많은 기업이 신기술이 야기하는 문제를 해결하기 위해 노력했지만, 여전히 자산을 안전하게 보호할 수 있는 사이버 보안 조치를 마련하는 데에는 미흡한 경우가 많았으며 사이버 공격 대응 계획의 부재는 사이버 보안 취약점을 더욱 늘렸다. 실제로 전 세계 사이버 범죄로 인한 피해액은 2025년 12조 달러에 달할 것으로 전망된다.
아시아 지역 소재 기업들이 디지털 전환 투자에 박차를 가하는 지금도 계속해서 새로운 유형의 보안 문제가 발생하고 있다. 즉, 여전히 많은 기업들의 사이버 보안 전략이 시대에 뒤처져 있다는 뜻이다. 최근 한 조사 결과에 따르면 아시아 태평양 지역 기업의 절반가량이 전략적 보안 프레임워크나 사내 아이덴티티에 대한 가시성이 없는 낮은 수준의 보안 성숙도 상태에 머물러 있는 것으로 나타났다.
생성형 AI로 인한 머신 아이덴티티 폭증
아시아 지역 소재 기업들이 디지털 전환 투자에 박차를 가하는 지금도 계속해서 새로운 유형의 보안 문제가 발생하고 있다. 즉, 여전히 많은 기업의 사이버 보안 전략이 시대에 뒤처져 있다는 뜻이다. 최근 한 조사 결과에 따르면 아시아·태평양 지역 기업의 절반 가량이 전략적 보안 프레임워크나 사내 아이덴티티에 대한 가시성이 없는 낮은 수준의 보안 성숙도 상태에 머물러 있는 것으로 나타났다.
자동화는 신뢰가 담보되어야 한다. 머신 아이덴티티가 우리의 업무를 더욱 편하게 만들어주는 만큼 보안, 컴플라이언스, 민감한 정보 보호 등이 수반되어야 한다. 세일포인트가 올해 발간한 아이덴티티 보안 동향 보고서에 따르면 조직의 57%가 머신 아이덴티티의 부적절한 액세스를 승인한 것으로 나타나 심각한 보안 위험이 존재함을 보여준다.
보안 사각지대가 된 머신 아이덴티티
최근 기업들은 직원들이 피싱이나 소셜 엔지니어링과 같이 휴먼 아이덴티티를 노리는 사이버 공격에 대응할 수 있도록 관련 교육을 강화하고 있다. 그러나 이러한 접근법은 최근 AI 기술의 발전으로 증가한 머신 아이덴티티를 노리는 사이버 공격으로 인해 그 효과가 반감되고 있다. 머신 아이덴티티의 수는 향후 3~5년 동안 30% 증가할 것으로 예상되며, 이는 직원 및 비직원 등 휴먼 아이덴티티의 성장 속도를 능가한다. 그러나 머신 아이덴티티를 노리는 소셜 엔지니어링 공격에 대응할 수 있는 기술이 마땅치 않은 상황이다. 머신 아이덴티티는 클라우드 전반에 분산되어 있으며, 담당 부서도 분산되어 있어 머신 아이덴티티 관리를 더욱 어렵게 하고 있다.
더욱이, 머신 아이덴티티를 실시간으로 파악하고 모니터링 중인 기업이 전체의 38 %에 불과하는 등 위험한 수준의 보안 격차가 확인됐다. 머신 아이덴티티의 경우 민감한 정보에 대한 액세스를 통제할 방법이 마땅치 않아 일반적으로 하지 않는 작업을 수행하게 하거나 정보를 노출하도록 유도하는 전략에 취약하다. 따라서 네트워크에 침입한 뒤 머신 아이덴티티를 속여 더 많은 자격 증명이나 권한을 얻어 시스템 전반에 걸쳐 피해를 초래할 수 있다.
아이덴티티 보안의 새로운 지평
아시아·태평양 지역의 AI 투자액은 2028년까지 1,100억 달러에 이를 것으로 예상됨에 따라, 관련 기술은 앞으로도 계속 발전하고 보편화될 것이다. 하지만 이는 곧 AI 기술을 악용해 더욱 정교한 사이버 공격을 감행할 수 있는 행위자들 역시 늘어남을 의미한다. 이미 AI 딥페이크 기술로 최고 경영진을 사칭하는 사기, 허위 정보 유포, 피싱 캠페인 등의 사건들이 심심치 않게 발견되고 있다.
따라서 2025년에는 차세대 통합형 아이덴티티 보안 솔루션의 유무가 기업의 아이덴티티 보안 성과를 좌지우지할 것이다. 통합형 아이덴티티 보안은 기업의 전체 아이덴티티 환경에 대한 가시성을 완벽하게 확보해 줄 뿐 아니라 분산된 시스템으로 인한 업무 복잡성을 일소할 수 있다. 무엇보다 머신 아이덴티티를 비롯한 모든 유형의 아이덴티티를 통합 관리할 수 있어야 하는데, 이는 AI를 통한 자동화 기술을 활용해 효과적으로 달성할 수 있다. 또한, 보안 정책 기반의 적시 액세스(just-in-time access)를 제공하는 통합 아이덴티티 접근 방식을 통해 조직은 컴플라이언스를 보장하고, 리스크를 완화하며, 비즈니스 가속화를 도모할 수 있을 것이다.
* 필자 지정권 세일포인트(SailPoint) 지사장은 한국 IT 업계에서 30년 이상 경력을 쌓아 온 전문가로 한국HP 컨설팅 및 HP-EDS 서비스 부문 사업본부장, 한국 오라클 부사장을 역임하며 다양한 직책을 담당했다. 현재는 세일포인트의 한국 시장 확장을 책임지며 성장을 주도하고 있다.
** 편집자 주 : 본 기고문은 벤더가 작성한 것으로 CIO Korea 편집부의 수정을 거쳤으나 벤더의 시각이 일부 남아 있을 수 있습니다.
[email protected]
Read More from This Article: 세일포인트 기고 | 2025년을 맞이하며… 머신 아이덴티티의 부상이 울리는 경종
Source: News