[Gartner SRM Summit 2025] ID 및 액세스 관리(IAM) 2025 전망

Gartner SRM Summit 2025 Day 2에서 Akif Khan은 현대 사이버 보안의 핵심으로 ID 및 접근 관리(Identity and Access Management, IAM)의 중요성을 강조했습니다. 인공지능, Machine ID의 급증, 복잡하고 분산된 IT 환경으로 인해 IAM의 기반이 흔들리고 있다는 메시지를 전달하며 변화를 촉구했습니다.

Khan의 "Outlook for Identity and Access Management" 세션은 점진적인 환경 변화에 대한 예측 및 대응이 아닌 근본적인 사고방식 전환을 강조했습니다. 그는 IAM 책임자들이 단순한 시스템 및 기능 '관리자'에서 벗어나 전략적인 사이버 보안 리더로 발돋움해야 한다고 말합니다. 국내 현실에서는 IAM 책임자라는 직무가 독립적으로 존재하지 않을 수 있지만, Khan이 강조한 핵심은 "AI와 IAM의 상호 작용 이해, Machine ID의 무분별함과 관리되지 않는 위험 대처, 분산된 IT 환경 거버넌스 구현이라는 세 가지 접근 방식을 수용해야 한다"는 것입니다.

AI와 Machine ID

세션은 IAM 환경에 가장 큰 혼란을 야기하는 기술적 어려움에 대한 논의로 시작되었습니다. Khan은 즉각적인 대응이 필요한 현 상황을 다음과 같이 세 가지 주요 문제로 정의했습니다.

• IAM에서 AI의 세 가지 차원

 AI는 단순한 도구가 아니라 새로운 환경이자 조력자입니다. 따라서 모든 IAM 담당자는 다음 세 가지 중요 요인을 반드시 인지해야 합니다.

1. AI for IAM: 기업 보안 강화에 인공지능 활용이 포함됩니다. 시스템 안정성 및 보호 상태의 격차를 평가하고 조사 속도를 높이며 보고를 자동화하거나 애플리케이션 온보딩 과정을 간소화하는 데 GenAI 어시스턴트와 같은 기술이 사용되어 IAM 운영 효율성을 높일 수 있습니다.

2. IAM for AI: AI 애플리케이션, 에이전트, LLM 등을 자체적으로 도입하는 기업이 늘면서, 이들 시스템에 대한 ID의 필요성이 부각되고 있습니다. 이러한 추세에 발맞춰, IAM은 AI 에이전트의 적절한 권한 및 인증 제공, 프롬프트 주입, 남용, 데이터 스크래핑 등으로부터의 기업 보호라는 새로운 역할을 담당하게 되었습니다.

3. IAM vs. AI: 이미 공격자들은 AI를 무기화하여 사회 공학을 위한 정교한 딥페이크 생성, 생체 인식 우회, API 자동 공격을 개시하는 등 다양한 악용 사례를 보이고 있습니다. 이러한 AI 기반 위협에 대한 방어의 최전선은 IAM입니다.

"거대한 골칫거리" Machine ID

AI가 복잡한 문제를 야기하는 가운데, Khan은 훨씬 더 시급하고 심각한 위험인 "통제되지 않는 Machine ID 급증"을 언급했습니다. 여기서 말하는 Machine ID는 가상 머신, 컨테이너, 서비스 및 기타 소프트웨어 프로세스를 위한 워크로드 ID를 의미하며, 그 수는 기하급수적으로 증가하여 기업 내 직원 사용자 수를 훨씬 초과하고 있습니다.

세션에서 Khan이 언급한 통계는 가히 충격적이라고 말할 수 있습니다.

• 대부분의 기업은 사용자 ID보다 45배 더 많은 Machine ID를 보유

• 최근 조사에 따르면 사이버 보안 사고의 25%가 관리되지 않는 Machine ID에서 비롯

PAGO 또한 위협 탐지 및 대응 과정의 통계를 확인해보면 "유효한 자격 증명(Valid Accounts)"을 사용한 공격 시도가 높은 비율로 나타남을 알고 있습니다. 요약하자면 다음과 같은 사례들이 있었습니다.

• B2B 또는 B2C 목적으로 발급된 계정이 유출 후 회수되지 않아, 이 유효한 계정을 통해 기업 시스템에 침투를 시도한 사례

• 관리되지 않는 자산에 기업 ID가 사용되었고, 악성코드를 통해 해당 ID 유출로 대량 스팸 메일이 발송되어 기업 브랜드 가치가 저해된 사례

Khan은 Machine ID 보호 및 관리가 일반적인 IAM 프로젝트 대상이 아님을 강조했습니다. 그는 개발, 인프라, 운영 등 모든 부서 간 소통이 필수 불가결하며, 정책 정의, ID에 대한 책임 설정, 필요 역량 구축을 위해서는 불가피한 과제라고 설명합니다.

"피터팬 증후군" 벗어나기

이번 세션에서는 주로 IAM 리더들의 문화적, 전문적 성장에 대한 논의가 깊이 이루어졌습니다. Khan은 IAM 전문가들이 자신을 단순한 시스템 관리자가 아닌, 더 포괄적인 보안 리더로 인식해야 함을 강조하며, 종종 나타나는 스스로를 기능 관리자로만 여기는 경향을 "피터팬 증후군"이라고 칭했습니다.

그는 그러한 시각이 극히 시대에 뒤떨어진 것이라고 단언했습니다. IT 분야뿐 아니라 사회 전반에서 경계가 사라진 세상에서, ID는 가장 중요한 공격 대상이자 유일하게 실질적인 통제 수단이 되었습니다. 따라서 IAM 책임자의 역할은 본질적으로 변화되었다고 설명합니다.

이 새로운 역할을 수용하기 위해 Khan은 두 가지 핵심 개념을 제시합니다.

1. ID 우선 보안 "3 Cs": 이는 세 가지 원칙에 기반한 탄력적인 IAM 인프라 구축에 초점을 맞춘 예방적 사고방식입니다.

   • 일관성 (Consistency): 모든 분산 자산에 걸쳐 중앙 집중식 액세스 정책을 균일하게 배포

   • 상황 인식 (Contextual Awareness): 사용 가능한 모든 엔드포인트, 시간, 위치 및 행동 이벤트들을 활용하여 동적이면서 위험 판단을 기반으로하는 접근 결정

   • 지속성 (Continuousness): 로그인 시점뿐만 아니라 전체 세션에 걸쳐 보안 검사를 적용하여, 지속적 액세스 평가 프로토콜(Continuous Access Evaluation Protocol, CAEP)과 같은 기준 설정

2. ID 위협 탐지 및 대응 (ITDR): Khan은 ITDR이 별개의 시장이 아니라 IAM 인프라 자체를 대상으로 하는 공격을 탐지하고 대응하기 위한 일련의 프로세스라고 분명히 했습니다. 더 중요한 것은, 그는 ITDR을 협업을 위한 "강력한 촉매제"로 규정했다는 점입니다. ITDR을 추구하면 IAM 팀은 자신들의 사일로에서 벗어나 SOC, 인프라 보안, 운영, 서비스 부서와 직접 협력하게 되며, 진정으로 통합된 보안 기업에 필요한 연결 고리가 된다고 강조했습니다.

분산된 IAM을 위한 실질적인 거버넌스

마지막 핵심 주제는 현대 IAM의 운영 현실을 다루었습니다. IAM은 고도로 분산된 기능으로 기업 전체의 팀들은 클라우드 계정 설정에서 Machine ID 생성에 이르기까지 IAM 관련 작업을 중앙 감독 없이 지속적으로 수행해오고 있다고 언급하며 가시성, 감사, 정책의 부재로 이어져 휴면 계정, 과도하게 제공 된 액세스, 관리되지 않는 ID가 Shadow IT와 같은 위험 지역을 만든다고 설명합니다.

Khan은 업무를 방해하지 않고 오히려 활성화시키는 거버넌스를 구축하기 위해 명확하고 다각적인 방법을 제시했습니다.

1. 책임 확립: 첫 번째 단계는 공식적으로 위험 소유자를 지정하는 것입니다. IAM 작업을 수행하는 각 팀은 해당 작업에 대해 책임을 져야 하며, 이는 모호함에서 명확한 책임으로 나아가는 것이라고 말합니다.

2. 가드레일 설정: 명확하고 높은 수준의 정책(예: "모든 신규 애플리케이션은 SSO를 사용해야 함", "모든 권한 있는 계정은 MFA가 필요함")을 정의한 다음, 컨텍스트에 맞게 구체적이고 실행 가능하게 만들어 해석의 여지를 남기지 않습니다.

3. 가시성 구축: 책임과 가드레일은 자연스럽게 더 큰 가시성으로 이어집니다. 위험을 관리하려면 먼저 그것을 볼 수 있어야 합니다. 이는 실제로 공격 표면을 구성하는 "드러나지 않은 위협"을 표면으로 드러내는 것에 관한 것입니다.

이를 운영하기 위한 방법론으로 가시성, 인텔리전스, 조치(VIA) 모델을 소개했습니다.

• 가시성 (Visibility): 전체 IAM 환경에 대한 포괄적인 시야를 확보

• 인텔리전스 (Intelligence): 그 가시성을 사용하여 가장 중요한 것의 우선순위를 정하는 위험의 히트맵 생성

• 조치 (Action): 인텔리전스를 기반으로 휴면 계정 제거 또는 권한 조정과 같은 구체적인 조치 실행

조치의 성과는 인텔리전스의 양질에 달려 있으며, 이는 전적으로 가시성을 얼마나 확보했는지가 중요합니다. 이 전체 프로세스는 진행 상황과 가치를 비즈니스 리더에게 보여주기 위해 측정되고 보고될 수 있도록 체계화 되어야 합니다.

사이버 보안 전문가를 위한 실행 가능한 권장 사항

세션을 바탕으로 IAM 리더 및 사이버 보안 전문가를 위한 주요 시사점 및 권장 조치는 다음과 같습니다.

1. 3차원 AI 전략 개발: IAM을 위한 AI, AI를 위한 IAM, 그리고 IAM 대 AI라는 세 가지 차원 모두에서 AI의 영향과 효과에 대한 계획을 즉시 시작

2. Machine ID 확산 억제: Machine ID 관리를 최우선 과제로 부서 간 태스크포스를 구성하여 문제를 파악하고, 전략을 정의하며, 통제 수단을 구현

3. 거버넌스 이니셔티브 시작: 분산된 IAM 작업에 대한 책임과 가드레일에 대한 정책화. 누가, 어디서, 무엇을 하는지 파악하여 보이지 않는 것을 보이게 만드는 작업을 시작

4. VIA 모델 운영: 가시성을 실행 가능한 인텔리전스로 전환하고 그 인텔리전스를 사용하여 구체적인 위험 감소 활동을 추진하는 프로세스를 구현

Akif Khan의 발표는 ID 및 액세스 관리의 미래에 대한 설득력 있는 청사진이었으며, 메시지는 명확했습니다.

정말 드물게도 PAGO DeepACT MDR 서비스를 기업에 설명하고 제공하는 미팅에서 이런 질문을 받은 적이 있습니다. “우리 기업에 대한 이해도가 부족할텐데 위협을 탐지하고 대응하는데 있어 문제가 되지 않을까요?” 이에 “PAGO는 위협 탐지 대응을 위해 기업의 자산, 용도, 목적 등 컨텍스트 파악에 노력을 기울이고 있다”고 답변했던 기억이 납니다. 실제로 그렇게 작동하도록 지속적인 프로세스 개선을 하고 있습니다.

하지만 이런 활동을 하다 보면 기업 또는 고객에게 질문을 드리게 됩니다. 탐지된 위협 중 “IAM.exe” 프로세스를 실행한 사용자가 어떤 역할과 용도로 쓰이는지 문의하면 신속하게 답변을 받는 경우가 드물고 꽤 오랜 시간이 걸리는 경우가 많습니다.

이제 수동적이고 관리적인 IAM 시대는 끝났다는 개인 적인 견해를 드리고 싶습니다. AI와 Machine ID 관리에 대한 도전이 어려울 수 있지만, 이는 IAM이 기업 보안의 기반으로서 입지를 굳힐 좋은 기회입니다. 새로운 위협으로부터 인프라를 보호하기 위해 이 세션의 리뷰를 계기로 삼기를 바랍니다.

작성자 – 파고네트웍스 권표 이사 (CPTO)