비인간 ID는 자동화의 핵심으로, 소프트웨어, 하드웨어 및 기타 리소스가 인간의 감독 없이도 연결되고, 통신하고, 작업을 수행할 수 있도록 해줍니다.
매일 밤 회사의 민감한 데이터를 안전한 클라우드 스토리지 시스템에 자동으로 복사하는 자동 백업 서비스를 생각해 보세요. 데이터베이스나 클라우드 스토리지 시스템 모두 유효한 자격 증명이 없는 임의의 사람에게 액세스 권한을 부여하지 않습니다. 소프트웨어도 마찬가지입니다. 따라서 백업 서비스에 ID가 부여됩니다. 이 ID는 백업 서비스가 데이터베이스 및 스토리지 시스템에 대해 자체 인증할 수 있음을 의미하며, 이를 통해 이 서비스가 수행 중인 작업을 수행할 권한이 있음을 신뢰할 수 있습니다.
기업 시스템에서 NHI의 수는 클라우드 서비스, 인공 지능, 머신 러닝의 발전에 힘입어 수년간 꾸준히 증가해 왔습니다. 추정치는 45:1에서 92:1로 다양하지만, 평균 IT 시스템에서는 비인간 ID가 인간 ID보다 훨씬 많습니다
이러한 NHIs의 폭발적인 증가는 새로운 보안 문제를 야기합니다. IBM X-Force Threat Intelligence Index에 따르면 해커가 유효한 계정 자격 증명을 악용하여 네트워크에 액세스하는 ID 기반 공격은 침해의 30%를 차지하는 가장 일반적인 사이버 공격 방법 중 하나입니다.
그리고 비인간 ID는 인간 계정보다 권한이 높고 보안 제어가 적은 경우가 많기 때문에 기업 공격 표면에서 특히 매력적인 부분입니다.
비인간 ID 관리 분야는 비인간 ID로 인해 발생하는 고유한 보안 위험에 대처하고 전반적인 ID 보안 태세를 개선하는 데 도움을 주기 위해 등장했습니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
머신 ID는 서버, 노트북, 사물인터넷(IoT) 디바이스 또는 운영 기술(OT) 디바이스와 같은 디바이스와 연결된 ID입니다. 클라우드 환경에서는 이 카테고리에 가상 머신도 포함될 수 있습니다. 이러한 용례는 기술적으로 올바르지 않지만, 머신 ID는 때때로 모든 NHI를 포괄적으로 지칭하는 용어로 사용되기도 합니다.
서비스 ID라고도 하는 서비스 계정은 소프트웨어 애플리케이션 및 서비스와 연결된 ID입니다. 이러한 계정은 인간 사용자의 계정과 매우 유사하게 작동합니다. 소프트웨어의 식별 특성과 시스템 권한을 나타내며, 소프트웨어를 인증하고 활동을 승인하는 데 사용됩니다.
워크로드 ID는 서비스 계정과 관련된 소프트웨어 ID의 한 유형입니다. 서비스 계정은 앱과 서비스를 영구 엔티티로 식별하는 반면, 워크로드 ID는 실행 중인 앱과 서비스의 특정 인스턴스를 식별합니다.
예를 들어 비즈니스 인텔리전스(BI) 툴에는 영구 서비스 계정 ID가 있을 수 있습니다. 누군가 BI 툴을 사용하여 데이터 웨어하우스에서 데이터를 가져와 보고서를 실행하는 경우 해당 활동(보고서 실행)에는 고유한 워크로드 ID가 생깁니다. 이 워크로드 ID는 일시적인 것이며 활동이 종료되면 존재하지 않게 됩니다.
이 카테고리에는 자동화된 프로세스를 실행하는 단순 봇 및 스크립트와 관련된 ID가 포함됩니다. 예로는 로보틱 프로세스 자동화(RPA), 크론 작업 및 추출, 변환, 로드(ETL) 스크립트가 있습니다.
NHI는 주로 자동화를 강화하여 워크플로를 간소화하는 데 사용됩니다.
NHI는 기존 ID 및 액세스 관리 시스템(IAM)에서 인간 사용자가 ID를 갖는 것과 거의 동일한 방식으로 IT 에코시스템 내에서 앱, 하드웨어, 봇, AI 에이전트, 기타 항목을 식별합니다.
IT 및 보안 전문가는 비인간 엔티티에 고유 ID를 할당함으로써 맞춤형 권한을 부여하고, 보안 정책을 시행하고, 활동을 추적하고, 액세스 제어를 보다 효과적으로 적용할 수 있습니다.
사용 사례의 예로 회계 플랫폼과 고객 관계 관리(CRM) 시스템의 데이터를 사용하여 청구서를 생성하고 전송하는 청구 시스템을 생각해 보세요.
이 프로세스를 수동으로 수행하려면 누군가가 각 데이터베이스로 이동하여 관련 데이터를 가져오고, 상관 관계를 파악하고, 청구서를 계산하고, 송장을 생성하여 고객에게 보내야 합니다.
이 프로세스를 자동화할 수 있지만 민감한 데이터가 포함되기 때문에 강력한 보안 조치가 필요합니다. NHI는 세 시스템 간의 통신과 액세스 정책의 시행을 안전하게 보호하여 데이터가 오용되지 않도록 합니다.
궁극적으로 NHI는 복잡한 IT 및 비즈니스 운영을 안전하게 자동화할 수 있도록 지원합니다. 백업, 시스템 업데이트, 심지어는 사용자 인증까지 모두 인간 사용자의 활동을 방해하지 않고 백그라운드에서 수행할 수 있습니다.
비인간 ID의 급속한 성장은 크게 클라우드 인프라의 확산, DevOps의 인기, 고급 AI 툴의 채택에 의해 주도됩니다.
클라우드의 탄생과 함께 더 많은 도구가 서비스형 소프트웨어(SaaS) 모델로 운영되고 있습니다. 이제 컴퓨터는 로컬 하드웨어에서 로컬 앱을 실행하는 대신 다양한 서버, 서비스 제공업체, 로드 밸런서, 애플리케이션 및 기타 클라우드 리소스와 상호 작용하며, 이러한 모든 요소는 고유한 ID를 가지고 있습니다. 또한 많은 SaaS 앱은 마이크로서비스 아키텍처를 사용하므로 단일 앱에 고유한 ID를 가진 작은 구성 요소가 많이 포함될 수 있습니다.
DevOps 관행은 NHI의 또 다른 원동력입니다. DevOps는 CI/CD 파이프라인에서 통합, 테스트 및 배포와 같은 운영 워크플로 및 핵심 소프트웨어 개발을 자동화하는 데 점점 더 중점을 두고 있습니다. 이 모든 자동화에는 많은 NHI가 필요합니다.
최근에는 생성형 AI와 에이전틱 AI가 NHI의 새로운 물결을 일으키고 있습니다. 검색 증강 생성(RAG) 및 도구 호출과 같은 작업을 수행하려면 AI 시스템이 데이터베이스, 사용자 계정, 디바이스 및 기타 네트워크 리소스에 안전하게 액세스할 ID가 필요합니다.
NHI는 집단적으로 거대한 공격 표면을 나타냅니다. 하지만 많은 기존 신원 및 접근 관리(IAM) 솔루션과 프로세스가 인간 사용자를 위해 설계되어 NHI에 보안 공백이 생겼습니다.
다단계 인증(MFA) 및 싱글사인온(SSO) 솔루션과 같은 일반적인 인증 툴은 비인간 ID에는 적용하기 어렵거나 불가능합니다.
따라서 NHI는 기존 IAM 전술로는 쉽게 해결할 수 없는 사이버 보안 문제를 야기하는 경우가 많습니다.
OWASP에 따르면, 과도한 권한 부여는 비인간 ID와 관련된 10대 위험 중 하나입니다.
NHI는 DevOps 라이프사이클 및 시스템 백업과 같은 핵심 워크플로에 필수적이기 때문에 민감한 정보에 대한 액세스 권한을 갖는 경우가 많습니다. 그리고 이러한 프로세스가 '정상적으로 작동'하도록 하기 위해 조직은 NHI에 필요한 것보다 더 높은 권한을 부여하는 경우가 많습니다.
과도한 권한 부여로 인해 NHI는 해커의 주요 표적이 되고, 침해된 NHI로 인해 발생할 수 있는 피해가 커집니다.
앱과 디바이스에는 비밀번호가 없을 수 있지만 API 키, OAuth 토큰, 인증서 및 기타 비밀을 사용하여 자신을 인증합니다. 이러한 비밀 정보는 인간 사용자의 비밀번호와 마찬가지로 도난당하고 악용되어, 무단 접근, 수평 이동 및 권한 에스컬레이션을 초래할 수 있습니다.
NHI가 사용자와 같은 방식으로 2단계 인증을 사용할 수 없다는 문제까지 있으므로, 도난당한 자격 증명 하나만으로도 계정을 탈취하는 경우가 많습니다. 또한 NHI 자격 증명은 앱에 하드 코딩되는 경우가 많으며 정기적으로 교체되지 않을 수 있습니다. OWASP의 NHI Top 10에 따르면, 기밀 유출 및 수명이 긴 기밀은 비인간 ID와 관련된 가장 일반적인 위험 중 하나입니다.
다양한 시스템에서 NHI를 사용하여 서로 연결하고 통신합니다. 즉, 공격자가 손상된 NHI를 사용하여 다른 시스템에 침입할 수 있다는 뜻입니다. 예를 들어, 2025 Salesloft Drift 침해사건은 해커가 챗봇에서 OAuth 토큰을 훔쳐 수백 개의 Salesforce 인스턴스에 액세스하는 데 사용한 사건입니다.
시스템 내 NHI의 엄청난 수의 NHI가 있으며 새로운 NHI가 빠르게 추가되고 있어, 가시성을 낮추고 해커가 몰래 통과할 수 있는 사각지대를 만들 수 있습니다. NHI는 일시적이라는 사실은 가시성을 더욱 복잡하게 만듭니다.
또한 많은 조직은 관련 앱과 디바이스를 폐기할 때 NHI를 공식적으로 폐기하는 것을 소홀히 합니다. 이러한 오래된 NHI는 전체 권한이 그대로 유지된 채로 모니터링되지 않는 경우가 많습니다. 실제로 OWASP에 따르면 부적절한 오프보딩이 NHI와 관련된 가장 큰 위험입니다.
AI ID는 권한 관리와 관련하여 특별한 어려움을 야기할 수 있습니다. AI ID는 여러 방식으로 인간 직원의 능력을 갖추고 있으며 일부 직원이 자율적으로 사용할 수 있는 다양한 툴에 액세스할 수 있습니다.
하지만 인간이 아니기 때문에 프롬프트 인젝션, 데이터 오염 및 기타 기술에 취약하여 악의적인 행위자의 도구로 악용될 수 있습니다.
AI 에이전트와 대규모 언어 모델(LLM) 또한 다른 소프트웨어가 할 수 없는 방식으로 행동을 변경할 수 있으며, 이로 인해 자체적인 보안 문제가 발생합니다. 예를 들어, 고객 행복을 극대화하라는 지시를 받은 고객 서비스 에이전트는 고객이 환불을 받았을 때 매우 만족한다는 사실을 알게 될 수 있습니다. 따라서 에이전트는 환불을 요청하는 모든 사람에게 환불을 승인하기 시작할 수도 있으며, 설령 환불해서는 안 되는 경우라도 환불할 수 있습니다.
IBM의 보안 인텔리전스 팟캐스트와의 인터뷰에서, IBM 펠로우이자 IBM 보안 부사장 겸 CTO인 Sridhar Muppidi는 AI 에이전트를 '신용 카드를 가진 십대'에 비유했습니다.
"십대에게 신용카드를 주고 올바르게 행동할 것이라고 기대하지만, 어떤 결과가 발생하는지는 놀랍지 않습니다. 에이전트도 이와 매우 유사합니다. 어느 정도는 비결정적이며 진화하고 있습니다. 그래서 그 결과 범위 확장을 겪을 수 있습니다. 시스템에 무언가를 수행하도록 요청했지만, 시스템이 마음만 먹으면 쉽게 다른 작업도 할 수 있습니다."
일반 데이터 보호 규정 (GDPR), 건강 보험 양도 및 책임에 관한 법률(HIPAA) 및 기타 법률은 조직이 데이터를 보호하는 방법, 민감한 정보를 사용할 수 있는 주체 및 방법을 규제합니다. 문제는 앞서 언급했듯이 인간이 이러한 규칙을 준수하도록 하는 데 사용되는 것과 동일한 IAM 툴을 NHI에 항상 원활하게 적용할 수는 없다는 것입니다.
더욱이, NHI는 많은 규정 준수 프로그램에 필수적인 어트리뷰션 및 모니터링 노력을 혼란스럽게 만들 수 있습니다. 예를 들어 AI 에이전트가 데이터를 부적절하게 사용하는 경우 누가 책임을 져야 하나요? 에이전트를 만든 사람일까요? 마지막으로 프롬프트를 생성한 사람일까요? 에이전트의 선택이 사용자의 프롬프트의 예측 가능한 결과를 크게 벗어난다면 어떻게 될까요? 많은 ID 거버넌스 프레임워크는 아직 이 난제를 해결하지 못했습니다.
기존의 ID 보안 플랫폼 및 관행은 인간 사용자를 염두에 두고 설계되는 경우가 많기 때문에 NHI 관리에서는 보안팀이 약간 다른 접근 방식을 취해야 합니다.
동일한 원칙이 많이 적용되지만, 비인간 ID 라이프사이클 관리의 고유한 현실에 맞게 조정해야 합니다. 비인간 ID 보안 전략을 위한 핵심 전술, 도구 및 기술은 다음과 같습니다.
조직은 클라우드 플랫폼, ID 공급자 및 오케스트레이션 시스템에서 신규 및 기존 비인간 ID를 자동으로 검색하는 툴을 배포한 다음 해당 ID가 어떻게 작동하는지 지속적으로 관찰할 수 있습니다.
일부 신원 위협 탐지 및 대응(ITDR) 툴은 머신 러닝을 사용하여 각 NHI에 대한 정상 행동의 기준 모델을 만들고, 실시간으로 표준에서 벗어나는 편차를 표시하며, 오용 및 남용이 의심되는 경우 자동으로 대응할 수 있습니다.
예를 들어, 일반적으로 애플리케이션 로그를 읽는 클라우드 워크로드가 갑자기 고객의 PII에 대한 액세스를 요청하기 시작하면 ITDR 플랫폼은 즉시 액세스 토큰을 취소하고 SOC에 조사를 요청할 수 있습니다.
NHI 관리는 초기 프로비저닝부터 활성 사용, 안전한 오프보딩에 이르기까지 전체 NHI 라이프사이클에 걸쳐 강력한 제어를 강조합니다. 서비스가 해지되거나 파이프라인이 교체되거나 봇이 더 이상 사용되지 않는 경우 자격 증명, 토큰, 인증서는 즉시 취소되어야 합니다.
각 NHI에 대해 인간 소유자를 지정하면 누군가가 자격 증명 교체, 정기적인 권한 검토, 잘못된 구성 해결, 취약성 해결, 기타 중요한 유지 관리에 대한 책임과 의무를 담당하도록 할 수 있습니다. 명시적인 소유권이 없으면 비인간 ID는 쉽게 잊혀지지만, 여전히 강력한 액세스 권한을 유지하는 경우가 많습니다.
NHI에는 자격 증명이 필요하지만, 이러한 자격 증명은 어딘가에 저장되어야 합니다. 인간 사용자와 달리 워크로드는 비밀번호를 기억하거나 스마트폰을 패스키처럼 사용할 수 없습니다.
문제는 NHI 자격 증명이 이를 사용하는 앱과 서비스에 하드코딩되어 있는 경우가 많기 때문에 해커가 위치를 알고 있으면 자격증 명을 찾을 수 있다는 점입니다.
자격 증명 저장소와 같은 비밀 관리 및 권한 있는 액세스 관리(PAM) 툴이 도움이 될 수 있습니다. 저장소는 IT 및 보안 팀에게 NHI 자격 증명을 안전하게 저장할 수 있는 장소를 제공하며, 종종 임시 자격 증명, 적시 액세스 및 자동 교체를 지원합니다.
액세스 관리는 ID 보안에서 항상 중요했지만, 특히 인간 사용자가 권한을 악용하는 것을 막을 수 있는 임의 필터가 없는 NHI의 경우 더욱 그렇습니다. 따라서 서비스, 워크로드, 봇 또는 에이전트가 수행하는 모든 작업은 명시적인 기술 제어에 의해 제약을 받아야 합니다.
제로 트러스트 모델에서 NHI는 각 작업에 필요한 최소한의 권한만 부여됩니다. 시스템 간 이동 시에도 지속적으로 인증을 받아야 합니다. 네트워크를 마이크로세그멘팅하면 손상된 앱, 봇 및 디바이스가 수평 이동하는 것을 방지하는 데 도움이 될 수 있습니다. 탈취된 NHI는 합법적으로 필요한 하나의 데이터베이스에 액세스할 수 있지만 관련이 없는 스토리지 시스템으로 이동할 수는 없습니다.
업무 분리, 즉 작업을 수행하는 당사자가 작업 승인을 담당하는 당사자와 동일하지 않도록 하는 것은 AI 에이전트에게 특히 중요합니다. AI 에이전트는 인간과 동일한 윤리적 제약을 받지 않기 때문에 완벽하게 승인된 행동을 취하면서도 해를 끼칠 수 있습니다.
예를 들어, 고객 만족도를 극대화하도록 최적화된 가상의 AI 고객 서비스 에이전트를 생각해 보세요. 인간 고객은 환불받는 것을 좋아하기 때문에 AI 에이전트가 목표를 달성하기 위해 모든 환불 요청을 무차별적으로 승인할 수도 있습니다.
이 상황은 에이전트가 환불을 승인하기 전에 인간이나 다른 시스템이 승인해야 하는 방식으로 예방할 수 있습니다.
NHI와 인간 사용자는 분명하고 중요한 면에서 다릅니다. 그러나 AI 툴과 에이전트가 기업 네트워크의 더 많은 부분을 차지함에 따라 그 특성과 기능은 유사하게 성장하고 있습니다.
그 결과, 일부 전문가들은 인간 ID 관리와 비인간 ID 관리의 구분이 대부분 사라질 것이라고 예측합니다. 인간 ID 관리와 비인간 ID 관리 간의 주요 차이점은 각 ID 유형별로 별도의 통제를 사용하는 것이 아니라, 이러한 통제가 적용되는 규모가 다르다는 점일 수 있습니다.
IBM의 보안 인텔리전스 팟캐스트에서 Sridhar Muppidi는 "결국 에이전트는 다음 단계의 내부자입니다."라고 말했습니다.
"에이전트도 인간을 식별하는 것처럼 식별해야 합니다. 일단 에이전트를 식별한 후에는 인간에게 하는 것과 동일한 작업, 즉 인증 작업을 해야 합니다. 그런 다음 해당 에이전트가 할 수 있는 일의 범위, 즉 좋은 일과 나쁜 일의 범위를 모두 파악하는 방법을 알아내야 합니다. 이 과정에서 관측 가능성을 매우 세밀하게 파악할 수 있어, 비정상적인 행동을 빠르게 감지할 수 있습니다."