2026년 02월 02일

상시 특권: 보안의 가장 큰 맹점

Tech

Share

by

특권 액세스 관리(PAM)의 맹점: ‘상시 특권’이라는 보안 사각지대

최소 권한 원칙을 지키는 것은 사이버 보안의 기본이지만, 현실은 이상과는 거리가 멉니다. 많은 기업에서 사용자들은 필요 이상의 높은 권한을 가진 채 시스템에 로그인하고, 이 상태를 유지하는 경우가 흔합니다. 이는 마치 집 안에 귀중품을 아무렇게나 널어놓고 문을 활짝 열어둔 채 방치하는 것과 같습니다. 이러한 ‘상시 특권(always-on privilege)’은 기업의 보안을 심각하게 위협하는 요소입니다.

상시 특권, 왜 문제인가?

사이버아크의 조사에 따르면, 대다수의 최종 사용자가 최고 권한으로 로그인하고 있다고 합니다. 이는 기업의 기술 거버넌스가 제대로 이루어지지 않고 있다는 증거입니다. 복잡한 IT 환경에서 특권 접근은 시스템 유지에 필수적이지만, 과거에 부여된 권한이 제대로 관리되지 않아 위험을 초래합니다. 이러한 권한들은 통합 시스템, 배치 작업, 복구 스크립트 등을 지탱하는 역할을 하지만, 제대로 문서화되지 않고 최신 인증 체계조차 갖추지 못한 경우가 많습니다.

예측 가능성을 택한 결과

기업은 혼란보다는 예측 가능성을 선호합니다. 아키텍처적 안정성이 사라진 환경에서는 '상시 특권'이 가장 안전한 선택으로 여겨집니다. 인수합병, 클라우드 이전, 아웃소싱 등은 모두 아무도 다시 점검하지 않는 특권 계정을 남깁니다. 시간이 지나면서 권한은 업무 방식 자체에 깊숙이 박혀 버립니다. 영구 특권은 시스템을 안정적으로 유지하고 응답성을 높이는 데 도움이 되기 때문에 기업은 이에 의존하게 됩니다.

자격 증명 볼트, 해결책이 될 수 없는 이유

자격 증명을 볼트에 보관하는 것만으로는 문제가 해결되지 않습니다. 자격 증명이 만료되지 않는다면 보안 위험은 여전히 존재합니다. 제로 트러스트는 좋은 원칙이지만, 실제 구현은 기업 IT 환경이 매우 깔끔하다는 비현실적인 전제에 기반합니다. 많은 조직이 PAM 도구를 도입하더라도 일부만 배포하고 예외를 허용하다가 결국 예외가 새로운 규칙으로 굳어지는 상황이 발생합니다.

PAM과 IAM의 괴리

PAM과 IAM은 현대 기업 시스템의 실제 운영 방식과 점점 괴리되고 있습니다. 많은 보안 도구가 고정적인 인프라 구조, 제한된 아이덴티티 수, 수동 개입을 전제로 설계되었습니다. 하지만 오늘날의 기업은 동적이고 일시적인 환경에서 운영됩니다. 워크로드는 끊임없이 생성되고 종료되며, 아이덴티티는 프로그래밍 방식으로 자동 생성되고 접근 요구사항은 실시간으로 변합니다.

인적 오류와 내부자 위협

과도한 자격 증명 사용은 인적 오류의 위험을 높입니다. 관리자 수준의 특권을 가진 IT 직원이 작업 중 실수하면 시스템 전체가 중단될 수 있습니다. 또한 높은 수준의 특권은 법적, 컴플라이언스, 개인정보 보호 노력까지 약화시킬 수 있습니다. 관리자가 민감한 데이터를 들여다본 뒤 접근 로그를 삭제하는 것도 가능합니다. 결국 IT 전문가 스스로 구축한 통제 체계를 무너뜨리는 셈입니다.

비인간 ID(NHI)의 증가

온프레미스, 클라우드, SaaS가 복잡하게 얽힌 IT 환경에서는 문제를 해결하기가 쉽지 않습니다. 특히 자율 에이전트를 포함한 비인간 ID(NHI)가 폭발적으로 증가하면서 상황은 더욱 악화될 것입니다. NHI는 프로그래밍 방식으로 기계의 속도로 인증을 수행하며, 인간에게 부여되는 것보다 훨씬 광범위한 권한을 갖는 경우도 많습니다.

패러다임 전환의 필요성

NHI의 확산은 과도한 자격 증명 문제를 더욱 심화시킬 것입니다. 기존의 PAM과 IAM 모델은 인간 사용자를 전제로 설계되었습니다. 하지만 '로그아웃하지 않는 식별자'가 등장하면서 이 모델은 한계에 부딪히고 있습니다. 머신 특권은 더 이상 예외적인 상황이 아닙니다. 기업이 인간 중심의 접근 검토나 승인 절차를 이런 식별자에 그대로 적용하려 하면 거버넌스는 규모의 한계에 부딪혀 무너집니다.

결론

상시 특권 문제는 기업의 보안을 위협하는 심각한 문제입니다. 낡은 PAM과 IAM 체계로는 빠르게 변화하는 IT 환경에 대응할 수 없습니다. 기업은 NHI를 포함한 모든 ID에 대한 접근 권한을 재평가하고, 최소 권한 원칙을 철저히 준수하는 새로운 PAM 전략을 수립해야 합니다. 지금이야말로 '상시 특권'이라는 낡은 관행을 버리고, 더욱 안전하고 효율적인 IT 환경을 구축해야 할 때입니다.

이것도 좋아하실 수 있습니다...