디지털 전환과 함께 AI, 자동화, 노코드 도구가 급속히 확산되면서 사람 이외의 주체인 비인간 신원(Non-Human Identity, NHI)의 수가 기하급수적으로 증가하고 있다. 이로 인해 NHI가 포함한 자격 증명 기반의 보안 위협이 조직의 주요 공격 지점으로 부상하고 있으며, 이에 대한 체계적인 관리의 필요성이 대두되고 있다.

시크릿 보안 솔루션 기업 깃가디언이 비인간 ID 보안 통합 솔루션 'NHI 거버넌스(NHI Governance)'를 공개했다. 이 제품은 기업 보안팀과 IAM(Identity and Access Management) 조직이 복잡한 시스템 내에 분산된 비밀을 통합 관리하고, 증가하는 비인간 신원을 효율적으로 제어할 수 있도록 돕는다.

시크릿 관리 통합 및 정책 자동화 비인간 ID 거버넌스

NHI 거버넌스는 “볼트 스프롤(Vault Sprawl)”이라 불리는 문제, 즉 여러 보안 플랫폼에 분산된 자격 증명 관리의 복잡성을 해결하기 위해 설계되었다. 이 솔루션은 통합 시크릿 인벤토리를 기반으로, 하시코프 볼트(HashiCorp Vault), AWS 시크릿 매니저(Secrets Manager), 애저 키 볼트(Azure Key Vault), 아키리스(Akeyless), 딜리니아(Delinea) 등 다양한 시크릿 관리자와 연동되어 전체 기술 스택에 대한 실시간 추적과 중앙 집중식 가시성을 제공한다.

또한 모든 볼트에 대해 일관된 보안 정책 적용이 가능하며, 사고 대응 속도를 높이기 위해 관련 인시던트를 자동으로 연결하는 기능도 포함하고 있다. 이를 통해 수작업 조사를 최소화하고 보안 프로세스를 자동화할 수 있다. 중복되거나 오래된 자격 증명의 식별 및 볼트 마이그레이션도 지원한다.

시크릿 수명주기 전반 관리...NHI 위협 차단

NHI 거버넌스는 시크릿 단순 탐지를 넘어서, 전체 수명주기를 관리한다. 비인간 ID를 최소 권한 원칙에 따라 안전하게 생성하고, 이상 접근 패턴을 지속적으로 모니터링하며, 규정에 맞게 시크릿을 주기적으로 교체하고, 보안 사고 발생 시 즉시 폐기할 수 있도록 지원한다.

이를 통해 기업은 오버프리빌리지, 장기 인증 정보, 보안 정책 미준수 등으로 인해 발생할 수 있는 위협을 사전에 방지하고, 공급망 공격의 주요 진입점을 차단할 수 있다. 또한 모든 클라우드 및 온프레미스 환경에서 시크릿과 NHI의 생성·사용·폐기 이력을 추적하며, 권한 과다 여부와 공격 경로 가능성에 대한 맥락 정보를 시각화한다.

깃가디언 에릭 푸리에(Eric Fourrier) 공동창업자는 “가디언은 혼란스러운 NHI 환경에 구조와 일관된 정책을 제공함으로써 공격 표면을 줄이고, 보안 자동화를 실현한다.”라고 말했다.

실행 가능한 인사이트 제공 및 공격 표면 최소화

NHI 거버넌스는 NHI와 관련된 시크릿, 권한, 사용 패턴을 매핑해 과도한 권한이나 장기적으로 사용되는 비밀을 식별하고 제거할 수 있다. 이를 통해 조직은 실질적인 공격 경로를 사전에 차단할 수 있으며, 각종 정책 위반도 자동으로 탐지하여 전체 보안 태세를 강화할 수 있다.

특히 깃가디언의 솔루션은 시크릿 관리자와 직접 통합되어 손상된 시크릿에 대한 대응을 신속하게 처리할 수 있으며, 사용자의 환경 전반에 걸쳐 고도화된 보안 인프라를 구축할 수 있도록 지원한다.

깃가디언은 이번 출시를 통해 기존의 시크릿 시큐리티(Secrets Security)에 더해 NHI 거버넌스 기능을 통합해 비인간 신원을 보호하는 종합 보안 플랫폼으로 진화했다. 이 플랫폼은 현재 전 세계 60만 명 이상의 개발자와 스노우플레이크, ING, BASF 등 글로벌 기업이 활용 중이며, 깃허브에서 가장 많이 설치된 보안 애플리케이션으로도 평가받고 있다.