특권 액세스 관리(Privileged Access Management, PAM)의 기본 목적은 ‘최소 권한 원칙’을 지키는 데 있다. 그러나 기업의 사이버보안 환경이 복잡해지고 시스템 운영 구조가 정교해지면서, 많은 사용자가 실제 업무에 필요하지 않음에도 최고 수준의 권한으로 로그인해 이를 유지하는 상황이 일반화되고 있다.

사이버아크(CyberArk)의 최근 조사에 따르면, 전체 최종 사용자 중 91%가 최고 권한으로 로그인하고 있는 것으로 나타났다.

그레이하운드리서치(Greyhound Research)의 수석 애널리스트 산칫 비르 고지아는 불필요하게 높은 권한 사용은 “기업의 기술 거버넌스가 오랜 기간 방치된 결과”라고 지적했다.

고지아는 “기업은 복잡하고 상호의존적인 기술 자산을 운영하고 있으며, 이 환경에서 특권 접근은 시스템의 안정성과 복구, 그리고 연속성을 유지하는 핵심 기반이 되고 있다. 많은 환경에서 특권은 수년 전 부여됐지만, 이제는 명확한 시스템 소유자도 없고 문서화도 제대로 이뤄지지 않았으며, 최신 인증 체계조차 갖추지 못한 상태에서 그대로 남아 있다”라고 말했다.

또한 “이런 접근 권한은 현재 통합 시스템, 배치 작업, 복구 스크립트, 업체 툴, 그리고 취약한 자동화 체계 등을 지탱하는 역할을 하고 있다. 결국 이 같은 구조가 기업의 기술 운영 전반에 깊이 뿌리내린 상태”라고 분석했다.

기업은 혼란보다 예측 가능성을 선택한다. 아키텍처적 안정성이 사라진 환경에서는 ‘상시 특권(always-on privilege)’이 가장 안전한 선택으로 인식된다. 이런 권한은 시스템이 거버넌스 모델보다 빠르게 진화하면서 시간이 지날수록 조용히 누적된다. 고지아는 “인수합병, 클라우드 이전, 아웃소싱, 플랫폼 중첩, 긴급 복구 등은 모두 아무도 다시 점검하지 않는 특권 계정을 남긴다. 그 결과 수년이 지나면 권한이 업무 방식 자체에 깊숙이 박혀 있는 기술 환경이 만들어진다”라고 설명했다.

이처럼 복잡한 구조 속에서 상시 권한 접근은 단순히 가장 쉬운 선택이 아니라 사실상 기본 전략이 되고 있다.

기업이 영구 특권(permanent privilege)에 의존하는 이유는 그것이 잘 작동하기 때문이다. 파이프라인을 멈추지 않고 통합 시스템을 안정적으로 유지하며, 시스템의 응답성을 높이는 방식인 셈이다. 자격 증명을 볼트(vault)에 보관하는 것만으로는 문제가 해결되지 않는다. 해당 자격 증명이 만료되지 않는다면, 보안상 위험은 여전히 그대로 남는다. 제로 트러스트는 원칙 자체는 올바르지만, 실제 구현은 기업 IT 환경이 매우 깔끔하고 정돈돼 있다는 비현실적 전제를 기반으로 한다. 이 불일치 때문에 많은 조직이 PAM 도구를 도입하더라도 일부만 배포하고, 조용히 예외를 허용하다가 결국 예외가 새로운 규칙으로 굳어지는 상황이 발생한다.

고지아는 “이런 이유로 PAM과 IAM(Identity Access Management)가 현대 기업 시스템의 실제 운영 방식과 점점 괴리되고 있다”라고 지적했다.

이어 “여전히 많은 보안 도구가 비교적 고정적인 인프라 구조, 제한된 아이덴티티 수, 수동 개입을 전제로 설계됐다. 하지만 오늘날의 기업은 훨씬 더 동적이고 일시적인 환경에서 운영된다. 워크로드는 끊임없이 생성되고 종료되며, 아이덴티티는 프로그래밍 방식으로 자동 생성되고 접근 요구사항은 실시간으로 변한다. 이처럼 빠르게 움직이는 환경에서 기존 PAM과 IAM 체계는 근본적으로 한계를 드러내고 있다”라고 덧붙였다.

특권 지속이 초래하는 위험

무어인사이트앤드스트래티지(Moor Insights & Strategy)의 부사장이자 수석 애널리스트 로버트 크레이머도 과도한 자격 증명 사용이 수십 년간 이어진 느슨한 IT 거버넌스의 결과라는 점에 동의했다.

크레이머는 “기업은 여전히 과거의 운영 습관과 관성적인 방식에 묶여 있다. 이제는 JIT(Just-in-Time) 액세스 모델로 전환해야 할 시점이지만, 이를 실제로 구현한 조직은 전체의 1%도 되지 않는다”라고 말했다.

사이버아크 보고서를 총괄한 IT 및 개발자 제품 총괄 제너럴 매니저 찰스 추는 “최고 권한으로 로그인한 상태를 유지하는 것은 명백히 사이버보안 리스크를 초래할 뿐 아니라, 심각한 시스템 손상을 야기할 수 있는 IT 리스크로도 이어진다”라고 경고했다.

추는 “최고 수준의 특권으로 로그인한 상태에서 단순한 오타 한 번만으로도 시스템 전체에 막대한 피해를 일으킬 수 있다. 손가락이 미끄러져 무언가를 잘못 삭제할 수도 있다. 로그인하고 로그아웃하는 게 정말 그렇게 번거로운 일인가?”라고 반문했다.

다만 문제는 사용자에게만 있는 것이 아니다. 일부 PAM 솔루션은 사용하기 지나치게 어렵기 때문에 오히려 사용자 불편을 초래한다. 추는 “PAM 도구 자체가 불편하게 설계돼 있다면, 최종 사용자는 이를 우회할 방법을 찾게 된다”라고 말했다.

컨클컨설팅(Kunkle Consulting)의 대표이자 딜로이트앤드터치(Deloitte & Touche)에서 리스크 컨설턴트로 근무했던 JR 컨클은 인적 오류 위험에 동의하며 “대부분 시스템 장애는 외부 공격보다는 단순한 오류나 실수에서 비롯한다. 관리자 수준의 특권을 가진 IT 직원이 작업 중 실수하면, 실제 운영 환경 전체가 중단될 수도 있다”라고 지적했다.

하지만 높은 수준의 특권을 기본으로 유지하는 관행은 단순한 보안 문제를 넘어 법적·컴플라이언스·개인정보 보호 노력까지 약화할 수 있다. 컨클은 “관리자가 본래 접근해서는 안 되는 민감한 데이터를 들여다본 뒤, 접근 로그를 삭제해 흔적을 지우는 것은 기술적으로 매우 간단하다”라고 말했다.

하지만 대부분 전문가는 과도한 자격 증명 문제의 책임이 결국 IT 전문가 자신들에게 있다고 지적했다.

컨설팅 기업 액셀리전스(Acceligence)의 CEO이자 맥킨지 북미 사이버보안 부문을 이끌었던 저스틴 그레이스는 “부주의하거나 단순한 오타 하나로도 기업 전체 시스템이 마비될 수 있다. 결국 직접 구축한 통제 체계를 스스로 무너뜨리는 셈이다. 인간이라면 누구나 편한 길을 택하고 절차를 생략하려는 본성을 가지고 있다”라고 설명했다.

디지서트(DigiCert) CTO 제이슨 세이빈은 한층 직설적으로 “기업의 IT 담당자가 루트(root) 계정을 사용하는 것은 어리석다. 스스로의 시스템을 망가뜨릴 수 있기 때문이다. 루트 계정은 절대 사용하면 안 된다. 최소 권한 원칙을 받아들이고, 일상적인 업무에는 절대 상승된 권한을 사용하지 말아야 한다”라고 강조했다.

패러다임 전환의 신호

기업은 과도한 자격 증명 사용을 제때 통제하지 못할 경우 심각한 사이버보안 리스크에 직면하게 된다.

포레스터 애널리스트 제프 케인스는 “지속적인 상시 특권 문제는 분명 광범위하게 퍼져 있다. 공격자는 이를 주요 목표로 삼아 시스템 내부를 횡적으로 이동하고 혼란을 일으킨다. 상승된 권한은 이런 공격의 피해를 훨씬 더 치명적으로 만든다”라고 설명했다.

그러나 이러한 문제를 해결하는 과정이 현대 기업 환경에서는 매우 어렵다. 케인스는 “온프레미스, 클라우드, SaaS가 복잡하게 얽힌 IT 환경에서는 이 문제를 해결하는 것이 쉽지 않다. 특히 자율 에이전트를 포함한 비인간 ID(Non-Human Identity, NHI)가 폭발적으로 증가하면서 상황은 앞으로 기하급수적으로 악화될 것”이라고 전망했다.

그레이하운드리서치의 고지 역시 NHI의 확산이 과도한 자격 증명 문제를 한층 심화시킬 것이라며 “이제 중심축은 인간 관리자에서 멀어지고 있다. 가장 위험하면서도 관리가 미비한 특권은 이제 비인간 ID다. 서비스 계정, API, 클라우드 역할, CI/CD 파이프라인, SaaS 커넥터, 자동화 프레임워크, 자율 시스템 등은 모두 상시 접근 상태로 지속적으로 작동한다”라고 설명했다.

이러한 NHI는 프로그래밍 방식으로, 기계의 속도로 인증을 수행하며, 종종 여러 환경을 넘나든다. 그 과정에서 인간에게 부여되는 것보다 훨씬 광범위한 권한을 갖는 경우도 많다. 기업 시스템과 상호작용하는 NHI가 폭발적으로 늘어나면서, PAM과 IAM 체계는 근본적인 패러다임 전환의 시점에 다다르고 있다.

고지아는 “기존의 PAM과 IAM 모델은 인간 사용자를 전제로 설계된 체계였다. 로그인하고 작업을 수행한 뒤, 로그아웃하는 인간 중심의 접근 방식을 기반으로 한다. 하지만 ‘로그아웃하지 않는 식별자’가 등장하면서 이 모델은 한계에 부딪히고 있다”라고 말했다.

이런 상황에서 머신 특권(Machine Privilege)은 더 이상 예외적인 상황이 아니다. 고지아는 “현대 IT 환경에서는 오히려 대부분의 경우가 해당한다. 기업이 인간 중심의 접근 검토나 승인 절차를 이런 식별자에 그대로 적용하려 하면, 거버넌스는 규모의 한계에 부딪혀 무너진다. 이 지점에서 상시 특권은 더 이상 규율의 실패가 아니라, 설계 전제의 실패로 봐야 한다”라고 진단했다.
dl-itworldkorea@foundryco.com