기업이 직면한 보안 위협은 단순한 침입 탐지 이후 대응을 넘어, 신원 중심 취약점으로부터 시작된다. 따라서 차세대 보안 체계는 신원 계층을 중심으로 한 탐지·모니터링·자동 대응 구조를 반드시 포함해야 할 것이다.

글로벌 보안 기업 스파이클라우드(SpyCloud)가 미국과 영국 등지의 보안 리더 500여 명을 대상으로 보안 인식을 조사한 '2025 신원 인증 위협 보고서(2025 Identity Threat Report)'를 발표했다.

보고서에 에 따르면, 응답자의 86%는 자사 조직이 신원 기반 공격을 방어할 능력이 있다고 자신한다고 답했다. 전체 조직의 85%가 지난 1년간 최소 한 차례 이상 랜섬웨어 피해를 겪었으며, 그중 31%는 6~10회 피격 경험이 있었다.

신원 노출, 공격자의 출발점…가시성 확보 못하는 기업 다수

보고서는 조직들이 신원 기반 위험에 두려움을 느끼고 있으나, 정작 노출된 신원 증명(평문·재사용된 암호 등)을 탐지할 수 있는 기업은 38%에 불과하다는 사실을 강조했다. 

이는 신원 증명 재사용, 유출된 세션 쿠키, PII(개인식별정보) 등 과거 노출 요소가 기업 보안의 사각지대로 남아 있음을 의미한다.

스파이 클라우드는 다크웹 등에서 63.8억 건 이상의 식별 기록(identity records)을 재포착했으며, 이는 전년 대비 24% 증가한 수치이다. 공격자는 이들 자료를 바탕으로 피싱·세션 하이재킹·계정 탈취·사기 등 2차 공격을 감행한다.

 특히 피싱은 보고서에서 2025년 랜섬웨어 침투의 주된 시작점(35%)으로 지목되었고, 이는 작년 대비 10% 증가한 수치다. 

내부 위협 또한 신원 노출에서 시작된다. 공격자는 가짜 또는 변조된 신원을 활용해 내부자로 위장하거나, 정상 직원의 계정을 탈취해 내부 시스템 접근을 시도한다. 

기업의 대응 역량은 미흡...자동화 미비하고 프로토콜 부재 많아

보고서는 조직들이 신원 기반 위협에 대비하고자 하나, 탐지·대응 역량이 미비하다고 진단한다. 구체적으로 전체 조직의 57%는 노출된 세션을 무효화할 강력한 기능이 부족하다. 거의 3분의 2의 조직은 반복 가능한 대응 워크플로우가 없다고 답했으며, 공식화된 조사 프로토콜을 보유하지 않았다고 답했다. 한편, 전체 조직 중 단 19%만이 신원 노출 대응을 자동화한 시스템을 운영하고 있다. 

이처럼 대부분 조직이 수동·비체계적 방식에 의존한 대응 구조를 갖고 있으며, 보안 사고 이후 연쇄 위협 차단에는 한계가 있다.

신원 중심 보안 통합과 자동 대응 체계 구축 필요

보고서는 기업이 취해야 할 전략 방향으로 ▲직원·외부 사용자·제3자 신원 노출을 연동 분석(식별 기반 리스크 모니터링) ▲자격증명 및 세션 무효화, 노출된 크리덴셜 차단 기반 자동화된 대응 메커니즘 ▲보안·IAM·IT 조직 통합 대응 체계 구축: 역할 명확화로 중복·누락 방지 ▲과거+현재 노출 이력 결합 분석: 단발 노출이 아닌 연속 노출 패턴 인지를 꼽았다. 

이를 통해 기업은 ‘계정 중심 보호’에서 ‘신원 중심 보안’으로의 구조 전환을 이루고, 신규 위협 경로에 대한 가시성과 대응 속도를 높여야 한다.

트레버 힐리고스(Trevor Hilligoss) 스파이클라우드 보안 리서치 책임자 “공격자는 노출된 신원 정보를 기반으로 여러 경로를 연결해 접근을 시도하며, 전통적 행동 중심 보안 체계만으로는 이러한 복합적 위협을 막기 어렵다.”라며, “보안은 이제 ‘신원 계층(identity layer)’까지 확장되어야 한다.”라고 전했다.