인공지능 시대, 정체성 보안의 위기: 기업은 어떻게 대응해야 할까?

최근 루브릭 제로 랩스가 발표한 연구는 인공지능(AI) 확산이 기업의 정체성 보안에 심각한 위협을 초래하고 있음을 경고합니다. 특히, 에이전트 기반 AI의 급증은 기존의 보안 체계를 무력화하고 새로운 공격 면적을 확대시키고 있습니다. 기업들은 이러한 변화에 발맞춰 정체성 보안 전략을 재점검하고, AI 시대에 맞는 새로운 방어 체계를 구축해야 합니다.

AI 에이전트, 새로운 공격의 시작점

보고서에 따르면, 대다수의 기업이 이미 AI 에이전트를 정체성 인프라에 통합했거나 도입을 준비 중입니다. 문제는 이러한 AI 에이전트가 기존의 인간 정체성과는 다른 방식으로 관리되어야 한다는 점입니다. API 키, OAuth 토큰 등 비인간 정체성은 인간 정체성에 비해 폐기 및 회수 절차가 복잡하고 관리 체계에서 누락되는 경우가 많아 보안 취약점으로 이어질 수 있습니다.

네트워크 경계의 소멸, 정체성의 중요성 증대

클라우드 전환, 원격 근무 확산, 그리고 AI 에이전트 도입 증가는 전통적인 네트워크 경계를 사실상 소멸시켰습니다. 과거에는 네트워크 방어가 핵심적인 보안 전략이었지만, 이제는 정체성이 1차 공격 표면이 되었습니다. 공격자들은 네트워크 방어를 우회하는 대신, 유효한 자격 증명을 악용하여 IT 환경에 침투하고 장기 거점을 확보하려 합니다.

증가하는 비인간 정체성, 관리의 어려움 가중

보고서는 비인간 정체성(NHI)이 인간 사용자 대비 압도적인 비율로 증가하고 있다고 지적합니다. 기업이 업무 흐름에 에이전트를 통합하는 과정에서 비인간 정체성 증가 속도는 인간 정체성보다 훨씬 빠릅니다. 따라서 비인간 정체성을 보호하는 일은 인간 정체성 보호만큼, 혹은 그 이상으로 중요해졌습니다.

복잡해진 정체성 관리, 숨겨진 위협의 확산

폭증하는 비인간 정체성 환경 속에서 AI 시대의 정체성 관리는 훨씬 복잡해졌습니다. 단 하나의 손상된 자격 증명만으로도 기업의 민감 데이터 전체가 노출될 수 있는 보이지 않는 위기가 이미 확산되고 있습니다. 기업들은 이러한 위협에 대응하기 위해 정체성 복원력 확보를 사이버 복구의 핵심 요소로 간주해야 합니다.

공격자, 침입이 아닌 로그인: 합법적 자격 증명의 악용

위협 행위자는 이제 침입(break in)하는 것이 아니라 로그인(log in)하고 있습니다. 즉, 공격의 중심은 합법적인 자격 증명 악용에 있다는 의미입니다. 특히, API 키나 AI 에이전트와 같은 비인간 정체성은 인간 정체성과 달리 폐기 및 회수 절차가 까다롭고 관리 체계에서 누락되는 경우가 많아 라이프사이클 거버넌스 빈틈이 발생합니다.

에이전틱 AI, 정체성 체계에 던진 다이너마이트

에이전틱 AI는 정체성 체계에 던져진 다이너마이트와 같습니다. AI 에이전트와 인간 사용자의 행위를 구분할 수 없으면 기업은 소프트웨어 취약점 문제인지, 직원 보안 인식 문제인지, 내부자 위협인지조차 판단할 수 없습니다. 또한 에이전트는 막대한 신뢰를 기반으로 작동하지만, 이 신뢰는 입증된 적이 없으며 환각, 오작동, 탈취 등 다양한 문제를 야기할 수 있습니다.

제로 트러스트, 최소 권한, 지속 검증의 중요성

보고서는 제로 트러스트, 최소 권한, 지속 검증이 여전히 중요한 보안 원칙임을 강조합니다. 또한, 보안 교육은 위협 인지뿐 아니라 견고한 IAM 기술과 프로세스의 필요성을 이해하는 데 중요한 역할을 합니다. 기업 규모가 커지고 복잡성이 증가할수록 정체성 관리 문제는 심화될 가능성이 높으며, 이는 기술만으로 해결될 수 없고 사람, 프로세스, 문화, 기술이 모두 맞물려야 해결될 수 있습니다.

맺음말

인공지능 시대의 정체성 보안 위협은 더 이상 간과할 수 없는 문제입니다. 기업들은 AI 확산에 따른 새로운 공격 표면에 대비하고, 정체성 복원력을 강화하는 데 적극적으로 투자해야 합니다. 제로 트러스트 아키텍처 구축, IAM 시스템 강화, 직원 보안 교육 강화 등을 통해 AI 시대의 사이버 위협에 효과적으로 대응해야 할 것입니다.