첸위 보이 세일포인트 아시아태평양 총괄 사장 [ⓒ 세일포인트]

2024년에도 아이덴티티 보안은 기업의 사이버 보안 전략의 핵심 요소로 부상할 전망이다. 실제로 최근 조사에서 전 세계 조사 대상 기업 10개 중 9개는 아이덴티티 관련 보안 침해 사고를 경험한 것으로 밝혀졌다. 그럼에도 불구하고 기업들의 44%는 여전히 아이덴티티 보안 초기 단계에 머물고 있으며, 아시아태평양 지역 기업들 중 아이덴티티 보안 성숙도가 1단계에 머물러 있는 경우는 60%에 이르는 것으로 조사되었다. AI 기술은 분명 아시아태평양 지역 시장에 새로운 성장 기회를 가져오겠지만 동시에 새로운 유형의 사이버 보안 문제를 야기할 것이다. 따라서 기업들은 새해에 아이덴티티 보안 전략 투자에 더욱 주력해야 할 필요성이 대두된다.

◆ 사이버 보안 양날의 검, AI

AI는 기업 운영의 자동화는 물론 의사결정과 보안을 향상하며 효율성과 생산성을 개선하는 등 다양한 방면에서 기업 혁신의 핵심적인 요소로 자리잡으며 AI 기술은 더욱 발전하고 개방되며 2025년에는 시장 가치가 약 190억 달러에 달할 것으로 예상된다.

그러나, 다른 한편으로는 AI 기술이 더욱 정교한 사이버 공격 수단을 개발하는데 이용되고 있는 것 또한 사실이며 이로 인해 사이버 공격의 규모와 속도가 더 이상 인간이 대응하기 어려운 수준으로 발전했다. 매우 정교해진 피싱 이메일, 보안 기준을 준수한 듯 보이는 멀웨어, 자동화된 핵심 데이터 추출 기술 등이 그 대표적인 예다.

그러나 이런 사이버 공격을 막는데 가장 필요한 기술 또한 AI 기술이다. AI에 기반한 아이덴티티 솔루션을 도입한 기업들은 광범위한 데이터를 분석해 위험을 초래할 수 있는 이상 징후를 사전에 포착할 수 있다. 또 지능적으로 자동화된 액세스 권한 시스템은 계약직, 외부 인력 및 Non-Human인력을 비롯한 모든 디지털 아이덴티티가 최소한의 권한으로 접근이 허용된 리소스에만 접근할 수 있도록 한다. 물론 더 이상 필요하지 않은 권한은 즉시 회수 된다.

이렇듯 자동화된 액세스 권한 시스템 도입은 보다 민첩한 리스크 대응을 가능케 하여 데이터 침해를 비롯한 여러 보안 사고를 방지할 수 있으며 그 효과 면에서는 속도, 자동화 및 유연성을 모두 달성할 수 있도록 한다. 최근 기업이 관리하는 아이덴티티가 급격하게 증가하고 있다는 점을 고려한다면 AI와 머신러닝(ML)으로 자동화한 아이덴티티 보안 전략은 보안 및 컴플라이언스를 유지하는 데 필수적인 솔루션으로 거듭날 것이다.

◆ 비정형 데이터 확산에 따른 위협 증가

데이터는 앞으로도 많은 기업들의 생명선(lifeline) 역할을 할 것이다. 기업들의 디지털 성장을 성공적으로 이끌어내는 것은 물론 지능적이고 효율적인 업무 처리도 결국 데이터에 달려있다는 의미다. 데이터가 없다면 AI를 사업에 활용하려는 기업들은 절대 사업 목표를 달성할 수 없을 것이다.

그러나 기업들이 생성하고 보관하는 데이터의 양이 많다는 것은 곧 보안 사각지대도 덩달아 늘어나고 있는 것을 뜻한다. 특히 다양한 서류, 이메일, 사내 채팅 기록, 협업 앱 등 기업 데이터의 80%를 차지하는 비정형 데이터의 경우 여러 플랫폼, 기기, 저장공간에 걸쳐 무분별하게 분산되어 있어 매우 관리하기가 어렵다. 2년마다 이런 비정형 데이터가 두 배로 늘어난다는 사실은 이 문제를 더욱 심각하게 만든다.

비정형 데이터는 대부분의 사업에 꼭 필요한 데이터이기 때문에 이를 사용하지 않을 수는 없으니 이에 액세스 관리를 비롯한 강력한 아이덴티티 보안 전략을 수립해 리스크를 최대한 줄여야 한다. 자동화된 아이덴티티 보안 솔루션은 기업들로 하여금 모든 데이터를 한 눈에 확인하고 필요한 애플리케이션과 비정형 데이터에 대한 액세스 정책을 중앙에서 제어할 수 있도록 한다.

◆ 통합된 아이덴티티 보안 솔루션의 중요성

인공지능 기술이 발전할수록 클라우드의 중요성이 커질 것이다. 오늘날 기업들은 그 어느 때보다 디지털화가 이뤄져 있으며 자동화와 스마트 기기에 대한 의존성이 크다. 덕분에 기업이 관리해야 하는 기기, 애플리케이션, 아이덴티티 등의 수가 급증하고 있다. 이런 추세를 감안한다면 2024년 이후 아이덴티티 보안은 점차 기기 중심에서 아이덴티티 중심으로 그 축이 이동할 것이다.

원격 및 하이브리드 근무가 보편화된 지금 기업들은 조직 내 아이덴티티가 안전하도록 보호해야 한다. 기업 리소스에 액세스가 필요한 인원이 증가하는 만큼 사이버 공격에 취약한 아이덴티티 크리덴셜이 생길 확률도 높아진다. 59%의 기업들이 제3자에 의한 데이터 침해를 경험하는 등 여전히 제3자 아이덴티티에 대한 통제가 부족하다는 사실은 이제 별로 놀라운 일도 아니다.

특히 오늘날 기업들이 관리해야 하는 아이덴티티에는 조직 내 직원은 물론 계약업체, 공급망 파트너, 소프트웨어 봇, 기계화 프로세스, 지능형 기기까지 포함된다. 많은 기업들이 운영 효율성을 개선하기 위해 로봇 자동화 프로세스(RPA), 로봇, 사물 인터넷(IOT) 등 Non-human 기술들을 적극 도입하고 있으며 특히 아시아태평양 소재 기업들이 IOT 도입을 선도하고 있다. 그러나 Non-human 자원 도입은 IOT 기기의 취약한 크리덴셜 통제 등 보안 문제가 있어 오히려 사이버 공격 취약점을 더욱 증가 시켰다. 세일포인트가 최근 발간한 보고서에 따르면 대부분의 조직 내 아이덴티티의 30% 이상이 아이덴티티 솔루션의 보호를 받지 못하고 있는 것으로 나타났으며 비직원 아이덴티티, 머신 아이덴티티 및 데이터가 특히 위험도가 높았다.

앞으로 이러한 리스크들에 대비하기 위해서는 자동화 및 머신러닝(ML)에 기반해 조직 내에 복잡하게 존재하는 아이덴티티와 어플리케이션을 자율적이고 통합적으로 관리할 수 있는 차세대 아이덴티티 솔루션 도입이 시급하다. AI와 ML 기반의 통합 아이덴티티 보안 플랫폼은 풍부한 아이덴티티 컨텍스트, 액세스 활동 정보 및 내장된 인공지능을 활용해 확장성, 유연성 및 구성 가능성을 모두 갖춘 맞춤형 아이덴티티 보안 전략을 수립하는 것을 도와 준다. 무엇보다 최종 사용자와 관리자가 아이덴티티 액세스 및 권한을 부여 받기 위해 여러 시스템을 전전할 필요없이 단일 워크플로우, 제어 정책, 연관성, 일관된 API 및 데이터 모델을 통해 기업의 모든 아이덴티티를 보호할 수 있다.

통합 아이덴티티 보안 모델로의 전환은 기업들의 아이덴티티 및 액세스 이해도를 높이는 한편 하이브리드 생태계 전반에 대한 가시성을 높인다. 또한 위치 및 계정의 특별 권한 여부와 관계없이 응집력 있는 제어 정책을 통해 모든 아이덴티티와 데이터를 관리할 수 있게 된다. 이렇게 통합된 아이덴티티 보안 전략은 조직 전반에 걸친 리스크를 효과적으로 탐지하고 대응하는 능력을 갖추어 궁극적으로 기업 성장에 중추적인 역할을 할 것으로 기대된다.