에이전틱 AI부터 패스키까지…IAM 시장을 바꾸는 6가지 변화

아이덴티티 및 접근 관리(IAM) 시장은 기존의 ‘로그인과 다중요소인증(MFA)’ 중심에서 벗어나, 아이덴티티를 보안 제어의 핵심 플랫폼으로 다루는 방향으로 전환되고 있다.

CSO가 시장 동향을 분석하기 위해 전문가들을 대상으로 인터뷰한 결과, 구매자들은 패스키를 포함한 피싱 저항 인증과 비인간 아이덴티티 관리에 우선순위를 두고 있는 것으로 나타났다.

비밀번호 관리 도구 기업 원패스워드(1Password)의 글로벌 자문 CISO 데이브 루이스는 “업무용 접근 관리가 여전히 핵심 축이지만, 이제 더 많은 프로그램이 거버넌스와 특권 접근 관리, 비인간 아이덴티티 통제를 포함하고 있다”며 “이러한 공백이 공격자와 감사인이 취약점을 발견하는 지점이기 때문”이라고 설명했다.

산업 분석기관 컨텍스트(Context)에 따르면, 2025년 유럽 사이버보안 시장은 7.5% 성장한 반면 IAM 시장은 10.8%의 성장률을 기록했다.

2026년 1월 기준으로 시장 성장세는 더욱 가속화되며, 단 한 달 만에 전년 대비 24% 증가했다.

컨텍스트의 글로벌 연구 및 사업 개발 책임자 조 터너는 “사용자 보안 강화가 많은 기업 보안 프로그램에서 핵심 투자 우선순위로 자리 잡았음을 보여주는 성장세”라고 밝혔다.

에이전틱 AI가 흔드는 IAM의 미래

비인간 아이덴티티인 머신 아이덴티티, AI 에이전트, 비밀정보 관리의 필요성이 증가하면서 IAM은 기술과 시장 양측면에서 진화를 이끄는 핵심 동력으로 부상하고 있다.

보안 및 복잡한 디지털 인프라 제공업체 콘시아 UK(Conscia UK)의 CTO 폴 하나건은 “서비스 계정, API 키, AI 에이전트, IoT 디바이스 등 비인간 아이덴티티가 빠르게 증가하고 있으며, 대부분의 기업에서 이미 인간 사용자보다 약 3대 1의 비율로 많다”고 설명했다.

IT 업계는 단순한 AI 기술 도입 단계를 넘어, 자율성을 기반으로 사용자 대신 행동하는 에이전틱 AI 시대로 이동하고 있다. 이러한 변화는 보안 통제가 아이덴티티와 자원 접근을 관리하는 방식을 재고할 것을 요구한다.

하나건은 “이러한 AI 개체의 규모와 자율성은 세심한 모니터링을 요구하며, 최소 권한 원칙 적용과 비밀 키의 정기적인 교체를 통해 비인간 아이덴티티의 보안을 보장해야 한다”며 “해커들이 접근 권한을 확보하기 위해 비인간 아이덴티티를 점점 더 표적으로 삼고 있어, 이들 서비스 역시 인간 계정과 동일한 수준의 엄격한 보안이 필요하다”고 밝혔다.

AI는 보안과 거버넌스를 연결하는 아이덴티티 패브릭 구축을 지원하며, 행위 분석, 권한 관리, 구성 관리 분야에서 중요한 역할을 수행할 것으로 전망된다.

실리콘앵글(SiliconAngle)과 더큐브(theCUBE)의 상주 분석가 존 올치크는 “AI 에이전트가 효과적으로 작동하기 위해서는 다양한 데이터에 대한 지속적인 접근이 필요하며, 이는 급격한 행위 변화를 초래할 것”이라며 “이를 관리하기 위한 정책과 가드레일이 필요하다”고 언급했다.

확산되는 패스워드리스 인증

비밀번호는 오랫동안 대부분의 보안 아키텍처에서 가장 취약한 고리로 지적돼 왔다.

현재 많은 스마트폰과 노트북이 인증 수단으로 생체 인식을 활용하고 있으며, 사용자 경험 역시 길고 복잡한 비밀번호를 입력하는 방식보다 훨씬 우수하다.

패스워드리스 인증(FIDO2·패스키, 생체 인증)의 확산은 다수의 IAM 프로젝트 범위를 재정의하고 있다.

콘시아(Conscia)의 CTO 폴 하나건은 “많은 기업이 패스키와 FIDO2 도입 초기 단계에 있으며, 생체 인증은 대개 보다 광범위한 다중요소인증(MFA) 전략의 일환으로 적용된다”며 “하드웨어 비용과 관리 부담이 광범위한 도입을 가로막는 주요 장벽으로 남아 있다”고 설명했다.

규제가 재편하는 IAM 아키텍처

규제 환경은 단순한 체크리스트 기반의 컴플라이언스에서 벗어나, 기업의 규제 준수를 입증하기 위한 거버넌스와 지속적인 테스트 중심으로 진화하고 있다. 콘시아(Conscia)의 CTO 폴 하나건에 따르면 이러한 변화는 조직이 IAM 프로그램을 설계하는 방식에 직접적인 영향을 미치고 있다.

하나건은 “현재 다양한 규제 관련 작업이 진행 중”이라며 “GDPR, NIS2, DORA, PCI DSS 4.0, 그리고 산업별 프레임워크는 누가 언제 어떤 자원에 접근하며 왜 접근하는지를 중점적으로 다룬다”고 설명했다.

이어 “유럽연합(EU)은 영국과 다른 접근 방식을 취하는 경우가 많다”며 “예를 들어 eIDAS 2.0은 유럽 전역에서 디지털 신원 지갑 도입을 촉진하고 있어, 여러 지역에 걸쳐 운영되는 다국적 기업의 규제 준수를 특히 어렵게 만들고 있다”고 밝혔다.

소버린 IAM과 eIDAS 2.0, 탈중앙화 아이덴티티 확산

유럽 디지털 신원(EUDI) 지갑 도입과 함께 기업들은 탈중앙화 아이덴티티 아키텍처를 검토하고 있다.

컨텍스트(Context)의 글로벌 연구 및 사업 개발 책임자 조 터너는 “사용자 데이터를 저장하는 대신 유럽 기업은 정부가 지원하는 디지털 지갑의 암호학적 증명을 통해 신원을 검증하는 ‘신뢰 당사자(relying party)’로 전환되고 있다”며 “이는 개인정보(PII) 책임을 줄이고, 특히 데이터 최소화를 요구하는 EU 데이터법을 준수하는 데 도움이 된다”고 설명했다.

관리형 IAM 서비스 부상

사이버보안 인력 부족과 현대 기업 환경에서의 IAM 기술 복잡성은 최고정보보안책임자(CISO)의 아이덴티티 및 접근 전략과 IAM 시장의 방향 모두에 영향을 미치고 있다.

비밀번호 관리 도구 기업 원패스워드(1Password)의 글로벌 자문 CISO 데이브 루이스는 “대부분의 조직이 하이브리드 인프라를 운영하는 동시에 SaaS 확산을 겪고 있으며, 아이덴티티 관리 범위는 여러 디렉터리와 레거시 애플리케이션, 일관되지 않은 권한 모델로 인해 분산돼 있다”고 설명했다.

콘시아(Conscia)의 CTO 폴 하나건에 따르면 이러한 복잡성과 인력 부족 문제를 해결하기 위해 많은 조직이 관리형 IAM 서비스로 눈을 돌리고 있다.

하나건은 “현대의 IAM 솔루션은 구축이 복잡하고 깊은 지식과 전문성을 요구한다”며 “여기에 AI가 직무를 대체할 수 있다는 우려가 신규 인력 유입을 저해하고 규제가 강화되면서, 최신 IAM 프로젝트가 신속하게 추진되지 못하는 원인으로 작용하고 있다”고 밝혔다.

IAM 산업의 통합 가속화

IAM 시장은 머신 아이덴티티와 AI 에이전트 관리 문제를 해결하는 동시에 가장 포괄적인 플랫폼을 구축하려는 벤더 간 경쟁이 치열해지면서 통합 단계에 접어들고 있다.

최근 주요 IAM 인수합병(M&A) 사례는 다음과 같다.

• 지난해 7월, 팔로알토 네트웍스(Palo Alto Networks)는 특권 접근 관리 기업 사이버아크(CyberArk)를 250억 달러(약 33조 원)에 인수했다.

• 딜리니아(Delinea)는 3월 유니버설 접근 관리 기업 스트롱DM(StrongDM) 인수 계획을 발표했다. 스트롱DM은 DevOps와 AI 에이전트를 위한 ‘저스트 인 타임(Just-in-Time)’ 접근을 제공하며, 딜리니아는 정적 비밀번호 관리에서 동적 런타임 권한 부여 플랫폼으로 전환하게 된다. 거래 금액은 공개되지 않았다.

• 크라우드스트라이크(CrowdStrike)는 2026년 1월 아이덴티티 보안 스타트업 SGNL을 7억 4,000만 달러(약 1조 원), 브라우저 보안 스타트업 세라픽 시큐리티(Seraphic Security)를 4억 2,000만 달러(약 5,700억 원)에 인수한다고 발표했다. SGNL은 실시간 컨텍스트 기반 접근 권한 부여 기능을 제공한다(예: “개발자가 활성화된 지라 티켓을 보유한 동안에만 데이터베이스 접근 허용”).

• 지스케일러(Zscaler)는 2026년 2월 스퀘어엑스(SquareX)를 인수해 관리되지 않는 디바이스에서 발생하는 아이덴티티 기반 공격을 탐지할 수 있는 브라우저 보안 기술을 확보했다.

• 소포스(Sophos)는 중견 시장을 대상으로 AI 기반 거버넌스를 제공하기 위해 아르코 사이버(Arco Cyber)를 인수하고 있다. 컨텍스트(Context)의 조 터너는 “이번 거래는 전담 CISO가 없는 50석에서 500석 규모 기업이 새로운 영국 사이버보안 법안 요구사항을 충족하도록 지원하는 데 목적이 있다”고 설명했다.

dl-ciokorea@foundryco.com