사이버아크 “AI 시대, 인간·머신 아이덴티티 폭발적 증가…관리못하면 보안사고로 이어져”

APAC 기업 69%, AI 아이덴티티에 대한 보안 통제 갖추고 있지 못해

기업들, 접근 통제 넘어 아이덴티티 중심 보안 체계로 전환해야

아이덴티티 보안 전문 기업 사이버아크(CyberArk, NASDAQ: CYBR)가 ‘2025 아이덴티티 보안 환경 리포트(2025 Identity Security Landscape)’를 발표하며 아태(APAC) 지역을 중심으로 기업 보안의 새로운 과제와 대응 방향을 제시하는 시간을 가졌다. 3일 기자간담회에서 사이버아크 코리아 최장락 이사는 AI와 클라우드 확산이 인간과 머신 모두의 아이덴티티 보안을 근본적으로 재정의하고 있다며 보안 전략의 대대적 변화가 필요하다고 강조했다.

■머신 아이덴티티, 인간 대비 82배 많아…향후 계속 증가할 것

최 이사는 “조직 내 머신 아이덴티티는 이제 인간 아이덴티티보다 압도적으로 많아졌다”며 “APAC 지역의 경우, 인간 아이덴티티 1개당 평균 82개의 머신 아이덴티티가 존재한다. 이들 중 약 40%는 특권적 접근 권한이나 민감한 권한을 보유하고 있음에도 상당수가 방치돼 있다”고 설명했다.

머신 아이덴티티는 애플리케이션, 마이크로서비스, 봇, API, 클라우드 워크로드 등이 시스템에 접근하거나 서로 통신하기 위해 사용하는 디지털 계정을 의미한다.

이러한 계정은 대규모 자동화 환경에서 폭발적으로 증가하지만, 인간 계정과 달리 기업의 관리와 모니터링이 제대로 이루어지지 않는 경우가 많다. 정 이사는 “머신 아이덴티티는 비밀번호나 키, 인증서를 통해 특권적 권한을 행사할 수 있지만, 보안팀조차 어디에 얼마나 존재하는지조차 파악하지 못하는 경우가 많다”며 관리 부재가 새로운 보안 취약점으로 이어지고 있다고 지적했다.

사이버아크의 이번 보고서에 따르면, 2025년에는 인간과 머신 아이덴티티 수가 두 배로 증가할 것으로 예상된다. 그러나 대부분의 조직은 여전히 ‘특권 사용자’를 인간 계정에만 한정하고 있어, 머신 아이덴티티 관리의 사각지대가 빠르게 확대되고 있다. 정 이사는 “이는 AI와 클라우드 도입 가속화로 인해 기업이 무의식적으로 새로운 공격 표면을 만들고 있다는 증거”라고 말했다.

최 이사는 또 AI 확산과 함께 나타나는 섀도우 AI(Shadow AI) 현상을 심각한 위협으로 꼽았다. 그는 “AI는 앞으로 특권과 민감한 접근 권한을 가진 새로운 아이덴티티를 가장 많이 만들어낼 기술이 될 것이다. 그러나 현재 APAC 기업의 69%는 AI 아이덴티티에 대한 보안 통제를 갖추고 있지 못하다”고 강조했다.

보고서에 따르면 APAC 응답자의 46%는 조직 내에서 섀도우 AI 사용을 보호할 수 없는 상태다. 최 이사는 “AI 에이전트가 승인되지 않은 상태에서 특권 권한을 갖게 되면, 공격자는 이를 활용해 전례 없는 새로운 공격 경로를 확보할 수 있다”며 기업들이 조속히 AI 아이덴티티 보안을 전략에 포함해야 한다고 말했다.

■아이덴티티 사일로와 복원력 약화

또 최 이사는 이어 단편화된 아이덴티티 관리 체계가 기업 복원력에 악영향을 미친다고 경고했다. 그는 “많은 조직이 보안 솔루션을 파편적으로 운영하고 있고, 환경에 대한 가시성이 떨어져 위협 대응 능력이 저하되고 있다”며 “보험사와 규제기관의 특권 제어 요구가 점차 강화되는 상황에서, 기업은 단순한 접근 통제를 넘어 아이덴티티 중심의 보안 체계로 전환해야 한다”고 말했다.

실제로 보고서에 따르면 APAC 보안 전문가의 76%가 “조직이 강력한 보안보다 비즈니스 효율성을 우선시한다”고 응답했으며, 88%의 조직이 보험사의 특권 제어 강화 요구로 인해 압박을 받고 있다고 답했다. 이는 아이덴티티 관리 실패가 단순히 보안 리스크에 그치지 않고, 기업 운영 전반의 지속가능성에도 직결됨을 보여준다.

이번 보고서는 2025년 APAC 기업의 보안 지출을 견인할 3대 요인으로 ▲AI 및 거대언어모델(LLM)과 툴 도입(59%) ▲보안 운영 및 위협 탐지·대응(48%) ▲제로 트러스트 및 아이덴티티 보안 도입(39%)을 꼽았다. 이는 AI 확산에 따른 아이덴티티 관리 강화와 제로 트러스트 전환이 향후 보안 투자의 핵심축이 될 것임을 보여준다.

최 이사는 “아이덴티티 보안 전략을 현대화하지 않으면, 조직은 앞으로 다가올 위협에 취약할 수밖에 없다”며 “CISO와 보안 리더는 머신과 인간을 모두 아우르는 통합적 접근 방식을 도입해야 한다. 이를 통해 비즈니스 복원력을 지키고 신뢰를 유지할 수 있다”고 강조했다.

사이버아크 클라렌스 힌튼(Clarence Hinton) CSO는 리포트 서문에서 “AI 에이전트의 특권적 접근은 완전히 새로운 위협 벡터가 될 것”이라며 “CISO는 머신 아이덴티티의 급증과 아이덴티티 사일로의 파편화 문제에 맞서 현대적인 전략을 채택해야 한다”고 말했다.

림 텍 위(Lim Teck Wee) ASEAN 지역 VP도 “머신 아이덴티티의 폭발적 증가와 감독 부재는 위험을 증폭시키고 있다”며 “AI 기반 아이덴티티 통제를 제대로 하지 못하면 기업은 치명적인 피해를 입을 수 있다. 따라서 이제는 인간만이 아니라 모든 아이덴티티를 보안 대상으로 삼아야 한다”고 덧붙였다.

사이버아크는 한국에서도 금융, 제조, 공공 등 주요 산업군을 중심으로 비즈니스를 확장하고 있다. 최 이사는 “한국은 디지털 전환과 클라우드 전환 속도가 빠른 시장으로, 특권 계정 관리와 아이덴티티 보안의 필요성이 특히 높다”며 “사이버아크는 이미 다수의 국내 대기업과 금융기관을 고객으로 확보하고 있으며, AI와 클라우드 환경에 최적화된 아이덴티티 보안 플랫폼을 통해 고객군을 지속 확대할 계획”이라고 말했다.

그는 이어 “앞으로 한국 고객의 요구에 맞춘 로컬 지원과 파트너 협력을 강화해, 머신과 인간 아이덴티티를 아우르는 통합 보안 전략을 제공하겠다”고 강조했다.

[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업