최근 한국이 급속한 디지털 전환을 겪는 가운데 머신 아이덴티티 관리는 다양한 산업에서 중요한 과업으로 떠오르고 있다. 기업들은 프로세스 자동화, 운영 효율화, 혁신 촉진 등을 위해 머신 아이덴티티를 늘려가고 있는 상황이다. 특히 IT 서비스, 제조, 의료 산업에서는 연결된 디바이스, 소프트웨어 애플리케이션, 자동화 시스템이 급증하면서 머신 아이덴티티가 대량 생성되고 있다.
머신 아이덴티티란 서버, 애플리케이션, IoT 기기와 같은 비인간 사용자에게 부여되는 디지털 아이덴티티를 의미한다. 세일포인트에서 진행한 조사에 의하면, 전 세계 기업의 69%가 이미 인간 아이덴티티보다 많은 머신 아이덴티티를 보유하고 있으며, 47%는 그 차이가 10배 이상에 달하는 것으로 나타났다.
머신 아이덴티티는 자동화와 운영 효율성을 높이기도 하지만, 새로운 보안 문제를 야기한다. 실제로 실무자의 약 72%가 머신 아이덴티티 관리가 인간 아이덴티티보다 훨씬 더 복잡하다고 응답했다. 이는 여러 요인에서 비롯되는데 대표적으로는 ▲부실한 거버넌스 프레임워크 ▲고급 아이덴티티 및 액세스 관리(IAM) 도구 부족 ▲머신 아이덴티티 활동에 대한 가시성 제한 등이 있다. 또한, 머신 아이덴티티 관련 업무의 66%는 인간 아이덴티티보다 많은 수동 관리를 요구하여 IT 인력에 상당한 부담으로 작용한다.
한편, 세일포인트 조사에 응한 조직의 59%는 머신 아이덴티티의 불명확한 관리 주체와 가시성 부족으로 인해 보안 감사가 인간 아이덴티티보다 어렵다고 응답했다. 또한 응답자의 75%는 머신 아이덴티티의 관리 주체 및 소유권이 일관되지 않다고도 인정한 만큼 규제가 복잡한 환경에서는 머신 아이덴티티로 인한 컴플라이언스 문제로 이어질 수도 있다.
이런 가운데 관련 보안 리스크도 증가하고 있는 추세이다. 응답자의 57%는 머신 아이덴티티에 부적절한 액세스 권한이 부여된 사례가 있었다고 시인했다. 관련 분야 전문가의 60%는 머신 아이덴티티가 인간 아이덴티티보다 더 큰 보안 위협이 된다고 경고하기도 했다.
특히 사이버 위협이 빠르게 진화하고 있는 국내에서는 머신 아이덴티티가 심각한 문제로 떠오르고 있다. 부실한 머신 아이덴티티 관리는 데이터 유출, 시스템 및 서비스 장애, 측면 이동 피해, 공급망 공격 등 다양한 보안 리스크를 초래할 수 있다.
과거 공격자가 서비스 계정을 탈취 및 악용해 측면 이동을 시도해 네트워크 내 주요 자산에 접근한 사례들은 이미 널리 알려져 있다. 또한, 외주업체에서 탈취한 자격 증명으로 다수의 고위 권한 서비스 계정에 접근한 사례도 있다. 머신 아이덴티티의 수가 지속적으로 증가하는 상황에서, 첨단 아이덴티티 보안 통제를 확대하고, 머신 아이덴티티에 대한 가시성과 관리를 인간 아이덴티티와 동일한 수준으로 유지할 필요가 있다.
기업들이 급격히 성장하고 있는 디지털 인프라를 보호하기 위해서는 자동화 프로세스 등 혁신적이고 포괄적인 아이덴티티 보안 솔루션을 도입해 머신 아이덴티티 거버넌스를 확립해야 한다. 인간과 머신 아이덴티티를 통합적으로 관리할 수 있는 프레임워크는 기업이 IT 환경 전반에서 일관된 보안 정책과 통제를 유지할 수 있도록 한다.
머신 아이덴티티 관리를 중앙화한 조직은 디지털 자산과 관련된 액세스 권한을 포괄적으로 파악할 수 있게 된다. 또한 향상된 가시성으로 잠재적 위협을 신속하게 식별하고 대응할 수 있다. 무엇보다 통합적이고 지능적인 아이덴티티 보안 솔루션은 프로비저닝, 디프로비저닝, 비밀번호 재설정과 같은 반복적인 작업을 자동화하여 수동 작업의 부담을 줄이고 인적 오류로 인한 리스크를 최소화할 수 있다.
이를 위해서는 모든 머신 아이덴티티에 대한 실시간으로 가시성을 확보해야 하는 것은 물론 명확한 책임 소재 체계를 수립해야 한다. 이와 더불어 아이덴티티 라이프사이클을 자동화해 입사, 직무 이동, 퇴사 등의 잦은 조직 변동프로세스에서도 수동 작업을 최소화해 리스크 감소할 수 있어야 한다. 또한, 적극적인 직원 교육을 통해 머신 아이덴티티 관련 의심스러운 활동을 포착해 보고하도록 하는 동시에 협력업체 및 공급업체의 보안 정책을 지속적으로 평가해 머신 아이덴티티를 제대로 관리할 수 있도록 해야 한다.
이제 보안 리스크를 방지하기 위해서는 머신 아이덴티티에 대한 가시성, 자동화, 명확한 소유권을 제공하는 고급 아이덴티티 보안 툴을 도입해야 한다. 강력한 아이덴티티 보안을 통해 조직은 진화하는 사이버 위협에 선제적으로 대응하고, 디지털 자산을 보호하며, 비즈니스의 안전성을 보장할 수 있을 것이다.
