디지털 전환과 클라우드 확산으로 인해 신원 기반 보안의 중요성이 급격히 커지고 있는 가운데, ID 보안 체계에 대한 기업들의 과신이 실제 보안 실행력 부족으로 이어지고 있다는 분석이 나왔다.

AI 기반 관리형 ID 솔루션(MISP) 분야의 선도 기업 비욘드아이디(BeyondID, CEO 아룬 슈레스타)가  발표한 ‘신뢰의 역설: 신원 보안의 준비 망상’ 보고서에 따르면 많은 기업들이 자사의 ID 보안 태세를 ‘확립됨’ 또는 ‘고급’ 수준으로 평가하고 있지만, 실제 보안 관리 수준은 이와 동떨어진 모습을 보이고 있다.

ID 보안 과신과 실제 실행의 불일치

보고서에 따르면 조사 대상자의 74%가 자사의 ID 보안 체계를 ‘확립됨’ 또는 ‘고급’으로 평가했으나, 실제로 ‘고급’이라고 평가한 기업들은 12가지 모범 보안 관행 중 4.7개만 적용하고 있는 것으로 나타났다. 이는 5.1개를 시행하고 있는 ‘기존’ 기업보다도 낮은 수준이다.

또한 다중 요소 인증(MFA)을 모든 사용자에게 적용하는 기업은 60%에 불과하며, 정기적인 사용자 접근 검토를 시행하는 기업은 40%에 머물렀다. 최소 권한 접근 모델을 운영하는 비율도 27%에 그쳤다. 사이버 보안 예산 중 ID 보안에 20% 이상을 배정한 기업은 30% 이하로 나타났다.

지난 24개월 동안 응답 기업의 72%가 최소 한 번 이상의 공격을 경험했으며, 46%는 여러 차례 공격을 받았다. 전체 침해 사건 중 38%는 직원 자격 증명 유출에서 비롯됐고, 38%는 무단 접근으로 이어지는 피싱 공격이 원인이었다.

36%는 신원 자격 증명과 관련된 데이터 침해를 경험했으며, 34%는 신원 문제로 규정 준수 감사에서 실패했고 이 중 14%는 반복적으로 실패했다. 응답자의 85%가 침해를 24시간 내에 탐지할 자신이 있다고 답했지만, 실제 침해의 주요 결과로는 운영 중단(71%), 평판 손상(45%), 재정적 손실(41%)이 꼽혔다.

실행력 강화와 보안 격차 해소 방안

보고서는 인식과 현실의 격차를 해소하기 위해 ▲모든 사용자 대상 MFA 적용 ▲정기적 접근 권한 검토 ▲최소 권한 모델 구축 등 기본 보안 통제의 보편적 적용 ▲자체 평가를 넘어선 제3자 기준의 객관적 검증 ▲ID 보안에 대한 예산 비중 확대를 권고했다.

비욘드아이디의 아룬 슈레스타(Arun Shrestha) CEO는 “많은 조직이 자신감을 표출하지만 운영상의 엄격함이 뒷받침되지 않는다. 인식과 현실의 괴리가 조직을 위험에 빠뜨리고 있다.”라고 강조했다.

이번 보고서는 의료, 금융, 기술 등 다양한 산업군의 부사장, 이사, 관리자 등 미국 IT 리더 500명을 대상으로 한 2025년 비욘드아이디의 설문조사에 기반해 작성됐다. 보고서는 ID 보안을 단순한 기술 문제가 아닌 기업 전반의 리스크 관리 핵심 영역으로 강조하고 있다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BPF Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPF Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.