많은 기업들이 생산성과 운영 효율성을 높이기 위해 AI 에이전트, 서비스 계정, API 같은 머신 아이덴티티를 적극 도입하고 있다.

이로 인해 아이덴티티를 안전하게 관리하고 공격 표면을 줄이기 위한 최적의 아이덴티티 보안 솔루션 도입이 그 어느 때보다 중요해졌다. 비밀번호, 사용자 이름, 생체 인식 등으로 검증되는 휴먼 아이덴티티와는 달리, 머신 아이덴티티는 API 키, 토큰, 인증서 등 크리덴셜에 기반한다. 이 크리덴셜이 제대로 관리되지 않거나 인지되지 못할 경우 공격자에게 악용될 수 있다.

세일포인트가 2024년에 실시한 글로벌 설문조사에 따르면, 전체 기업의 약 70%가 휴먼 아이덴티티보다 더 많은 머신 아이덴티티를 관리하고 있다고 한다. 또한, 가트너는 2028년까지 엔터프라이즈 소프트웨어 애플리케이션의 3분의 1에 에이전틱 AI가 포함될 것이며, 이들이 일상적인 업무 결정의 15%를 자율적으로 수행할 것이라 전망하고 있다.

그럼에도 불구하고 조사에 참여한 기업의 57%는 여전히 논휴먼 아이덴티티에 부적절한 접근 권한이 부여된 경험이 있다고 답했다. 이 같은 취약점은 단순한 보안 리스크에 그치지 않고, 애플리케이션 출시 지연, 시스템 장애, 기업 평판 훼손 등 심각한 운영상의 문제로 이어지고 있다.

머신 크리덴셜, 휴먼과 동일한 수준의 통제 필요

이러한 리스크를 줄이기 위해 나는 고도화된 아이덴티티 보안 체계를 구축하고 크리덴셜 위생을 철저히 관리할 필요성을 강조하고 있다. 휴먼 크리덴셜처럼 머신 크리덴셜도 정기적으로 교체하고, 더 이상 필요하지 않은 크리덴셜은 즉시 폐기해 악용을 방지해야 한다.

특히 오래되었거나 노출된 크리덴셜은 공격자들이 자주 노리는 진입점이기 때문에 더욱 철저한 관리가 필요하다. 기업은 모든 머신 아이덴티티에 강력하고 고유한 암호화 키와 디지털 인증서를 적용하고, 자동화된 크리덴셜 관리 및 실시간 모니터링 체계를 갖춰야 한다. 자율적으로 작동하며 여러 데이터 소스와 시스템에 접근하는 AI 에이전트의 경우에도 휴먼 및 머신 아이덴티티와 동일한 수준의 가시성, 거버넌스, 통제를 적용해야 한다고 생각한다.

머신 아이덴티티의 라이프사이클, 자동화로 통합 관리

나는 기업들이 이러한 위협에 선제적으로 대응하기 위해 혁신적인 아이덴티티 보안 솔루션에 과감히 투자해야 한다고 믿는다. AI 에이전트를 위한 자동화된 아이덴티티 거버넌스와 액세스 권한 인증 관리뿐만 아니라, 머신 아이덴티티의 전체 라이프사이클을 생성부터 폐기까지 추적 및 관리하고, 각 아이덴티티를 보안 및 컴플라이언스 정책에 따라 통제하는 일이 반드시 포함되어야 한다. 이처럼 높은 수준의 통제력을 확보함으로써, 조직은 잠재적인 보안 위협과 컴플라이언스 이슈에 선제적으로 대응할 수 있으며, 점점 더 다양해지는 아이덴티티 유형도 효과적으로 관리할 수 있다고 확신한다.

오늘날과 같이 위협이 더욱 정교하고 복잡해지는 환경에서는, 모든 디지털 아이덴티티와 그 액세스 권한을 보호하는 일이 이제 더 이상 선택이 아닌 비즈니스의 기본 요건이 되었다. 나는 기업들이 아이덴티티 보안을 단순한 IT 영역이 아니라 리스크 관리와 비즈니스 연속성을 위한 핵심 전략으로 인식해야 한다고 강하게 주장한다.

(*이 기고문은 GTT KOREA의 편집 방향과 다를 수 있습니다.)