머신 ID(Machine Identity), 혹은 비인간 ID(non-human identities, NHI)는 기업에 큰 보안 위협을 안기는 요소다. AI 에이전트가 본격적으로 도입되면 그 위험은 더욱 커질 전망이다. 보안 업체 사이버아크(CyberArk) 보고서에 따르면, 현재 비인간 ID는 인간 계정 1개당 82개꼴로 존재하며, 그 격차는 앞으로 기하급수적으로 증가할 것으로 예측된다. 2022년에는 머신 ID와 인간 계정의 비율이 45:1이었다.

가트너 애널리스트 스티브 웰스는 “IAM(Identity and Access Management) 전체를 놓고 보면 머신 ID 영역이 가장 미성숙한 상태다. 이 격차를 따라잡는 것은 매우 어렵다. 그런데 이제 AI까지 논의되는 상황이다. 모든 것이 너무 빠르게 움직이고 있다. 기업은 아무 준비 없이 여기저기 AI 에이전트를 마구 배포하고 있다”라고 지적했다.

전통적인 보안 위험

AI 에이전트가 등장하기 전에도 머신 ID 관리는 보안 측면에서 이미 어려운 과제였다. 기업은 이를 관리하기 위해 자동화 스크립트를 구축해 90일마다 인증서나 비밀번호, 계정을 교체하는 방식을 사용했다. 그러나 이런 방식은 자체 서명 인증서(self-signed certificate), 갱신되지 않은 만료 인증서, 하드코딩된 자격 증명, 서비스 계정으로 인한 잠재적 보안 취약점 등을 초래했다.

비인간 ID를 둘러싼 주요 보안 과제는 크게 3가지로 요약된다. 첫째는 가시성 부족, 둘째는 장기간 방치되거나 추적되지 않는 ID, 마지막은 기본값 그대로 쓰이거나 하드코딩된 자격 증명이다.

가시성 문제

전자 부품 제조 기업 야게오 그룹(Yageo Group)의 정보 보안 운영 관리자 테릭 테일러는 “사람과 비인간 ID 모두에 대한 모니터링을 자동화하고, ID 수명 주기를 관리하는 프로세스도 갖췄지만, 한때는 비인간 ID가 너무 많아 말하기 부끄러울 정도였다”라고 털어놨다. 테일러는 “가장 최근에 포털을 확인했을 때는 계정이 500개가 넘었다”라고 말했다.

하지만 기본 비밀번호가 설정된 계정, 권한이 과도하게 부여된 계정, 90일 이상 방치된 계정처럼 문제가 되는 항목을 식별할 수만 있다면, 즉시 해당 계정을 비활성화하거나 다른 조치를 취할 수 있다고 테일러는 설명했다.

다양한 기술 스택을 가진 회사를 자주 인수하는 기업일수록 이런 문제는 훨씬 더 커진다.

사이버아크가 전 세계 20개국 보안 의사결정권자 2,600여 명을 대상으로 실시한 설문조사에 따르면, 응답자 70%는 ID 사일로가 사이버보안 위험의 근본 원인이라고 답했으며, 49%는 클라우드 환경 전반에 걸쳐 권한 및 접근 권한에 대한 완전한 가시성이 부족하다고 답했다.

문제를 더욱 복잡하게 만드는 요인은 기업 내 다양한 사람과 시스템이 여러 목적에 따라 머신 ID를 생성한다는 점이다. 이 가운데 일부는 만든 직원이 퇴사하면서 해당 ID 존재 자체가 잊히는 경우도 있다. 이런 계정의 접근 권한은 그대로 남아 보안 위협을 키운다.

더 우려스러운 점은 높은 권한을 가진 계정이 하나만 탈취되더라도 공격자는 이를 이용해 추가적인 서비스 계정을 생성할 수 있다는 점이다. 이를 통해 공격자는 기업 내부로 더 넓고 깊게 침투할 수 있게 되고, 흔적을 찾아 제거하는 일은 훨씬 더 어려워진다.

방치된 비인간 ID

비인간 ID를 안전하게 관리하려면 수명 주기 관리가 필수적이다. 만료된 인증서로 인한 운영상 문제뿐 아니라, 자격 증명이 오래 방치될수록 누군가 우연히 이를 발견해 악용할 가능성도 크다. 가트너의 웰스는 “서비스 계정 관리에서 가장 어려운 부분은 해당 계정이 왜 생성됐고, 무엇에 사용되고 있는지를 추적하는 일이다. 처음 생성할 때는 용도를 정확히 알지만, 제대로 문서화하고 지속적으로 관리하지 않으면 금세 방치된 계정이 된다”라고 말했다.

기업은 결국 조직 전반에 서비스 계정이 흩어져 있는 상황에 놓이게 되며, 이로 인해 시간이 지날수록 커지는 공격 표면이 형성된다. 웰스는 “최초 설정 이후 9년 동안 한 번도 바뀌지 않은 비밀번호를 실제로 본 적도 있다. 이런 비밀번호는 시스템 곳곳에 고착돼 변경하고 안전하게 관리하는 일이 매우 어렵다”라고 지적했다.

많은 기업이 비인간 ID 전체에 대한 수명 주기 관리 체계를 갖추지 못하고 있으며, 보안팀 역시 오래된 계정을 폐기하는 데 소극적인 경우가 많다. 해당 계정이 예상치 못한 방식으로 핵심 업무 프로세스를 중단시킬 수 있다는 우려 때문이다.

하지만 야게오 그룹의 테일러는 이에 해당하지 않는다. “90일 이상 된 계정이 보이면 무조건 없앤다. 90일이 넘은 계정이 여전히 유용할 거라고는 생각하지 않는다”라고 말했다.

곧 다른 기업도 야게오 그룹의 방식에 동참해야 할지도 모른다. 지난 4월, CA/브라우저 포럼(Certificate Authority Browser Forum)은 만장일치로 TLS 인증서 유효 기간을 398일에서 2025년 3월까지 200일, 2027년 3월에는 100일, 그리고 2029년 3월에는 47일로 단계적으로 단축하기로 했다.

이에 대해 헬스케어 IT 서비스 업체 PDS 헬스(PDS Health)의 IT 부사장이자 CISO인 네미 조지는 “이는 많은 기업에 근본적인 문제를 야기할 수 있다. 운영상 큰 혼란이 뒤따를 것이기 때문이다. PDS 헬스는 꽤 견고한 프로세스를 운영하고 있지만, 여전히 인증서 갱신이 누락되는 경우가 있다”라고 설명했다.

인증서 유효 기간을 단축하면 암호화 키가 중간자 공격이나 데이터 유출을 통해 탈취될 가능성이 줄어들고, 동시에 기업이 인증서 갱신 및 관리에 자동화를 도입하도록 유도하는 효과도 있다.

기본값 혹은 하드코딩된 자격 증명

애플리케이션을 처음 구축할 때 임시로 ‘password’ 같은 단순한 비밀번호를 설정하는 일은 흔하다. 필요한 시점에만 일회용 자격 증명을 발급하는 접근 제어 시스템은 사용하기 번거롭고, 일부 시스템은 ‘admin’과 같은 기본 로그인 계정을 제공하지만, 실제로 변경하지 않고 그대로 사용하는 경우도 많다.

PDS 헬스의 조지는 “기업은 이런 실수를 반복적으로 저지른다. 공격자가 굳이 고도화된 기술을 쓰지 않아도 침투할 수 있다. 집을 나설 때 열쇠를 문에 꽂아둔 채 나가는 것과 같으니 침입자가 들어온다고 해도 그게 과연 침입이라고 할 수 있을까? 결국은 기업 스스로 문을 열어준 셈”이라고 지적했다.

마찬가지로 개발자가 비밀번호나 기타 접근 자격 증명을 소스 코드에 그대로 하드코딩해 두고 해당 코드가 유출되면, 그 자격 증명은 공격자에게 그대로 노출돼 악용될 가능성이 매우 크다.

버라이즌(Verizon)이 발간한 2025년 데이터 유출 조사 보고서(Data Breach Investigations Report)에 따르면, 공개 깃 리포지토리에 노출된 자격 증명(버라이즌은 이를 ‘시크릿(secret)’이라 지칭)이 무려 50만 건에 가까운 것으로 나타났다. 시크릿이 유출된 후 이를 수정·복구하는 데 걸린 처리 시간은 평균 94일, 즉 약 3개월이었다. 공격자가 정보를 찾아내 악용할 수 있는 기간이 3개월이나 있다는 의미다.

실제로도 그렇게 악용된다. 보고서에 따르면 자격 증명 도용은 전체 침해 사고 가운데 22%를 차지한 최다 접근 경로로, 취약점 악용이나 피싱보다 더 높은 비중을 차지했다. 다만 버라이즌은 해당 통계에서 인간 ID와 비인간 ID를 구분하지 않았다.

공격자가 AI와 자동화 기술을 더 많이 활용하면서 비인간 ID와 관련한 전통적인 보안 위험은 더욱 심화하고 있다. AI 기반 봇은 유출된 데이터나 소스코드 저장소를 자동으로 탐색하면서 보안이 취약한 비인간 ID를 식별해 더 넓은 권한 탈취에 악용할 수 있다.

AI 에이전트로 증가하는 비인간 ID의 위험

사이버아크 설문조사에 따르면, 2025년에는 AI가 새로운 특권 계정이나 민감 접근 권한을 가진 ID를 생성하는 주요 경로로 부상할 것으로 예상된다. 82%의 기업이 “AI 사용이 접근 위험을 초래한다”라고 답한 것은 전혀 놀랍지 않은 결과다. 생성형 AI 기술은 배포가 너무 쉬워 IT나 보안팀의 개입 없이 일반 비즈니스 사용자도 손쉽게 도입할 수 있다. 그 결과 47%의 기업이 섀도우 AI(Shadow AI)를 제대로 통제하거나 관리하지 못하고 있다고 답했다.

AI 에이전트는 생성형 AI의 다음 진화 단계로 간주된다. 챗봇이 사용자 입력이나 프롬프트를 통해서만 기업 데이터를 활용하는 반면, AI 에이전트는 훨씬 더 자율적으로 동작하고 필요한 정보를 스스로 찾아낸다. 따라서 AI 에이전트가 할당된 작업을 수행하려면 내부 시스템에 대한 상당한 수준의 접근 권한이 필요하다. 이에 대해 야게오의 테일러는 “가장 먼저 우려되는 건 구성오류다. 권한이 잘못 설정되는 순간부터 수많은 문제가 발생할 문이 열리는 셈”이라고 말했다.

계획하고 추론하고 행동하고 학습하는 능력을 갖춘 AI 에이전트는 예측 불가능한 창발적 행동(emergent behavior)을 보일 수 있다. 특정 목표를 달성하라는 지시를 받고 기존에 예상하지 못한 방식으로 이를 수행할 수 있으며, 그 결과 또한 예기치 못한 영향을 초래할 수 있다.

이런 위험은 여러 AI 에이전트가 협력해 더 큰 작업을 수행하는 다중 에이전트 시스템이나 전체 비즈니스 프로세스를 자동화하는 에이전틱 AI(agentic AI) 시스템에서 더욱 커진다. 에이전틱 AI 시스템은 개별 에이전트뿐 아니라 데이터와 도구, 보안 및 위험 관리 가드레일에도 접근할 수 있기 때문이다.

테일러는 “구형 스크립트는 코드가 정적이어서 동작 방식이나 연결 여부를 미리 확인할 수 있다. 하지만 AI 시스템에서는 코드가 스스로 변한다. 에이전틱 AI는 최첨단 기술이고, 그 최전선을 넘어서면 때로는 베일 수 있다”라고 우려했다.

단순한 이론적 위협이 아니다. 지난 5월, 앤트로픽은 최신 클로드 모델에 대한 보안 테스트 결과를 공개했다. 한 실험에서 클로드는 회사 이메일에 접근해 업무 보조 역할을 수행했다. 그런데 이메일을 읽던 클로드는 자신이 곧 더 새로운 AI로 교체될 예정이라는 사실과, 이를 주도하는 엔지니어가 사내 불륜을 저지르고 있다는 정보를 파악했다. 그 결과, 전체 테스트의 84%에서 클로드는 자신이 교체되지 않도록 해당 엔지니어를 협박하려는 시도를 보였다. 앤트로픽은 이런 행동을 방지하는 가드레일을 마련했다고 밝혔지만, 해당 가드레일이 실제로 효과를 발휘했는지에 대한 테스트 결과는 공개하지 않았다.

앤트로픽의 실험 결과는 AI에 이메일 시스템 접근 권한을 직접 부여하려는 모든 기업에 경고 메시지를 던진다.

예기치 못한 행동은 시작에 불과하다. CSA(Cloud Security Alliance)에 따르면, AI 에이전트의 비정형적인 커뮤니케이션 방식도 또 다른 보안 과제다. 전통적인 애플리케이션은 매우 예측 가능하고 정형화된 채널과 포맷을 통해 통신하지만, AI 에이전트는 자연어 기반으로 다른 에이전트나 시스템과 소통하므로 전통적인 보안 기술로는 이를 모니터링하기 어렵다.

비인간 ID를 보호하는 보안 전략

첫 번째 단계는 기업 내 모든 비인간 ID에 대한 가시성을 확보하고 관리 정책을 수립하는 것이다. 가트너의 웰스는 비인간 ID를 중앙 집중형 거버넌스 체계로 통합하고 자격 증명을 특정 워크로드에 귀속시키는 방식으로 전환할 것을 권했다. “그 다음 해당 애플리케이션이나 워크로드의 수명 주기를 중심으로 관리하는 것이 훨씬 현대적인 접근법”이라고 설명했다.

자격 증명을 5분, 혹은 그보다 짧은 시간 동안만 유효하게 설정하는 방법도 있다. 웰스는 “정말 필요한 연결이 이루어지는 그 순간에만 자격 증명이 존재하고, 이후에는 사라지도록 해야 한다”라고 말했다.

ID 관리를 현대화하려는 기업을 위한 가이드와 자료는 이미 많다. 다양한 경험을 갖춘 전문 업체도 존재한다. 또한 AI 활용례가 점점 고도화되면서 관련 기술 역시 계속해서 진화하고 있다.

사이버아크의 설문조사에 따르면, 응답자 94%는 이미 자사의 ID 보안 전략에 AI와 LLM을 포함했다고 밝혔다. 61%는 향후 12개월 내에 인간 ID와 비인간 ID를 모두 보호하는 데 AI를 도입할 계획이라고 답했다.

하지만 AI 에이전트의 ID 보안에 대해서는 상황이 그리 낙관적이지 않다. 웰스는 “에이전틱 AI를 위한 보안 표준이 거의 없고 누구나 자유롭게 이를 생성하고 배포하는 상황이다. 이 시스템을 누가 관리해야 하는지조차 명확하지 않다. 또한 AI 에이전트가 무엇을 하고 있는지, 어디에 연결하고 있는지, 어떤 정보를 가져오고 있는지를 지속적으로 모니터링해야 한다”라고 강조했다.

카네기멜로대학교의 AI 교수 아난드 라오는 기존 인프라를 먼저 정비하고 비인간 ID 환경을 현대화한 후에 AI 에이전트를 도입하는 것이 바람직할 수 있다고 조언했다. 결국 모든 것은 기업이 감내할 수 있는 위험 수준에 달려 있다.

결국 모든 것은 기업이 감내할 수 있는 위험 수준에 달려 있다. 참고할 프레임워크도 존재한다. SANS 인스티튜트(SANS Institute)는 지난 3월, AI 보안 가이드라인을 발표하며 AI 에이전트가 접근할 수 있는 기능과 도구를 제한하고 최소 권한 원칙을 철저히 적용할 것을 권고했다.

CSA는 지난 5월 ‘에이전틱 AI 레드팀 가이드(Agentic AI Red Teaming Guide)’를 발표했다. 여기서 CSA는 AI 에이전트가 기존 애플리케이션과는 다른 유형의 위험을 수반한다는 점을 강조하며 에이전트의 비정상적인 행동을 식별하는 실질적인 방법을 제시했다.
dl-itworldkorea@foundryco.com