디지털 환경에서 사용자 이름, 비밀번호, 토큰 등 신원 인증 정보가 사이버 공격자의 ‘선택 화폐’로 자리 잡고 있다.

AI 기반 관리형 ID 솔루션 기업 비욘드아이디(BeyondID, CEO 아룬 슈레스타)는 ‘아이덴티티 경제: 아이덴티티 관리의 허점이 사이버 범죄를 조장하고 지속시키는 방식’ 보고서를 발표했다. 보고서는 신원 자격 증명 도난이 오늘날 사이버 범죄 경제를 부추기는 주요 원인임을 지적했다.

또한 보고서는 IAM(Identity and Access Management)의 구조적 취약점이 지속적으로 악용되고 있으며, 이에 따라 신원 우선 보안 전략이 시급히 요구된다고 강조했다.

AI가 확산시키는 위협

보고서에 따르면, 10개 기업 중 9개 이상이 신원 증명서 도용의 영향을 받고 있으며 이는 업계 전반의 가장 광범위한 보안 문제가 되고 있다. 특히 도난된 자격 증명을 활용한 공격은 가장 흔한 초기 벡터이자 탐지까지 평균 10개월이 소요돼 장기적 위협으로 이어지고 있다. 또 도난 자격 증명의 60%가 내부 행위자로부터 비롯되었으며, 상당수는 실수로 인한 것이었다.

생성AI 기술은 피싱 공격을 더욱 정교하고 설득력 있게 만들고 있으며, 대규모 자격 증명 수집을 자동화하는 데 활용되고 있다. 심지어 공격자는 자체적인 접근 위험을 수반하는 에이전트 AI ID까지 표적으로 삼고 있어 새로운 차원의 보안 위협이 나타나고 있다. 금융 서비스와 의료 산업은 침해 빈도가 가장 높은 분야로, 특히 미국 의료 분야는 거의 매 영업일 500명 이상의 환자 데이터가 유출되는 피해가 보고되었다.

슈레스타 CEO는 “신원 확인이 새로운 경계가 되었지만, 많은 조직은 여전히 그 중요성을 과소평가하고 있다”고 지적하며, 신원 관리를 백엔드 지원이 아닌 최전선 보안으로 인식해야 한다고 강조했다.

이번 연구는 Oktane 2025 세션에서 슈레스타 CEO와 바이오젠(Biogen)의 사이버 보안 부문 로라 커타치오가 함께 발표하며, 신원 관리 허점이 사이버 범죄의 암시장을 어떻게 확대시키는지, 그리고 AI 기반 방어가 기업을 보호하는 데 어떤 역할을 할 수 있는지 논의할 예정이다.

이번 보고서는 도난된 신원이 사이버 범죄 생태계를 유지·확산시키는 핵심 요소임을 입증했다. AI가 공격자에게 힘을 실어주는 상황에서, 기업은 IAM 취약점을 근본적으로 점검하고 신원 우선 보안 전략을 최우선 과제로 삼아야 한다는 경고를 던지고 있다.