[기고] 교묘하게 잠입한 ‘공격자’ 막는 아이덴티티 우선 보안

[테크월드뉴스=지정권 세일포인트코리아 지사장] 영화 ‘도둑들’처럼 보석을 훔치거나 은행을 강탈하는 내용을 소재로 하는 ‘하이스트’ 장르 범죄 영화들을 보면 철통같은 보안을 구축하기 위해서는 ‘아이덴티티 우선 접근 방식(identity-first approach)’이 필요하다는 사실이 크게 와닿는다.

현대적인 배경의 하이스트 영화에서는 금고를 털거나 정보를 빼 올 때 물리적으로 금고문을 뚫는 장면은 이제 하이라이트가 되지 못한다. 훔친 보안 카드로 몰래 잠입하고 손에 땀을 쥐게 할 정도로 아슬아슬하게 추격자를 따돌리는 장면이나 공상과학을 조금 가미해서 맞춤 제작된 실리콘 가면으로 완벽하게 내부인으로 위장해 관객까지 속이며 당당히 보안 구역을 정문을 통해 들어가는 연출이 보다 인상깊게 느껴진다.

이것이 바로 ‘아이덴티티 우선 보안(Identity-First Security)’의 핵심이다. 물리적 장벽이 아니라 ‘누구인가’를 확인하고 검증하는 것이 진정한 보안의 시작이라는 것이다.

문제는 이러한 위협이 더 이상 영화 속 이야기가 아니라는 점이다. 2025년 현재 사이버 공격자들은 지구 반대편에서 가상의 ‘실리콘 가면’을 쓰고 직원, 협력업체, 심지어 비인간 머신 아이덴티티까지 사칭해 끊임없이 침입을 시도하고 있다.

업무의 디지털 전환이 가속화되면서 이러한 아이덴티티 기반 공격은 더욱 정교해지고 탐지하기 어려워졌다.

실제 보안 책임자들도 이러한 변화를 명확히 인식하고 있다. 랜섬웨어가 진화하고 해킹 방식이 날로 정교해지면서 조직들은 제로 트러스트 아키텍처 구축을 위해 아이덴티티 우선 보안에 집중 투자하고 있다. 최근 세일포인트가 100명 이상의 CISO 및 정보보안 담당 부사장을 대상으로 실시한 설문조사 결과가 이를 뒷받침한다.

가장 주목할 만한 시사점은 보안 우선순위의 극적인 변화다. 조사 대상의 78%가 아이덴티티 보안을 조직의 최우선 사이버보안 과제로 지정했다. 특히 IAM(신원 및 액세스 관리)과 IGA(신원 거버넌스 및 관리) 플랫폼이 한때 보안 투자를 지배했던 SIEM(보안 정보 및 이벤트 관리) 시스템을 제치고 상위 5대 핵심 보안 기술로 부상했다.

이러한 인식 변화는 예산 집행으로 직접 이어지고 있다. 조사에 참여한 조직의 56%는 전체 조직의 사이버보안 예산 중 11~20%를 아이덴티티 보안에 할당하고 있다. 특히 주목할 점은 19%의 조직은 21%이상 최대 40%까지도 아이덴티티 보안을 위한 예산을 편성하고 있다는 것이다. 이는 아이덴티티 보안이 기업 보안 전략의 핵심 축으로 자리 잡고 있다는 명확한 근거로 볼 수 있다.

아이덴티티 보안이 최우선 과제로 부상한 이유는 명확하다. CISO들이 가장 경계하는 위협이 바로 외부 공격자들이 정당한 사용자의 아이덴티티를 탈취하여 내부인처럼 시스템에 접근하는 것이기 때문이다. 설문 응답자들은 계정 침해, 피싱, 자격 증명 도용 등 외부에서 시작되는 공격을 가장 시급한 위험으로 꼽았다.

가트너의 2025년 사이버보안 전망도 이를 뒷받침한다. 아이덴티티 기반 공격이 기업 침해의 주요 경로로 계속될 것이며 특히 자격 증명 도용과 피싱이 지배적인 공격 방식으로 유지될 것이라는 전망이다.

여기서 중요한 인식의 전환이 일어난다. 과거에는 네트워크 경계(Perimeter)를 강화하는 것이 핵심 방어 전략이었다. 하지만 클라우드 환경과 재택근무가 일상화되면서 명확한 경계 자체가 사라졌다. 이제는 아이덴티티 자체가 새로운 보안 경계를 형성하며 지속적인 검증과 정교한 거버넌스가 필수가 됐다.

다행히 많은 조직들이 이미 기본적인 대응 체계를 구축하고 있다. 설문 응답자의 91%가 역할 기반 액세스 제어(RBAC)와 셀프서비스 액세스 요청을 적극 활용 중이다. 이러한 제어 방식은 ‘최소 권한 원칙’ 실현해 자격 증명이 침해되더라도 공격자가 접근할 수 있는 범위를 크게 제한한다.

하지만 정적인 역할 모델만으로는 부족하다. 조직은 끊임없이 변화하고 직원의 업무도 진화한다. 한 번 설정한 권한이 영구적으로 적절할 수는 없다. 이것이 바로 AI가 필요한 이유다.

여기서 영화 속 또 다른 클리셰를 떠올려보자. SF 영화에서 보안 시스템을 해킹하고 핵무기 발사 코드를 훔치는 AI 악당 말이다. 픽션이었던 이 시나리오가 이제는 현실의 위협이 됐다.

공격자들은 이미 AI를 활용하고 있다. 설문 응답자의 60%가 AI 생성 피싱 캠페인의 정교함에 대해 우려를 표명했다. 이러한 공격은 기존 필터를 우회하고 실시간으로 개인 맞춤형 콘텐츠를 생성하며, 계정 탈취 성공률을 급격히 높인다.

방어자도 AI로 맞서야 한다. 조사 결과 62%의 조직이 향후 AI 기반 역할 마이닝을 도입할 계획이다. 역할 마이닝은 현재 액세스 권한을 지속적으로 분석하고 불필요한 권한을 식별하며 조직 변화에 맞춰 역할 구조를 동적으로 최적화한다.

더욱 인상적인 것은 이상 징후 탐지(Outlier Detection)의 효과다. AI 기반 이상 징후 탐지를 도입한 조직의 경우 외부 위협 대응 능력에 대한 신뢰도가 21% 증가했다. 시스템은 평소와 다른 접근 패턴, 비정상적인 시간대의 로그인, 이례적인 데이터 접근 등을 실시간으로 포착해 보안팀이 신속하게 대응할 수 있도록 지원한다.

조직들은 현재에 안주하지 않고 있다. 향후 24개월 동안 CISO들이 우선 투자하려는 분야를 보면 명확한 방향성이 드러난다. 데이터 액세스 거버넌스(DAS)를 통한 민감 데이터 접근 통제, 협력업체 및 제3자 거버넌스 강화 등 당장의 보안 공백을 메우는 투자가 진행 중이다.

그리고 그 다음 단계로 AI/ML 기반 위협 탐지를 통한 실시간 이상 행동 식별이 최우선 순위로 떠올랐다. 더 나아가 머신 아이덴티티 보안과 AI 에이전트 거버넌스를 통한 비인간 아이덴티티 관리도 중장기 투자 계획에 포함되고 있다.

가트너는 2028년까지 제로 트러스트 기술의 60%가 AI를 적극 활용하여 비정상 행동과 잠재적 위협을 실시간으로 식별할 것이라고 전망한다. AI는 이제 선택이 아니라 필수가 되고 있다.

변화하는 위협 환경에 효과적으로 대응하기 위해 CISO들이 우선적으로 추진해야 할 과제들이 있다.

첫째 아이덴티티를 보안 제어의 중심에 두어야 한다. 아이덴티티 거버넌스를 네트워크나 엔드포인트 보안과 동등한 전략적 우선순위로 격상시켜야 한다. 둘째 AI 기반 역할 마이닝으로 권한을 동적으로 관리해야 한다. 정적인 역할 모델은 시간이 지나면 현실과 괴리되기 때문에 AI를 활용해 지속적으로 최적화해야 한다. 셋째 정교한 이상 징후 탐지를 구축해야 한다. 컨텍스트 기반 위험 점수를 통해 진짜 위협과 오탐을 구분할 수 있어야 한다. 넷째 AI로 AI를 방어해야 한다. 자격 증명 모니터링부터 특권 액세스 관리까지 전체 아이덴티티 보안 스택에 AI를 통합해야 한다. 다섯째 적응형 제로 트러스트로 진화해야 한다. 행동 분석, 디바이스 상태, 환경 요인에 따라 액세스를 동적으로 조정하는 시스템을 구현해야 한다.

하이스트 영화의 플롯이 성립하려면 보안 시스템이 뚫려야 하듯이 현실에서도 아이덴티티 침해를 100% 막는 것은 불가능하다. 하지만 침해의 영향을 최소화하고 확산을 차단하는 것은 가능하다.

AI를 활용한 역할 최적화, 실시간 이상 징후 탐지, 최소 권한 원칙의 엄격한 적용을 통해 조직은 아이덴티티 기반 위협이 치명적인 피해로 번지기 전에 억제할 수 있다.

미래는 아이덴티티를 정적인 출입문이 아닌 지능적이고 적응적인 보안 계층으로 전환하는 조직의 것이다. 침해가 발생할 수 있다는 현실을 받아들이되 지속적인 검증과 최소 권한 적용으로 그 영향을 효과적으로 통제하는 것이 바로 아이덴티티 우선 보안이 추구하는 궁극적인 목표다.