AI 시대, 인간보다 많은 비인간 ID? 보안 위협과 해결 과제

최근 발표된 Rubrik Zero Labs의 새로운 보고서에 따르면 직장 내 AI 에이전트의 증가로 인해 ‘비인간 ID(Non-Human Identities, NHI)’가 급증하여 인간 사용자보다 82배나 많아졌다고 합니다. 전 세계 리더의 90%가 ID 공격을 가장 큰 사이버 보안 문제로 꼽고 있으며, 비인간 ID가 보안 팀의 대응 속도보다 빠르게 공격 표면을 확장하고 있다는 점이 우려를 낳고 있습니다. AI 시대, 우리는 어떤 보안 위협에 직면하고 있으며, 어떻게 해결해야 할까요?

비인간 ID의 급증과 새로운 취약점

AI 에이전트, 즉 비인간 ID는 새로운 취약점을 만들어내고 있습니다. 89%의 기업이 향후 1년 안에 ID 보안 전담 인력을 채용할 계획이며, 87%는 IAM(Identity and Access Management) 공급업체를 변경할 계획입니다. 특히 58%는 보안 문제를 주요 변경 이유로 꼽았습니다. 이는 비인간 ID 증가에 대한 보안 우려가 얼마나 심각한지 보여줍니다.

AI 에이전트 도입 현황과 사이버 공격 예측

이미 89%의 기업이 AI 에이전트를 ID 인프라에 통합했으며, 10%는 이를 계획하고 있습니다. 하지만 58%의 보안 책임자는 내년 사이버 공격의 절반 이상이 AI 에이전트에 의해 발생할 것으로 예상하고 있습니다. 사이버 공격 발생 시 12시간 이내에 완전히 복구할 수 있다고 믿는 비율은 28%에 불과하며, 이는 1년 만에 15%나 감소한 수치입니다. 또한 랜섬웨어 피해자의 89%가 공격으로부터 복구하거나 중단하기 위해 몸값을 지불하는 데 동의했습니다.

변화하지 않는 공격 벡터

흥미로운 점은 공격 환경이 진화하고 있음에도 불구하고 일반적인 공격 벡터는 크게 변하지 않았다는 것입니다. CrowdStrike 탐지의 79%는 멀웨어를 사용하지 않고 공격자가 로그인하는 방식이었습니다. 사회 공학은 여전히 주요 공격 벡터이며, 오늘날 기본적인 웹 앱 공격의 86%는 도난당한 자격 증명에 의존합니다. 비인간 ID 역시 이러한 속임수에 취약할 수 있습니다.

주요 공격 유형과 대응 전략

사회 공학(24%), 합법적인 자격 증명 침해(21%), 위조된 인증 토큰(20%), MFA 우회(17%) 등이 주요 공격 유형입니다. 이러한 점을 고려할 때 보안 책임자는 기존 위협으로부터 새로운 도구를 보호하는 방식을 조정하는 것만으로도 충분합니다. 따라서 비인간 ID의 급증에도 불구하고 보안 팀은 새로운 과제에 직면하는 것이 아니라, 단순히 더 많은 시스템을 잠그는 과제를 안게 된 것입니다.

결론

AI 시대, 비인간 ID의 급증은 분명 새로운 보안 위협을 야기합니다. 하지만 기존의 공격 벡터가 여전히 유효하다는 점은 긍정적인 신호입니다. 보안 팀은 AI 에이전트 보안에 대한 투자를 늘리고, 기존 보안 전략을 강화하여 새로운 위협에 효과적으로 대응해야 합니다. 사회 공학 방지 교육, 강력한 인증 시스템 구축, ID 및 접근 관리 강화 등을 통해 AI 시대의 보안 과제를 해결해 나가야 할 것입니다.