하이브리드 ID 환경의 확산은 조직의 효율성과 유연성을 증대시키는 동시에, 보안상 복잡성과 취약성을 높이고 있다. 특히 액티브 디렉토리(Active Directory), 엔트라 ID(Entra ID), 옥타(Okta) 등 다양한 인증 시스템이 혼합된 환경에서는 ID 기반 공격에 대한 노출 가능성이 증가하고 있으며, 이러한 위협은 기업의 보안 정책 강화와 사전 점검의 필요성을 높이고 있다. 시장에서는 AI 기반의 보안 점검 도구를 통해 위협 탐지와 취약점 평가를 자동화하고 정량화하려는 수요가 증가하고 있다.

기업 보안 점수 평균 11점 하락

AI 기반 ID 보안 솔루션을 제공하는 셈페리스(Semperis)가 ‘퍼플 나이트 2025 보고서(Purple Knight 2025 Report)’를 발표했다. 보고서는 하이브리드 ID 시스템을 운영하는 기업들이 여전히 주요 보안 취약점을 효과적으로 해결하지 못하고 있으며, 그에 따라 보안 평가 점수도 하락하고 있다고 밝혔다. 이번 보고서에서 기업들의 평균 점수는 100점 만점에 61점으로, 2023년의 평균 72점 대비 11점 낮아진 결과를 보였다.

보고서에 따르면, 퍼플 나이트의 전문가 지침을 적용한 사용자의 경우 평균 21점, 최대 61점까지 보안 점수를 개선할 수 있었으며, 도구의 실질적인 효과성을 입증했다. 셈페리스는 해당 도구를 통해 조직들이 취약점을 사전에 파악하고 개선책을 실행할 수 있도록 지원하고 있다고 밝혔다.

중견 기업 점수 낮아 AD 전문가 필요성 대두

조직 규모에 따른 보안 점수의 차이도 확인되었다. 직원 수 1만 명 이상의 대기업은 평균 73점을 기록했으며, 직원 수 500명 이하의 소규모 기업은 평균 68점을 나타냈다. 반면, 직원 수 2001명~5000명 사이의 중견 기업은 평균 52점으로 가장 낮은 점수를 보였다.

이에 대해 셈페리스의 아메리카 수석 기술자 숀 듀비(Shawn Dubie)는 “중견 기업은 전담 AD 전문가 없이 IT 인력이 모든 업무를 맡는 구조인 경우가 많다”고 설명했다.

산업별로는 정부 부문이 평균 46점으로 가장 낮았고, 소매업(51점), 운송 및 교육(57점)이 뒤를 이었다. 의료 부문은 평균 66점으로 상대적으로 높은 점수를 기록했으나, 여전히 낮은 수준임을 보여줬다.

퍼플 나이트가 분석한 6가지 취약점 범주 중 AD 인프라 항목의 점수가 가장 낮았고, 계정 보안, 케르베로스(Kerberos), 그룹 정책, 엔트라 ID, 옥타 순으로 점수가 분포되었다. 셈페리스는 "하이브리드 ID 환경은 위협 행위자들이 익히 알고 있는 복잡한 구조이며, 기업은 사전에 보이지 않는 취약점을 식별하고 보호해야 한다"고 강조했다.

숀 듀비는 “2025 퍼플 나이트 보고서의 낮은 평균 점수는 보안 격차 해소의 시급성을 보여준다”며, “규모에 관계없이 퍼플 나이트는 보안 침해 위험이 발생하기 전 문제를 식별하고 해결하는 데 도움을 준다”고 설명했다.

여러 사용자들은 퍼플 나이트를 통해 자사의 ID 보안 상태를 실질적으로 점검하고 개선 기회를 찾았다고 밝혔다. 글로벌 해운 기업의 인프라 팀장 밥 G(Bob G)는 “30개의 AD 숲 환경을 재편하는 과정에서 퍼플 나이트는 권한 구조의 문제와 보안 취약점 파악에 도움이 되었다”고 말했다.

IT 서비스 기업의 글로벌 관리자 호세 G(Jose G)는 “일부 시스템에서 공격을 당한 이후 퍼플 나이트를 실행해 보니 예상치 못한 보안 이슈가 발견되었다”고 말했다. 또 다른 사용자인 글로벌 인쇄 회사의 수석 아이덴티티 엔지니어 에릭 M(Eric M)은 “보안 침해가 없었다고 자신했지만 D- 점수를 받고 개선 필요성을 실감했다”고 밝혔다.

퍼플 나이트(Purple Knight)는 셈페리스 ID 보안 전문가들이 개발한 무료 액티브 디렉토리(Active Directory)보안 점검 도구이다. 현재까지 4만5000개 이상의 조직이 다운로드하였으며, AD 환경 내 185개 이상의 보안 위협 및 노출 지표를 검사한다. 점검 결과는 전체 점수와 6개 항목별 점수로 구성된 그래픽 보고서로 제공되며, 각 위험에 대한 해결 지침도 함께 포함된다.