을 인수합병하고, 자체 솔루션 개발도 추진하고 있다.

2025년 2월에는 아이덴티티 거버넌스 기업 ‘질라시큐리티’를 인수해 서비스형 소프트웨어(SaaS)·웹 애플리케이션 계정 관리 역량을 확보했고, 2024년에는 인증서 자동화 관리기업 베나파이를 인수해 짧아진 SSL/TLS 인증서 유효기간 관련 문제에 대응할 수 있는 기술을 확보했다. 또 ▲내부 AI 서비스의 인증정보를 탐지·통제하는 ‘시큐어 AI 에이전트’ ▲클라우드·개발 환경에서 최소 권한 원칙을 자동 적용하는 ‘시큐어 워크로드 액세스’도 선보였다.

최장락 사이버아크 시니어 솔루션 엔지니어 이사가 3일 파크하얏트 서울 호텔에서 열린 ‘사이버아크 아이덴티티 보안 비즈니스 전략 기자간담회‘에서 발표하고 있다. (사진=사이버아크 제공)

최 이사는 “아이덴티티는 더 이상 사람이 쓰는 아이디·비밀번호만을 의미하지 않는다. 서버, 애플리케이션, AI 에이전트까지 모든 자산이 아이덴티티를 기반으로 움직인다”며 “이들을 중앙에서 통합 관리하지 않으면 기업은 인증 정보가 어디에 있는지조차 알지 못한 채 공격에 노출될 수밖에 없다”고 강조했다. 이어 “머신 아이덴티티 증 상당수가 특권 권한을 갖고 있다. 관리가 부실한 한 곳만 뚫려도 전체 시스템으로 번져나갈 수 있다”며 “사일로를 허물고 통합 플랫폼에서 모든 권한을 추적·제어하는 것이 필수”라고 지적했다.

사이버아크는 통합 아이덴티티 보안을 위한 비즈니스 전략을 6개로 구체화했다. ▲AI·애플리케이션 중심 보안 통제 강화 ▲클라우드 권한 가시성 확대 ▲특권계정관리(PAM) 고도화 ▲개발자 중심 최소 권한 접근 ▲클라우드 보안 강화 ▲아이덴티티 거버넌스 및 규제 준수 대응이다.

최 이사는 6개 전략 중, 특별히 ‘개발자 중심 최소 권한 접근‘ 전략을 사례로 들며 “여러 클라우드와 서비스에 접근하는 과정에서 개발자가 사용하는 계정과 권한은 방대하고, 업무 편의성을 이유로 과도하게 부여되는 경우가 많다”고 설명했다.

이어 “개발자 편의성을 해치지 않으면서 최소 권한 원칙을 적용하고, 업무가 끝나면 권한을 자동 회수하는 방식으로 보안을 강화해야 한다”며 “이는 단순한 기술적 과제가 아니라 기업 운영의 효율성과도 직결되는 문제”라고 강조했다.

추후 사이버아크는 AI 기반의 아이덴티티 보안 기술을 중심으로 국내 시장에서의 입지를 다질 예정이다. 정 이사는 국내 시장 전략에 대해 “국내 기업도 AI·클라우드 환경 변화 속에서 아이덴티티 통합 관리 필요성을 점점 더 체감하고 있다”며 “머신 아이덴티티 분야는 국내 벤더가 많지 않은 만큼 사이버아크가 집중적으로 서비스할 수 있는 영역”이라고 말했다.

사이버아크는 글로벌 아이덴티티 보안 전문기업으로, 특권계정관리(PAM)을 시작으로 클라우드·AI 시대에 맞는 통합 아이덴티티 보안 플랫폼을 제공하고 있다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.