속도 붙은 자동화, 보안 공백 뒤따른다

‘격차’ 혹은 ‘공백’이 항상 문제다. 사회적으로는 빈부 ‘격차’가, 직장에서는 담당자 ‘공백’이 결국 구성원 모두를 괴롭히는 짐덩어리가 되곤 한다. 보안도 마찬가지. 최근 기업 환경서 자동화 도입 속도와, 자동화 기술을 보호하기 위한 보안 사이의 기술 공백이 그 자체로 취약점이라는 보고서가 나왔다. 

보안 기업 키퍼시큐리티(Keeper Security)는 샌프란시스코서 4월 7일 열린 RSA 컨퍼런스를 통해 “비인간 ID(non-human identity, NHI)”에 대한 관리 체계가 수립되지 않은 기업이 너무 많다고 지적했다. NHI란, “서비스 계정, API 키, AI 기반 도구 등 사람의 직접적 개입 없이 시스템 간(혹은 기계 대 기계) 상호작용을 가능케 하는 소프트웨어 자산을 의미한다”고 키퍼 측은 설명했다.

키퍼시큐리티는 발표 자료를 통해 “보안 전문가 100명 이상을 대상으로 해당 연구를 진행했다”고 밝히며, “그 결과 기업 중 절반 가까이(46%)가 인공지능 기반 도구에 민감한 데이터와 핵심 시스템에 대한 접근 권한을 부여한 채 사업을 이어가고 있음을 알 수 있었다”고 말했다. ‘비인간 ID’를 부여받은 시스템에 막대한 권한을 주었다는 것. 

권한 부여 후 관리는 제대로 했을까? 76%가 “비인간 ID를 일관되게 관리하는 규칙을 갖추지 않았다”고 답했다고 한다. 인간도 아닌 무언가가, 인간에 준하는 높은 권한과 높은 자유를 보장받은 채 기업 환경에서 활동하고 있다는 의미라는 설명이다. “이들이 뭘 하는지 모니터링도 제대로 되지 않고, 따라서 어떤 일을 벌일 것인지 예측하기도 어렵습니다.”

단골 주제, 가시성

키퍼시큐리티는 이럴 때 나타날 수 있는 가장 큰 문제로 ‘가시성 부족’을 꼽았다. “참여자 중 28%만 ‘클라우드, 오피스, SaaS 환경 전반에 걸쳐 존재하는 모든 비인간 ID를 파악할 수 있다’고 답했습니다. 자동화 기술과 에이전트 등 ‘비인간 ID’와 관련된 기술이 보여주는 확산 속도에 비해 지나치게 낮은 비율입니다.” 

가시성 문제는 ‘최소 권한의 법칙’ 위반으로 확장된다는 것도 문제로 꼽았다. 업무 수행에 필요한 만큼의 권한만 각자에게(혹은 각 시스템에) 부여한다는 보안 원칙이 성립하지 않는다는 것. “각기 다양한 권한을 가진 사람과 도구가, 그 권한과 상관이 없는 기능을 파편화된 방식으로 수행하고 있으며, 이를 일관성 없는 정책으로 관리하려 하는 게 현재 많은 기업들의 상황”이라고 키퍼는 묘사한다.

실제 ‘비인간 ID’와 관련된 피해가 적잖았다. 키퍼시큐리티는 보고서를 통해 “지난 1년 동안 40% 이상 기업이 비인간 ID용 크리덴셜 또는 비인간 ID 그 자체와 관련된 보안 사고를 1번 이상 겪었다”고 밝혔다. “그렇다고 나머지 60%가 ‘겪지 않았다’고 자신할 수 있는 것도 아닙니다. 이중 대부분은 ‘피해 여부도 파악 못하고’ 있거든요. 탐지조차 되지 않는 것 역시 가시성 부족에 따른 부작용입니다.”

조치: 자동화 혹은 수동

비인간 ID의 활동을 감시한다는 응답자 중 자동화 된 시스템을 사용한다고 밝힌 사람은 26%에 그쳤다. 나머지는 각자 고안한 수동 프로세스에 의존하는 것으로 조사됐다. 자동화 대응 기술은 △자동 탐지 및 대응 △비밀정보 자동 관리 △자동 권한 제어 △자동 크리덴셜 생애주기 관리라는 4개 축으로 구성된다.

1) 자동 탐지 및 대응: API 키 남용이나 비정상 접근 등 이상 행동 자동 탐지 후 자동 차단, 권한 축소, 세션 종료까지 유기적으로 이어진다.

2) 비밀정보 자동 관리: API 키, 토큰, 인증서 등을 중앙 저장소에 보관하고 필요할 때만 동적으로 제공한다. 코드 내 하드코딩 행위를 금지한다.

3) 자동 권한 제어: 역할과 책임을 기반으로 필요할 때와 상황에 맞는 권한만을 부여하고, 종료 시 권한도 원래대로 복구한다.

4) 자동 크리덴셜 생애주기 관리: 비밀번호나 토큰 등을 주기적으로 자동 교체하며, 계정 생성과 삭제 역시 자동화로 처리한다.

이 네 가지 만으로 ‘비인간 ID’ 관리 문제가 다 해결되는 건 아니다. 하지만 현재로서는 최선책이다. 

반대에는 ‘최악책’도 존재한다. ‘수동 프로세스’다. △사람이 직접 계정 생성 및 관리 △크리덴셜을 코드와 파일 내에 저장 △정적 권한 관리 △로그 기반 사후 대응 △크리덴셜 재설정 및 순환 미비라는 5개 축으로 구성된다.

1) 사람이 직접 계정 생성 및 관리: 필요할 때, 필요한 사람이, 별도의 승인 과정이나 권한 설정 없이 계정을 만들 수 있다. 누가 어떤 계정을 만들었는지 기록하지도 않고 관리하지도 않는다. 

2) 크리덴셜을 코드와 파일 내 저장: API 키를 깃허브에 평문으로 남기거나 계정 비밀번호를 설정(config) 파일에 저장한다. 개발자들 사이에서 이런 실수가 종종 나온다.

3) 정적 권한 관리: 한 번 권한을 주면 그 권한이 영원히 유지된다. 필요 이상 권한 가진 자가 점점 늘어난다.

4) 로그 기반 사후 대응: 로그라는 걸 사고 이후에 처음 본다. 평소에 보지 않았으므로 낯설고, 해석도 더디다. 로그 기반 실시간 대응이라는 개념도 희박하다.

5) 크리덴셜 재설정 및 순환 미비: 수년 째 같은 비밀번호를 여러 계정에서 동시에 사용한다. 

비인간 ID 관련 사고 예방법

‘자동화’는 서두르지만 ‘자동화 기술 보안’ 도입은 늦장이다. 어디나 그렇다. 모두가 안다. 사실 ‘도입만’ 문제인 건 아니다. 자동화 기술을 보호하는 기술의 발전 속도 자체가 한 발 늦다. 그러나 현실 속에서 발견되는 둘(자동화 vs. 자동화 보안)의 격차는 ‘한 발’ 정도가 아니라 ‘100발’에 가깝다. 이를 줄이기 위해서 권고되는 것들은 다음과 같다.

1) 비인간 ID 목록화: 조직 내 존재하는 모든 비인간 ID를 파악한다.

2) 비밀정보 관리 체계 도입: API 키나 토큰 등을 중앙에서 관리하고, 개별 코드에서는 모두 찾아 제거한다.

3) 최소 권한의 원칙 적용: 역할과 상황에 따라 일시적 권한만 부여하는 제도를 정착시킨다.

4) 자동화 탐지 및 대응: 비인간 ID는 매우 빠르기 때문에 수동으로 제어할 수 없다. 자동으로 탐지하고 자동으로 차단해야 대응이 될까말까다. 

5) 크리덴셜 생애주기 관리 자동화: 비밀번호가 때 되면 자동으로 교체되도록 시스템을 꾸린다. 만료와 폐기도 자동으로 처리한다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• 자동화와 패치 지연이 결합되면 조직이 취약점 대응을 따라가지 못해 보안 공백이 커진다는 점을 강조하며, 2023~2024년 실제 악용된 CVE를 분석해 자동 탐지·자동 업데이트의 필요성을 설명한 「Exploited vulnerabilities in 2023 and 2024」 - Kaspersky , 2024년
• AI 자동화가 보안 운영을 빠르게 만들지만, 부정확한 데이터·환각·권한 과대부여·플러그인 취약점 등이 새 보안 위험을 만들 수 있다고 정리한 「Top 10 AI Security Risks for 2024」 - Trend Micro , 2024년
• AI의 성능 향상과 함께 사회적 불안, 신뢰 저하, 과잉 대응이 커지고 있음을 정량 데이터로 보여주며, 기술 격차뿐 아니라 운영·인식 격차가 AI 보안 문제를 키운다는 해석에 참고가 되는 「AI Index Report 2024」 소개 페이지 - Stanford HAI , 2024년
• AI 관련 허위정보, 사이버 공격, 일자리 변화에 대한 공포가 실제 기술 위험과 결합해 글로벌 리스크를 증폭시킬 수 있다고 다룬 기사 「These are the 3 biggest emerging risks the world is facing」 - World Economic Forum , 2024년

[TE머묾] AI 시대의 내적 체중

💡Editor’s Pick - AI의 강력함 인정하지만, 우리의 과민 반응도 없지 않아 - 피셔들과의 장난질, 이제 그만하기로 - 기술의 발전상, 이리 저리 알아보는 게 중요 달리는 버스 안에 붙어 있는 ‘기사 실명’이라는 안냇말을 보고 1초 정도 뜨악했다. 동공이 커지고, 운전기사 쪽으로 황급히 고개를 돌렸다가, 다시 안냇말을 살피며 ‘아, 그게 아니었구나’

더테크엣지(The Tech Edge)문가용 기자