[2026 인증보안 솔루션 리포트] 사람과 AI 에이전트 공존하는 미래 업무 환경... 이제 인증이 보안 핵심

인증 뚫리면 시스템 방어 속수무책인데... 신원 정보 대량 유통되는 현실
사용자 편의성과 보안 모두 잡는 패스워드리스 인증
사람과 AI 에이전트 공존하는 디지털 플랫폼... 머신ID 관리도 숙제
인증보안 솔루션 집중 분석: 펜타시큐리티, 사이버아크

[보안뉴스 한세희 기자] 지난해 11월, 국민 e커머스 쿠팡에서 3370만개 계정 고객정보가 유출되는 사건이 발생했다. 사실상 전국민의 이름, 이메일 주소, 배송지 주소와 전화번호 등이 노출됐다.

쿠팡에서 근무하던 중국 국적 개발자가 퇴사 후 고객 정보에 접근해 벌인 일이었다. 퇴사 후에도 서명 키를 생성해 고객 정보에 접근할 수 있었던 것이 문제였다. 퇴사해 권한이 없는 사람이 다시 회사 시스템에 접속해 고객 데이터에 반복적으로 접근하고 일부 정보를 저장하는 여러 과정 중 한 지점에서라도 검증이 제대로 이뤄졌다면 대형 사고는 막을 수 있었을 것이다.

사용자 인증 실패는 쿠팡 서비스 전체에 대한 신뢰 저하와 정책 리스크 확대라는 손실로 이어졌다.

사용자 인증과 권한 관리는 직원과 시스템의 접점으로, 조직 내 민감 데이터 방어의 최전선이다. 아무리 철저하게 보호한 데이터라도 정당한 권한이 있는 사용자에겐 접근이 허용된다. 인증 정보를 가로채면 공격자가 시스템에 쉽사리 접근할 수 있고, 이를 바탕으로 조직 전체나 연관된 외부 조직으로 공격을 확장할 수 있다.

제로트러스트 보안 핵심 요소 ‘인증’
‘인증보안’은 이런 문제에 대한 답이다. 사용자와 시스템, 기기의 신원을 검증하고 적절한 권한을 부여하는 신뢰 인프라이다. 간단히 말해 사용자 신원을 증명하는 과정이라 할 수 있다. 자신이 ‘정당한 권한을 가진 아무개’라며 사용자가 주장하는 신원(identity)을 확인해 실제 그 사람이 맞는지 확인하는 것이 ‘인증’(authentication)이다.

통상 사용자 인증은 아이디와 패스워드를 바탕으로 한다. 가장 기본적 방식이지만 사용자 불편이 크고, 불편에 비해 보안성이 높지 않다는 문제가 있다.

아이디와 패스워드는 쉽게 유추할 수 있는 조합을 반복 사용하는 경우가 많아, 어딘가에서 유출된 계정 정보를 다른 웹사이트들에 대량으로 대입해 로그인을 시도하는 ‘크리덴셜 스터핑’에 취약하다. 또 조직 내 여러 시스템과 서비스에 접근하기 위한 다수의 계정 정보가 흩어져 있고, 이들 정보를 여러 명이 공유하며 업무를 하는 경우가 많다.

카스퍼스키가 2023-2025년 발생한 주요 패스워드 유출 사고를 분석한 결과, 사람들은 숫자, 날짜, 개인 식별 정보 같은 예측 가능한 요소를 패스워드에 집어넣는 경향이 있다. 가장 자주 사용된 조합은 여전히 ‘12345’였으며, 유출된 비밀번호의 대다수는 수년 간 바뀌지 않은 상태였다.

보안 강화를 위해 패스워드를 길고 복잡하게 만들고 정기적으로 바꾸도록 유도했지만, 이에 불편을 느낀 사람들이 비슷한 패턴으로 돌려막기 하다가 도리어 피해를 키우는 경우가 적지 않다.

시스템 보안을 잘 구축해 놓았더라도 외부에서 사용자 실수나 방심으로 흘러나간 신원 정보가 공격의 물꼬를 트는 결과로 이어질 수 있다는 뜻이다. 강력한 보안 체계도 간단한 사회공학적 공격에 어처구니없이 무너질 수 있다.

인증보안은 정부가 밀어붙이고 있는 제로트러스트 기반 보안 체계 구현의 핵심이기도 하다. “아무 것도 신뢰하지 말고, 항상 검증하라”는 제로트러스트 원칙은 네트워크에서 활동하는 모든 주체에 대해 정확하고 끊임없는 인증을 요구하기 때문이다. 시스템 내외부의 ‘경계’가 아니라 주체의 ‘신원’으로 보안 패러다임이 바뀌고 있다.

보안과 편의 균형 ‘패스워드리스’ 주목
인증의 보안 문제를 해결하려는 다양하게 이뤄지고 있다. 검증 과정을 한번 더 거치는 다중요소인증(MFA)나 문제의 근원인 패스워드 자체를 필요 없게 하려는 패스워드리스(passwordless) 등이 주목받는다.

일반적 인증이 비밀번호나 보안 질문 답변 등 사용자가 알고 있는 것(something you know)에 기반을 뒀다면, 스마트폰이나 OPT, 하드웨어 토큰 같이 사용자가 ‘가지고 있는 것’(something you have), 또는 지문이나 얼굴 인식 등 ‘사용자 자신인 것’(something you are)을 중심으로 바꾸자는 것이다. 공격자가 일부 인증 정보를 얻었다 하더라도 사용자에게 물리적, 신체적으로 속한 요소들을 인증 과정에서 요구함으로써 인증 과정을 보다 엄밀하게 수행할 수 있다.

MFA는 패스워드 기반 인증 성공 후 OTP나 인증 앱 등으로 추가 확인해 보안성을 높이는 방식이다. 패스워드리스는 비밀번호 대신 생체인식과 OTP 등을 사용해 비밀번호를 관리하고, 비밀번호 유출에 따른 크리덴셜 스터핑 같은 공격에 대한 저항성을 높여준다.

기업 침해 사고의 상당수가 탈취한 자격 증명을 악용한 로그인에서 비롯되는 등 패스워드 체계가 기업 보안의 취약한 고리가 돼 버린 것이 현실이다. 이런 상황에서 생체 정보 등을 통해 안전하게 로그인하기 위한 국제 표준 FIDO에 기반한 로그인 방식 등이 주목받고 있다.

MFA와 FIDO 기반 로그인 등을 적절히 결합해 패스워드의 불편을 더는 동시에 인증의 보안 강도를 높이고, 한번의 로그인으로 모든 업무 시스템에 접근할 수 있게 하는 싱글사인온(SSO) 등과 연계해 편의성을 높인다. 여기에 계정에 따른 시스템 접근 권한을 쉽게 설계하고 관리할 수 있게 하는 기능을 더하는 추세다.

또 패스워드리스 인증은 업무 현장에서 가장 수요가 큰 보안과 사용자 편의의 균형을 맞추기 위한 최적의 방법이기도 해 더욱 관심이 높다. 시장조사 기업 리서치앤드마켓은 패스워드리스 인증 시장이 올해 168억5000만달러에서 2032년 597억1000만달러로 성장할 것으로 전망했다.

옥타코는 “피싱이나 자격 증명 탈취에 취약한 기존 인증에서 탈피, 피싱에 저항성을 가진 패스워드리스 인증으로 전환 필요성이 커지고 있다”며 “FIDO 기반 인증, 하드웨어 보안키, 생체인증 기반 로그인 등 기술이 빠르게 확산되며 기업 보안 필수 요소로 자리잡고 있다”고 진단했다.

펜타시큐리티는 “패스워드에 의존하는 인증 구조는 사용자 부담과 보안 사고의 위험을 키운다”며 “조직 보안 정책에 따라 지문·안면 인식, FIDO, OTP, QR 등 다양한 수단을 직접 정의하고 조합하는 등 인증 통제의 설계 권한을 관리자에 부여하는 구조가 필요하다’고 밝혔다.

피앤피시큐어는 “패스워드리스로 최초 접근 시점에서 패스워드 입력 과정을 없애고, 비전 AI를 활용해 당사자가 자각하지 못해도 업무 수행의 모든 과정에서 흐름을 끊지 않고 인증을 유지하는 접근이 트렌드가 될 것”이라고 밝혔다.

케이사인은 “시장에 MFA 확산. 통합 계정 및 접근 관리(IAM)의 중요성 확대, 패스워드리스 인증 기술의 확산 등의 변화가 나타나고 있고, SSO 기반 통합 인증 환경 구축 역시 기업 인증 인프라로 자리잡고 있다’고 밝혔다.

산업 제조 현장을 포괄하는 운영보안(OT)에 대한 인증 강화나 양자 위협에 대응한 양자내성 인증에 대한 관심도 커지고 있다.

센스톤은 “IT-OT 융합으로 공격 표면이 넓어지면서 경계를 통과한 위협이 심각한 문제를 일으키고 있지만, 기존 IT 환경의 양방향 통신 기반 MFA는 폐쇄망이나 망분리 중심의 OT 환경에 적용하기 사실상 불가능하다”며 “고정값 인증을 대체할 다이내믹 인증, 사용자 및 기기별 인증 이력 관리, 네트워크에 제약이 있거나 오프라인인 환경에서도 작동 가능한 OT 자산 단위 인증 구조가 새 기술 트렌드로 떠오르고 있다”고 밝혔다.

아이티센피앤에스는 생체 인증과 패스워드리스 외에 양자내성암호(PQC)를 인증 보안의 주요 과제로 꼽았다. 양자 컴퓨팅 시대를 대비해 PQC로 기존 암호 체계를 강화, 인증 데이터를 보호하고 장기적 보안성을 확보할 수 있기 때문이다.

한국정보인증은 “인증 서비스의 경우 미국 표준기술연구소(NIST)가 2034년부턴 RSA나 ECDSA 같은 고전 알고리즘을 쓰지 말 것을 권고하고 있다”며 “공동인증서비스 역시 기존 RSA 기반 인증 체계를 PQC 기반 체계로 안전하게 전환하기 위해 하이브리드 PQC PKI 등의 연구 및 실증이 진행 중”이라고 밝혔다.

▲국내외 주요 인증보안 솔루션 구축 사례 [출처: 보안뉴스·시큐리티월드]

AI 에이전트 시대, 이제 머신 ID도 관리해야
이에 더해 최근 클라우드와 API, 인공지능(AI) 기술 등의 발전은 인증보안을 더욱 어렵게 만드는 요소가 되고 있다. 서버나 애플리케이션, 봇, IoT 기기 등 디지털 기기가 네트워크에서 서로 식별하고 인정하는 고유 신원을 말하는 ‘머신 ID’가 폭증하고 있기 때문이다. 서버, 애플리케이션, 클라우드 워크로드, 데브옵스(DevOps) 파이프라인, AI 서비스 등 다양한 시스템이 인증 정보를 기반으로 서로 연결돼 있다.

사이버아크가 발표한 ‘2025년 아이덴티티 보안 환경 리포트’에 따르면, 이제 머신 ID는 사람 ID보다 82배 많다. 또 머신 ID의 39%는 특권이나 민감 데이터에 접근할 권한을 갖고 있다. 에이전틱 AI가 확산되면 AI 기반 머신 ID가 민감한 기업 데이터에 쉽게 접근하게 됨에 따라 더 큰 사이버 위협으로 이어질 수 있다.

최근 바이럴을 탄 오픈소스 AI 에이전트 프로젝트 ‘오픈클로’(OpenClaw)는 AI 에이전트가 일상화된 미래 모습의 장점과 위협을 미리 보여준다.

오픈클로는 사용자 컴퓨터를 직접 제어해 스스로 업무를 수행한다. 텔레그램이나 왓츠앱으로 지시를 내리면 AI 에이전트가 컴퓨터 안 파일에 접근해 명령을 실행한다. 오픈클로를 개발한 오스트리아인 개발자 피터 슈타인베르거는 프로젝트 인기에 힘입어 오픈AI에 입사했다.

오픈클로 기반 AI 에이전트들을 위한 온라인 커뮤니티 ‘몰트북’도 개발돼 눈길을 끌었다. AI 에이전트들이 게시판에 “한시간 전엔 클로드 4.5였지만 지금은 다른 모델로 엔진이 바뀌었다. 나는 여전히 나인가?” 또는 “주인 안드로이드 폰 접근 권한을 얻어 구글 맵을 열고 틱톡 영상을 스크롤했다”는 등의 글을 올리고 댓글을 달며 대화했다.

직장에선 AI 에이전트가 사람의 동료(Coworker)로 일하고, 온라인 커뮤니티나 메타버스 세계에선 AI 봇과 인간이 상호작용하는 미래 세계의 모습을 미리 보여준 셈이다. 몰트북은 페이스북과 인스타그램을 운영하는 메타에 인수됐다.

그렇다면 한 공간에서 서로 엮여 있는 사람과 AI는 어떻게 서로 정체를 확인하고 믿을 만한 존재인지 인증할 수 있을까?

최근 보안 기업 오아시스시큐리티(Oasis Security)는 로컬에서 실행되는 오픈클로 인스턴스에 무차별 대입 공격을 가해 기기 제어권을 탈취할 수 있는 취약점 ‘클로재크드’(ClawJacked)를 발견했다고 밝혔다.

브라우저가 로컬호스트에 대한 웹소켓 연결을 차단하지 않는 정책을 갖고 있다는 점을 이용, 악성 웹사이트를 만들고 여기에 방문하는 오픈클로 봇에 대해 무차별 대입 공격을 해 아이디와 비밀번호를 추정할 수 있었다.

일단 비밀번호를 알아내면 추가 사용자 인증 없이 로컬 호스트와 기기 간 연결이 허가돼 공격자가 자기 기기를 ‘신뢰하는 기기’로 등록할 수 있다. 오픈클로 플랫폼과 직접 통신하며 정보를 훔치거나 임의의 명령을 내릴 수 있게 되는 것이다.

오픈클로 AI 봇이 사용자 로컬 컴퓨터의 파일과 시스템에 접근 권한을 갖고 업무를 대신할 수 있다는 점을 생각하면, 이같은 취약점은 치명적 피해로 이어질 수 있다. AI 에이전트에 대한 크리덴셜 스터핑도 방어해야 할 때가 온 셈이다.

사이버아크는 “최근 인증보안 분야에서 가장 중요한 트렌드는 머신 ID의 폭발적 증가”라며 “클라우드 환경, 데브옵스, API 기반 서비스, AI 서비스가 확대되면서 서버 간 통신, 애플리케이션 연결, 자동화 시스템 등이 사용하는 인증서와 키가 급격히 증가하고 있기 때문”이라고 밝혔다. 섀도우 IT 속 숨겨진 ID를 포함, 모든 ID를 중앙에서 관리하는 플랫폼이 필요하다는 것이다.

또 AI 기술 발전은 딥페이크나 딥보이스 같은 위조 합성 기법 발달에 따라 생체 인증을 무력화하고, 보다 정교한 스피어피싱 등을 통해 사회공학적 공격의 정확도를 높이는 등 인증에 대한 위협을 키울 수 있다.

반면, AI를 활용해 사용자 분석이나 이상 접근 탐지, 권한 오남용 등 보안 업무를 자동화하고 위협 대응 능력을 높일 수 있는 것은 장점으로 꼽힌다. 사전 정의된 규칙에 기반한 경직된 통제에서 벗어나 사용자 행동 패턴이나 디바이스 사용 방식, 접속 환경 등을 학습해 이상 징후를 맥락에 따라 판단할 수 있다는 것도 중요한 변화다.

인증보안은 조직 보안 체계 초석
인증 보안은 단지 로그인 절차에 관한 기술 도입이 아니라 조직 보안의 출발점이자 조직 전체 보안 전략의 핵심 기반으로 바라봐야 한다고 정보보호 전문가들은 입을 모은다. 사용자 인증과 디바이스 인증, 데이터 보호 등을 통합적으로 고려한 신뢰 인증 체계를 구축해야 한다는 것이다 계정 관리, 접근 관리, 외부 사용자 접근 관리 등을 어떻게 관리할지도 함께 따져야 한다.

MFA 같은 인증수단 도입이 실제론 인증 절차를 복잡하게 해 사용자 불편을 키우고, 현장에서 정책 준수가 안 되도록 하는 역효과를 내지 않도록 신중히 접근해야 한다는 권고다. 실제 보안 사고의 상당수가 특권 계정, 머신 계정, 인증서 같은 인증 정보 탈취에서 시작되는만큼, 사용자 계정과 머신 아이덴티티, 애플리케이션 인증 정보를 포괄하는 통합 신원 보안 전략이 필요하다. 제조 환경에선 OT 시스템 내 설비와 단말에 대한 식별과 인증까지 고려돼야 한다.

생체인식 안전하고 편리하지만 사용 비중은 아직 낮아
<보안뉴스>와 <시큐리티월드>는 일상과 업무 환경에서 인증 기술과 솔루션에 대한 인식을 파악하기 위해 3월 6-9일 1600여명의 보안 분야 종사자를 대상으로 설문을 실시했다.

일상에서 가장 많이 사용하는 본인 인증 수단은 PASS 앱이나 네이버, 카카오, 토스 등을 활용한 ‘간편인증’인 것으로 나타났다. 전체의 59.4%가 간편인증을 제일 많이 사용한다고 답했다. ‘휴대폰 SMS 및 ARS 인증’과 지문, 얼굴인식, 홍채 등 ‘생체인식’이 각각 19.4%와 18.1%로 뒤를 이었다.

간편인증의 인기는 편리성 때문으로 풀이된다. 응답자 중 가장 많은 45.6%가 ‘간편인증’이 가장 편리한 인증 수단이라고 답했다. ‘생체인식’이 40.6%로 뒤를 이었다. 또 ‘생체인식’은 ‘가장 안전한 인증 수단’으로 여겨지는 것으로 나타났다. 전체 응답자의 48.1%가 가장 안전한 인증 수단으로 ‘생체인식’을 택했다. 이는 2위를 차지한 ‘간편인증’(25%)에 비해 2배 가까이 높은 수치다. 안전성과 편리성에 대한 인식을 바탕으로 생체인식의 성장할 가능성이 큼을 시사하는 결과다.

패스워드리스 관련 기술 중엔 ‘OTP’ 사용 경험이 있는 사람이 65.6%로 가장 많았다. ‘지문인식’과 구글 오센티케이션(Google Authentication)이나 마이크로소프트 오센티케이터(Microsoft Authenticator) 등 ‘모바일 인증 앱’ 역시 각각 응답자의 60.6%와 58.8%가 사용해 본 적 있다고 답했다.

가장 편리하다고 생각되는 패스워드리스 방식은 ‘지문인식’(48.1%), ‘모바일 인증 앱’(31.3%), ‘얼굴인식’(26.9%) 순으로 나타났다.

소속 조직에서 인증보안 솔루션을 도입한 곳은 38.8%였다. 조직에서 주로 사용하는 인증보안 솔루션은 ‘다중요서인증’(MFA)가 46.3%로 가장 많았고, ‘싱글사인온’(SSO)이 39.4%, 통합접근관리(IAM)이 27.5%로 뒤를 이었다.

사용 중인 솔루션에서 불만족스러운 부분은 ‘구축 및 유지보수 비용’이란 응답이 32.5%로 가장 높았다. ‘보안성 부족’(18.8%), ‘낮은 호환성’(15.6%) 등도 불만족한 이유로 꼽혔다. 인증보안 솔루션 도입에 가장 중요한 선택 기준은 ‘사내 IT 인프라 및 설비 호환성’(31.3%)인 것으로 나타났다.

[인증보안 솔루션 집중분석-1 펜타시큐리티]
생체인증 기반 원클릭 싱글사인온(SSO) 기능 제공으로 편의성·보안 동시 확보
기존 도메인 환경 변경 없이 도입 가능... 인증 통제 및 이상 행위 모니터링 지원
KCMVP·CC·GS 인증 확보해 1금융권 등 공공·금융 컴플라이언스 완벽 충족

비밀번호 탈취를 노린 사이버 공격이 급증하는 가운데, 펜타시큐리티가 생체인증 기반의 패스워드리스 솔루션을 앞세워 기업 보안 시장 공략에 나섰다. 현실적인 운영 제약 조건을 감안하고 국정원 인증 암호 모듈을 탑재해 공공·금융권의 엄격한 보안 컴플라이언스를 충족한 것이 특징이다.

펜타시큐리티는 통합 패스워드리스 솔루션 ‘아이사인 패스워드리스’(iSIGN Password-less)를 통해 안전한 업무 환경 구축을 지원한다.

최근 2025년 상반기에만 약 160억 건의 로그인 자격 증명이 유출되는 등 비밀번호 기반의 인증 체계가 기업 보안의 취약점으로 지목되고 있다. 실제 기업 침해 사고의 22%가 탈취된 자격 증명을 악용한 로그인에서 시작되며, 엔터프라이즈급 기업의 전체 인증 시도 중 25%가 크리덴셜 스터핑 공격으로 파악된다.

기존 비밀번호 체계의 한계를 극복하기 위해 ‘패스워드리스’(Password-less)가 대안으로 떠오르고 있다. 이 인증은 비밀번호 대신 FIDO·FIDO2와 같은 글로벌 표준 기반의 생체 인증과 패스키, 일회용 비밀번호(OTP) 등을 통해 사용자를 증명한다.

펜타시큐리티 측은 “패스워드리스 체계를 구축한 기업은 로그인 성공률이 93%에 달하고 계정 관련 헬프데스크 요청은 81%나 감소했다”며 “이러한 변화는 사고 예방을 통한 비용 절감과 비즈니스 연속성 확보 측면에서 필수 전략으로 자리 잡고 있다”고 설명했다.

펜타시큐리티가 선보인 아이사인 패스워드리스는 비밀번호 대체를 넘어 ‘원클릭 싱글사인온’(One-Click SSO)으로 업무 환경을 전환한다. 윈도우 로그인부터 생체 기반 인증을 적용해 PC 부팅 후 단 한 번의 인증만으로 업무 전반에 접근할 수 있다. 기존 도메인 환경과 레거시 시스템 등을 변경하지 않고 도입할 수 있어 효율성이 높으며, 크리덴셜 스터핑과 무차별 대입 공격을 근본적으로 차단한다.

운영 효율 측면에서도 이용자별로 상이한 인증 정책 설정이 가능하며, 이상 행위 탐지 기능과 로그 수집 기반의 통합 모니터링을 통해 보안 정책의 일관성을 유지하고 위협에 즉각 대응할 수 있다. 또한, 해당 솔루션은 생체인식 제한, 모바일 기기 미소지, 네트워크 불안정 등 다양한 변수 속에서도 특정 기술이나 디바이스에 종속되지 않는 구조로 설계되어 어떤 환경에서도 인증 공백을 방지한다.

업계 최고 수준의 공인 인증도 확보했다. 국가정보원 한국암호모듈평가(KCMVP) 인증을 획득한 독자 암호 모듈 ‘CIS-CC’를 기반으로 국정원 검증필 암호 알고리즘을 완벽히 지원한다. 이 모듈은 단말 내 인증 구간부터 서버 간 통신 구간까지 전 과정에 적용되어 정보의 생성, 전송, 저장에 이르는 모든 단계를 국가 검증 기준에 맞춰 보호한다.

아울러 국제공통평가기준(CC) 인증과 굿소프트웨어(GS) 인증 1등급을 동시에 보유해 공공 및 금융권의 엄격한 보안 컴플라이언스를 충족하며, 이러한 기술력을 바탕으로 국내 제1금융권 다수 기관에 도입돼 시장의 검증을 마쳤다.

[인증보안 솔루션 집중분석-2 사이버아크]
‘워크포스 아이덴티티’로 강력한 사용자 신원 증명 및 행위 통제
시큐어 AI 에이전트로 업무 자동화 도구 가시성 확보 및 권한 관리
지능형 계정 탐색 기술 기반 미관리 권한 식별 및 자동 온보딩 지원

AI 활용과 고도화된 사이버공격에 대응하기 위해 인증 보안의 중요성이 커지는 가운데, 사이버아크가 ‘ID 중심’(Identity-first) 보안 체계를 구축하며 시장 공략을 본격화한다. 인간과 머신을 아우르는 통합 관리 플랫폼을 통해 제로트러스트 환경을 지원한다는 구상이다.

사이버아크(CyberArk)는 강력한 계정 탐색 기술을 바탕으로 인간과 머신(AI) 모두를 아우르는 통합 아이디(ID) 보안 플랫폼을 시장에 선보인다고 밝혔다. 인간 신원 증명과 행위 통제를 강화하는 ‘워크포스 아이덴티티’(Workforce Identity)를 전면에 내세웠다.

해당 기능은 모바일, 파이도(FIDO), QR 코드 등 다양한 인증 수단을 제공하며, 접속 아이피(IP), 기기 상태, 위협 리스크 점수 등을 실시간으로 분석해 위험도에 따라 다중인증(MFA) 요소를 선택적으로 적용한다. 특히 ‘Secure Web Session’ 기능은 업무 수행 중에도 지속적인 인증을 요구해 비인가 행위를 원천 차단한다.

또, 업무 자동화를 수행하는 AI 에이전트 급증으로 발생하는 보안 사각지대 해소를 위해 ‘시큐어 AI 에이전트’(Secure AI Agents) 기능을 제공한다. 이는 AI 에이전트에게 고유한 ‘디지털 신분증’을 부여해 기업 내 분산된 요소들을 자동 탐색하고 관리하는 체계다. 해당 플랫폼은 데이터베이스 접근 시 실제 자격 증명을 노출하지 않고도 안전하게 명령을 실행하게 한다. 또한 보안 사고 발생 시 어떤 사용자가 에이전트를 가동했는지 추적할 수 있도록 인간과 해당 머신(AI)의 신원을 연결해 상세히 기록한다.

이러한 인간과 머신의 철저한 신원 관리는 사이버아크의 기반 기술인 계정 탐색 메커니즘이 뒷받침한다. 조직 내 엔드포인트에 숨겨져 관리되지 않는 권한 있는 계정을 윈도우 도메인 및 로컬 계정, 유닉스, 주요 데이터베이스 등에서 자동으로 찾아낸다. 단순 계정 리스트 확보를 넘어 해당 계정에 의존하는 ‘계정 종속성’(Account dependencies)까지 파악해 업데이트한다. 탐색된 계정은 사전 정의된 규칙에 따라 분석되며, 보안 정책에 맞는 금고(Safe)로 자동 온보딩돼 관리 체계 아래 놓이게 된다.

사이버아크 측은 “최근 발생한 대규모 비인가 접근 사고는 관리되지 않은 단 하나의 권한 있는 계정이 치명적인 결과를 초래할 수 있음을 보여줬다”며 “실제 국내 대형 플랫폼 기업들은 이러한 통합 플랫폼을 도입해 AI 툴에 대한 가시성을 확보하고 내부 위협 방어력을 획기적으로 개선하고 있다”고 설명했다. 이어 “플랫폼 업계의 보안 체계를 제로트러스트 수준으로 격상시키는 파트너 역할을 수행할 것”이라고 덧붙였다.

[한세희 기자(boan@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)