취약점 패치 속도 높이는 동시에 아이덴티티 기반 보안 정책 병행하는 것 중요
미국 라스베이거스에서 열린 ‘블랙햇(Black Hat) USA 2025’에서 올해 가장 두드러진 화두는 ‘아이덴티티(Identity)’ 보안이었다. 컨퍼런스 강연과 전시장, 그리고 보안 전문가들의 대화 속에서 공통적으로 강조된 메시지는 명확했다. 공격자는 단순히 침입하는 것이 아니라, 우리가 제대로 보호하지 못한 인증 수단을 이용해 ‘로그인’한다는 것이다. 전문가들은 아이덴티티 관리 강화를 통해 권한을 최소화하고, 인공지능(AI) 기반의 사회공학 공격에 대응할 준비가 필요하다고 입을 모았다.
올해 발표된 데이터도 이를 뒷받침한다. ‘2025 데이터 침해 조사 보고서(DBIR)’에 따르면, 자격 증명(Credential) 탈취는 여전히 주요 침입 경로이며, 취약점 악용과 비슷한 수준까지 비중이 높아졌다. 특히 웹 애플리케이션 공격의 약 88%가 탈취된 계정 정보를 사용한 것으로 나타났다. 이는 단순한 시스템 패치만으로는 충분하지 않고, 인증과 세션 보호가 핵심 자산 방어의 관건임을 보여준다.
아이덴티티 보안이 어려운 또 다른 이유는 관리해야 할 ID의 폭발적인 증가다. 클라우드 네이티브 환경, 자동화, CI/CD 파이프라인, AI 에이전트의 확산으로 서비스 계정, 토큰, API 키 등 비인간 정체성(NHI)이 기하급수적으로 늘어났다. 일부 환경에서는 머신 ID가 인간 계정을 최대 4만 대 1 비율로 초과하는 경우도 있으며, 권한이 광범위하고 관리 사각지대가 많아 보안 위험이 크다.
이번 행사에서는 패스워드리스(Passwordless) 인증과 패스키(Passkey)가 핵심 주제로 다뤄졌다. 그러나 발표에서는 패스워드리스 환경에서의 계정 복구 절차가 새로운 공격 경로가 될 수 있다는 점도 지적됐다. 복구 과정에서 피싱이 가능한 절차나 헬프데스크의 과도한 권한이 발생하지 않도록 설계가 필요하다는 것이다. 또한 FIDO 얼라이언스와 업계 관계자들은 피싱 저항성이 강한 디바이스 기반 인증기를 새로운 기업 보안 표준으로 제시했다.
하지만 패스워드리스가 만능 방패는 아니다. 실제 위협 조사에 따르면, 공격자는 교차 기기 로그인 절차를 악용해 피해자가 악성 사이트에서 QR 코드를 스캔하도록 유도하고 세션을 탈취했다. 이는 FIDO의 암호 체계를 직접 깨뜨린 것은 아니지만, 복구·백업 요소가 피싱 가능할 경우 발생하는 위험을 보여준다.
주최측에 따르면, 전시장 현장에서 진행된 110명 대상 설문조사에서는 AI 기반 피싱과 딥페이크가 향후 가장 위험한 아이덴티티 기반 위협으로 꼽혔다. 반면, AI 기반 신원 검증과 패스워드리스 인증은 향후 수년간 가장 영향력 있는 방어 기술로 평가됐다. 그러나 AI가 만들어내는 위협에 대해 완전한 대응 자신감을 보인 응답자는 16.4%에 불과해, 공격자들이 악용할 수 있는 방어 공백이 뚜렷하게 드러났다.
프리빌리지 액세스 관리(PAM) 역시 이제 필수 보안 도구로 자리 잡고 있다. 조사에 따르면 PAM을 도입한 조직의 53%가 민감 데이터 보호와 권한 오남용 감소 효과를 경험했다고 밝혔다. 하지만 여전히 많은 조직이 관리자 계정에 대해 다단계 인증(MFA)을 강제하지 않아, 올해 다수의 대형 침해사고에서 취약점으로 드러났다.
보안 전문가들은 공격자가 하나의 인증 요소를 탈취할 수 있다는 전제를 깔고, 이를 통해 생산망, SaaS 관리자 계정, CI 파이프라인으로의 확산을 막아야 한다고 강조한다. 이를 위해서는 권한을 최소화하고, 머신 ID도 인간 계정과 동일하게 관리하며, 모든 권한 상승 과정에 실시간 모니터링을 적용해야 한다.
전문가들은 관리자 계정과 중요 애플리케이션에는 피싱 공격에 대응할 수 있는 디바이스 기반 MFA를 적용하고, 계정 복구 절차에서도 SMS나 이메일을 배제하는 등 강력한 검증 절차를 마련해야 한다고 조언했다. PAM은 자격 증명과 비밀키를 안전하게 보관하고, 필요한 경우에만 권한을 부여하는 ‘최소 권한·온디맨드’ 정책을 적용해 권한 남용 가능성을 최소화해야 한다. 비인간 ID는 토큰·API 키·서비스 계정을 모두 목록화해 주기적으로 교체하고, 불필요한 권한을 제거하는 자동화 정책을 적용해야 한다고 강조하고 있다. 또한, 취약점 악용이 증가하는 만큼, 패치 속도를 높이는 동시에 아이덴티티 기반 보안 정책을 병행하는 것이 중요하다.
[2025 대한민국 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]
(제13회 KCSCON 2025 / 구 PASCON)
※ Korea Cyber Security Conference 2025
-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-
공공∙기업 정보보안 책임자/실무자 1,200여명 참석!
-2025년 하반기 최대 정보보호 컨퍼런스&전시회-
△주최: 데일리시큐
△일시: 2025년 9월 16일 화요일(오전9시~오후5시)
△장소: 세종대 컨벤션센터 전관
△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업
개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명
(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)
*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.
△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)
△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정
△사전등록 필수: 클릭
(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.
참석확정 문자와 메일 받은 분만 참석 가능)
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[보안칼럼]비영리 단체, 사이버 공격의 집중 표적이 되다](https://img.etnews.com/news/article/2025/08/05/news-p.v1.20250805.07a480007dab41b781ab83aea806f142_P3.jpg)
![[김승주 교수 칼럼] 사이버보안, CEO에서 대통령까지 리더가 반드시 알아야 할 국가와 기업의 생존 기술](https://www.dailysecu.com/news/photo/202508/168752_197776_3036.jpg)
![[강문수의 판교We포럼] 실용 정책-규제를 기술로 풀어내야 IT 강국이 부활한다](https://img.etnews.com/news/article/2025/08/11/news-p.v1.20250811.a78dd6da06be46238035590b0a1d97a1_P1.png)
!["가상자산 투자 사기에 속지마세요" 금감원, 소비자 경보 ‘주의’ 발령…"수지·송혜교 레드카펫 ‘픽’" 해외 인지도 높이며 존재감 [AI 프리즘*신입 직장인 뉴스]](https://newsimg.sedaily.com/2025/08/11/2GWL1AS6OL_1.jpg)
![[ET시론] AI가 쇼핑하고 결제하는 시대…핵심은 보안과 신뢰](https://img.etnews.com/news/article/2025/08/07/news-p.v1.20250807.ab81c60c2f6942408118b978c34eb514_P3.jpg)
