“에이전트가 수행해야 할 작업 절차와 자동화 시나리오를 정의하기 위해 가장 먼저 필요한 것은 ‘본인 인증’입니다. 시스템을 사용하기 위한 가장 기본적인 요소는 ‘아이덴티티(신원)’라고 할 수 있습니다”
25일 장희재 옥타 아이덴티티 코리아 기술총괄(전무)은 <바이라인네트워크>가 서울 서초구 엘타워에서 연 ‘사이버보안 기술 전략 컨퍼런스 2025’에서 이같이 밝혔다.
장 총괄은 “오랜 시간 동안 시스템에 자신을 증명하기 위해 패스워드를 사용해 왔다”며 “아이덴티티 보안을 강화하기 위해 어떤 방식을 취해야 하는지 고민해야 한다”고 말했다.
그동안에는 내부 직원들만 애플리케이션(앱)에 접근해 네트워크로 보호되는 환경에서 업무를 수행했다. 하지만 클라우드와 AI 기술이 도입되면서 기업에 속한 구성원의 범위도 크게 달라졌다. 이제는 직원뿐만 아니라 계약직, 외부 파트너, 고객들도 내부 앱에 접근하는 구성원의 범위에 포함된다.
장 총괄은 “기업 환경에서 발생하는 데이터 유출 사고의 80% 이상이 아이덴티티 공격에서 비롯된다”며 “무심코 사용되는 계정, 통합, 사용자 인증 과정에서 사고가 시작되는 경우가 많고, 이러한 공격은 계속 증가하고 고도화되고 있다”고 설명했다.
특히 침해 사실을 인지하고 확산을 막기까지 걸리는 시간도 매우 길어졌다. 공격을 받은 후 어느 정도 수습이 된 상태에서도 공격의 원인을 파악하지 못하는 경우도 발생하고 있다.
장 총괄은 “지난해 포춘 1000대 기업 직원들로부터 탈취된 세션 쿠키가 19억 개에 달한다”며 “(시스템, 서버, 애플리케이션과 같은) 비인간 계정 보안에 대한 투자 확대를 예상하는 기업의 비율이 80%에 이른다”고 밝혔다. 이어 “모든 기업이 AI 에이전트를 도입하고 있으며, SaaS(서비스형 소프트웨어) 회사들도 앱을 만들 때 AI 기능을 적용하고 있다”고 말했다. 그는 “비인간 계정 보안이 더욱 중요해지고 있으며, 아이덴티티 기반 공격도 증가하고 있다”고 밝혔다.
아이덴티티 기반 공격이 증가하는 가운데 기술 스택의 복잡성도 커지고, AI의 적용 역시 극적으로 확대되고 있다. 기존의 아이덴티티는 기본적으로 ‘내가 나임’을 증명하기 위한 최소한의 수단으로 여겨졌다. 반면, 현재의 아이덴티티는 증명이 아닌, 보안 중심으로 강화돼야 한다는 주장이 제기되고 있다. 기존 방식이 계정 및 접근 관리 중심이었다면 새로운 방식은 보안 중심으로 변화하고 있다는 뜻이다.
장 총괄은 “기존 방식은 누가 어떤 리소스에 접근할 수 있는지를 관리하고 사용자 편의성을 위한 UX 제공에 중점을 뒀다”며 “리스크 관리와 비용 최적화를 위한 주기적인 감사 항목이 있기도 했다”고 설명했다.
반면 “최근에는 보안 중심의 새로운 방식은 피싱 방지, 패스워드 제거에 초점을 두며, 동적 리스크 감지와 인증 이후에도 지속적 평가가 이뤄지고 있다”고 설명했다. 이어 “모든 자원에 접근하는 모든 계정에 대해 동적으로 권한이 할당 된다”며 “실시간 가시성과 최소 권한 강제를 통한 지속적이고 자동화된 모니터링이 접근 가능하다”고 말했다.
장 총괄은 패스워드가 더 이상 아용자 인증을 위한 유효한 수단이 아니라는 점에 대해 심각하게 고민해야 한다고 강조했다. 패스워드를 보완하는 2차 인증이 필요한 게 아니라 대체할 수 있는 인증 수단이 중요하다는 설명이다. 또한 인증 이후에도 동적으로 리스크를 감지해 인증된 사용자가 맞는지를 평가해야 한다고 덧붙였다.
아이덴티티와 관련해 실시간 가시성이 중요한 요소로 떠오르고 있다. 과거에는 사람이 특정 시스템에 접근할 때 운영팀과 인사팀이 협력해 계정과 접근 현황을 파악할 수 있었다. 그러나 AI 시대가 도래하면서 시스템이 자동으로 다른 곳에 접근하고 있는지를 파악하기가 어려워졌다.
장 총괄은 “아이덴티티 시큐리티 패브릭은 인증을 넘어선 영역까지 확장된 통합된 아이덴티티 보안을 의미한다”며 “이는 인증에 필요한 계정 관리뿐 아니라, 우리 회사가 보유한 모든 아이덴티티 설정과 구성이 제대로 돼 있는지를 점검하는 것”이라고 설명했다.
이어 그는 “아이덴티티 관리 영역이 인증의 런타임(실제 수행) 시점이 아니라 그 이전까지 더 거슬러 올라가야 하며, 인증 이후 세션 관리 등도 포함돼야 한다”고 말했다.
특정 문제가 감지되면 계정과 세션 관리도 동시에 이뤄져야 한다. 장 총괄은 이를 통해 진정한 통합 아이덴티티 시큐리티 패브릭이 완성될 거라고 전망했다. 이를 위해 보안 솔루션은 단순히 시스템을 연동하거나 통합 인증을 제공하는데 그치지 않고, 다양한 시스템에서 인증 외의 여러 신호를 수신해 동작을 수행하는 기능을 갖춰야 한다. 이를 ‘보안 아이덴티티 오케스트레이션’이라고 부른다.
장 총괄은 “옥타 아이덴티티 코리아는 앤드 투 앤드 아이덴티티 보호를 지향한다”며 “옥타 디바이스 액세스(접근)를 통해 패스트 패스 방식으로 운영체제에 로그인 후, 기기에서 앱까지 안전하게 패스워드 리스(비빌번호 없는) 경험을 제공한다”고 설명했다.
이어 그는 “옥타 아이덴티티 보안 태세 관리 도구인 ISPM은 가장 큰 아이덴티티 위험을 식별할 수 있다”며 “심층적인 아이덴티티 중심 태세 분석과 앤드 투 앤드 컨텍스트 기반의 우선순위 지정, 보안 감사 프레임워크에 매핑된 지속적인 검증 기능을 제공한다”고 말했다.
글. 바이라인네트워크
<이수민 기자>Lsm@byline.network
![[AI와 디지털전환]AI 에이전트 '검증'이 아닌 '협업'에 집중해야](https://img.etnews.com/news/article/2025/06/24/news-p.v1.20250624.be996394de59414a869c1d5abfdd1193_P3.jpeg)
![[2025 상반기 베스트굿] 안랩-차세대 네트워크 통합 보안 솔루션 'AhnLab XTG'](https://img.etnews.com/news/article/2025/06/16/news-p.v1.20250616.674e50eb4c2a451182f9d594daa8f290_P1.png)