비인간 ID(Non-Human Identity, 이하 NHI)는 주로 AI(인공지능)비나 로봇 등 비인간적 존재에 대해 부여되는 ID로, 비인간 ID는 AI 선택, 로봇, 자동화 시스템 등이 특정 활동이나 데이터, 의사 결정 과정에서 누가 그 일을 수행할 것인지 추적할 수 있도록 할 수 있다. 인간과 비인간적 존재의 활동을 구분하거나 관리하는 데 유용할 수 있다.

그러나 NHI가 취급하는 AI 로봇의 권한을 악용하는 경우가 발생할 수 있고, ID와 연결 데이터 연결로 개인정보와 데이터를 탈취하거나 시스템 이상을 유발하는 보안 위험도 발생할 수 있다.

조사에 따르면 NHI의 97%가 과도한 권한을 가지고 있어 무단 접근을 증가시키고 공격 표면을 확대하고 있는 것으로 나타났다. 또한 조직의 92%가 NHI를 제3자에게 노출시켜 제3자의 보안 관행이 조직의 표준과 일치하지 않을 경우 무단 접근이 발생할 수 있는 것으로 드러났다.

이는 NHI 및 보안 관리 플랫폼 전문업체인 엔트로 시큐리티(Entro Security)가 발표한 ‘2025년 사이버 보안의 비인간 ID 및 보안 현황’ 연구 보고서를 통해 발표됐다.

보고서에 따르면, 토큰의 44%가 팀즈, 지라 티켓, 컨플루언스 페이지, 코드 커밋 등의 플랫폼을 통해 전송되거나 저장되는 등 외부에 노출되고 있다. 이러한 방식은 민감한 정보가 노출될 심각한 위험에 처하게 하며, 이는 모든 보안 및 비인간 ID 유출의 근본 원인이 된다.

엔트로 시큐리티 랩의 연구는 인간과 NHI의 처리에 관한 추세를 보여주며, 조직 전반에 걸쳐 상당한 오구성과 위험이 만연해 있음을 지적하고 있다.

각 인간 ID당 평균 92개의 비인간 ID를 보유하고 있어 비인간 ID가 많아지면 ID 관리가 복잡해지고 보안 취약성의 가능성이 커진다.

전 직원 토큰의 91%가 여전히 활성 상태로 남아 있어 조직이 잠재적인 보안 침해에 취약하다.

조직의 50%가 적절한 보안 승인 없이 새로운 볼트를 온보딩하고 있어 처음부터 취약점과 잘못된 구성이 발생할 수 있다.

보안시스템의 73%가 잘못 구성되어 있어 무단 접근과 민감한 데이터 노출, 시스템 침해로 이어질 수 있다.

NHI의 60%가 과도하게 사용되고 있으며, 동일한 NHI가 둘 이상의 애플리케이션에서 사용되어 노출될 경우 단일 실패 지점과 광범위한 침해의 위험이 증가한다.

모든 보안의 62%가 여러 위치에 저장되어 불필요한 중복을 야기하고 우발적인 노출의 위험을 증가시킨다.

비인간 ID의 71%가 권장 시간 내에 순환되지 않아 시간이 지남에 따라 침해 위험이 증가한다.

보고서는 또한 조직들이 NHI와 보안 관리 관행을 재평가해야 한다고 강조하고 있다.

이 보고서의 데이터는 정량적 데이터 분석과 정성적 통찰을 통합하는 혼합 방법론 접근 방식을 사용하여 수집되었다. 정량적 요소는 보안 사고와 취약점의 통계적 분석에 중점을 두고 있으며, 정성적 측면은 이러한 발견 사항들을 더 넓은 사이버 보안 환경 내에서 맥락화하고 해석한다. 데이터 출처에는 엔트로의 사이버 보안 인프라에서 얻은 독점 데이터, 공개적으로 이용 가능한 업계 보고서의 2차 데이터, IT 및 보안 전문가들을 대상으로 한 설문 조사 데이터가 포함된다.