ID는 조직 내에서 그 역할을 강화하고 보안의 중요성을 재정의할 10년에 한 번 있는 기회입니다. 새로운 제품을 추가하는 것이 아니라, 근본적으로 다른 무언가, 즉 기업 보안의 핵심 분야로 거듭나는 것입니다. IAM 실무자들에게 이는 백오피스 기능으로 인식되는 것을 벗어나 오케스트레이터이자 최전선 방어자의 역할을 수행할 수 있는 기회입니다.
"IAM 실무자에게 이는 백오피스 기능으로 인식되는 것을 멈추고 대신 조율자 및 최전선 방어자 역할을 맡을 수 있는 기회입니다."
왜 지금인가? SaaS, 클라우드, 에이전트 소프트웨어, AI 에이전트, 자동화 서비스, 고속 디지털 거래의 폭발적인 성장은 기존 질서를 완전히 뒤흔들었습니다. 신원 확인은 더 이상 직원과 소수에게만 국한되지 않습니다. 서비스 계정이제 이러한 신원에는 기계의 속도로 나타났다 사라지는 임시 에이전트, 스크립트, 워크로드, 봇 등이 포함됩니다. 이러한 인간 및 비인간 신원의 확산은 기존 IAM으로는 통제할 수 없는 새로운 규모와 복잡성을 야기합니다. 동시에, 신원 설계, 운영 및 보안 방식에 필수적인 변화를 가져올 수 있는 기회의 창을 열어줍니다.
그리고 그 배경에는 변하지 않는 한 가지 사실이 있습니다. 오늘날 공격의 80% 이상이 여전히 신원 유출을 기반으로 한다는 것입니다. 가장 작은 조직조차도 수십 또는 수백 개의 신원을 관리해야 하는 반면, 대기업은 수만 또는 수십만 개의 신원을 관리해야 합니다. 신원 정보의 폭발적인 증가는 어떤 조직도 이를 수동으로 추적하거나 통제할 수 없음을 의미합니다. 이는 단순한 위험이 아니라, 접근 보안을 위한 새로운 패러다임을 구축할 수 있는 기회입니다.
신원 확인은 더 이상 "단순한 IT 배관"이나 "규정 준수 자동화"가 아닙니다. 클라우드 인프라, AI 기반 운영, 그리고 기업 신뢰의 미래를 보호하는 데 가장 중요한 구성 요소가 되었습니다. 2020년대 중반은 단순히 기술 발전의 또 다른 전환점이 아닙니다. 신원 확인이 현대 보안의 기반이 되는 전환점입니다.
이 블로그에서는 IAM의 간략한 역사, 즉 IT 관리에서 규정 준수, 그리고 보안으로 어떻게 발전해 왔는지 살펴보고, 이러한 관점을 바탕으로 여러분의 미래 역할에 대한 단계적이고 실질적인 전환을 제안하고자 합니다. 이 글의 목표는 관점과 확고한 의견을 제시하는 것입니다. 이제 조직은 IAM을 감사 도구가 아닌, 향후 5년간 최전선 방어 수단으로 활용해야 할 때입니다.
IAM의 간략한 역사: IT 운영부터 보안 핵심까지
1960년대~1970년대: 컴퓨팅에서의 아이덴티티의 탄생
디지털 신원의 뿌리는 페르난도 코르바토(Fernando Corbató)가 주도한 MIT의 호환 시분할 시스템(CTSS)으로 거슬러 올라갑니다. 코르바토는 사용자별 비밀번호라는 개념을 도입했는데, 이는 최초의 주류 신원 관리 시스템으로, 여러 사람이 컴퓨팅 리소스를 안전하게 공유할 수 있도록 했습니다. 이는 여러 단계로 이루어진 혁신이었습니다. 인증권한 부여, 책임 소재가 모두 개별 사용자 ID와 연결되어 있었습니다. 이것이 나중에 IAM 분야를 촉발하는 계기가 되었습니다.
2000년대: 자격 증명, 암호화 및 규정 준수 인수
2000년대 초, 기업들은 사용자 이름, 비밀번호, PIN, 스마트 카드, 물리적 토큰, 생체 인식 실험 등 자격 증명으로 넘쳐났습니다. 암호화가 보편화되었고, 안전한 자격 증명 저장 및 교환도 활발해졌습니다. 이 시대는 또한 "Bring Your Own Credential"(BYOC), 계약업체, 파트너, 그리고 연합 액세스의 시대이기도 했습니다. 동시에 SOX, HIPAA, PCI와 같은 규정 준수 의무는 IAM을 주목하게 만들었습니다. 신원은 업무 지원보다는 감사자 만족에 더 중점을 두게 되었습니다. IAM은 증거 생성 능력, 즉 접근 검토, 업무 분장 확인, 거버넌스 워크플로우를 통해 점점 더 평가되었습니다. 많은 조직에서 거버넌스는 보안보다 더 시급해졌습니다.
2010년대: 키, 토큰, 인증서 및 비인간 신원(NHI)의 증가
클라우드 시대는 API 키, OAuth 토큰, 인증서, 서비스 계정 등 새로운 유형의 자격 증명이 폭발적으로 증가하도록 만들었습니다. 이러한 자격 증명은 대부분의 보안 팀에는 보이지 않지만 전체 인프라를 운영했습니다. 이것이 바로 인간이 아닌 정체성 (NHI)는 종종 인간보다 40:1 이상의 비율로 수적으로 우세한 신원 계층으로 여겨졌습니다. 동시에 네트워크 경계가 붕괴되면서 보안 팀은 신원이 새로운 경계라고 선언해야 했습니다. MFA, SSO, 그리고 페더레이션 ID가 기본적인 기대 사항이 되었습니다. 하지만 IAM은 여전히 반응형이었으며, 프로비저닝 주기와 정적인 롤 모델을 따라가는 데 그쳤습니다. 공격자들은 이러한 새로운 머신 자격 증명을 점점 더 노리고 있었습니다.
"ID는 새로운 경계입니다. MFA, SSO, 그리고 페더레이션 ID가 기본적인 기대 사항이 되었습니다. 하지만 IAM은 여전히 수동적인 대응에 그쳤습니다."
2020년대: 인간의 IAM 프로세스만으로는 충분하지 않습니다.
2020년대에 들어 진자는 보안 우선 ID로 다시 기울어졌습니다. 수동 승인, 정적인 역할, 정기적인 검토 등 인간 중심적인 IAM 프로세스는 클라우드 및 AI 생태계의 규모, 속도, 그리고 복잡성을 따라잡을 수 없습니다. 이제 ID에는 AI 에이전트, 임시 워크로드, 파이프라인, 그리고 자동화된 의사 결정 시스템이 포함됩니다. 보안 부서는 ID를 규정 준수의 뒷전으로 여겨서는 안 되며, 팀은 기본 엔드포인트 또는 클라우드 솔루션에 추가된 취약한 ID 기능에 의존해서는 안 됩니다. IAM은 최전선에 서야 합니다. ID 담당자는 이제 모든 IAM 인프라에서 단일 제어 플레인을 사용하여 실시간 의사 결정, 컨텍스트 및 시행을 수행합니다.
이러한 긴급성은 Palo Alto Networks가 CyberArk를 인수하고 Microsoft가 Entra에 보안 우선 기능을 제공하고 Identity Threat Detection & Response(Identity Threat Detection & Response)가 도입되는 등 시장의 지각 변동으로 더욱 강조됩니다.ITDR) 범주가 폭발적으로 증가하면서 자산 관리 자체가 하드웨어나 네트워크 토폴로지보다는 ID 측면에서 점점 더 정의되고 있습니다. 이러한 변화는 ID가 더 이상 단순한 유선 연결이 아니라 새로운 보안 체계라는 현실을 보여줍니다.
보안이 ID 중심 보안으로 발전해야 하는 이유와 IAM 담당자가 성장해야 할 시점인 이유
수동 액세스 승인, 정기 검토, 정적 역할, 프록시 기반 시행 등 기존의 IAM 툴박스는 클라우드 및 AI 시대의 흐름을 따라잡을 수 없습니다. IAM은 이제 국경과 조직을 넘나드는 시스템, 플랫폼, 데이터를 연결하는 핵심 요소입니다. 더 빠르고, 더 역동적이며, 경우에 따라 자체 운영도 가능합니다. 오늘날 신원 확인은 선의의 사용자와 악의의 사용자 모두에게 도움이 됩니다. 소프트웨어를 개발하는 AI 에이전트가 맬웨어나 악성 봇으로 악용될 수도 있습니다.
이로 인해 IAM 전문가는 디지털 신원 정보의 새로운 지평을 여는 최후의 인간 참여자(human-in-the-loop)가 됩니다. 우리는 공격이 성공하기 전에 이를 차단하고, 소진시키고, 반격할 수 있는 위치에 있으며, 공격에 대한 거버넌스와 운영을 자동화할 수 있습니다. IAM이 제대로 변화한다면, 단순한 2차 방어선이 아닌 보안의 최전선 그 자체가 될 것입니다.
"오늘날 신원은 선한 사람과 악한 사람 모두에게 도움이 됩니다. 소프트웨어를 만드는 AI 에이전트가 맬웨어나 악성 봇으로 무기화될 수도 있습니다."
ID 팀의 역할 재정의
이러한 변화는 IAM 팀의 업무 방식을 재구상해야 합니다. IAM 기능은 더 이상 단순히 사용자 프로비저닝이나 SSO 활성화에만 국한되지 않습니다. IAM 팀은 보안의 최전선에서 직접 조율하고 방어하는 역할을 담당해야 합니다. IAM 팀은 조직을 연결하고, 권한 및 자격 증명을 통해 비즈니스를 활성화하며, 더 중요한 것은 규모에 맞게 컨텍스트 기반 액세스 결정을 조율합니다. 신원이 최전선으로 부상하는 지금, IAM 팀은 보안의 파트너 역할을 수행합니다.
IAM 제어를 부여하는 모든 권한에 내장된 "작은 에이전트"라고 생각해 보세요. 이러한 에이전트는 적시에, 상황 인식 방식으로 각 액세스 결정을 동적으로 조정하고 조정해야 합니다. 바로 이 부분에서 IAM 팀의 역할이 전략적으로 중요해집니다. 기업 규모에 맞춰 확장 가능한 보안 패브릭의 일부로 이러한 에이전트를 구축, 운영 및 개선하는 것입니다.
그의 다음 기사에서 자세히 설명하겠지만, IAM은 오케스트레이션 분야로 발전해야 합니다. IAM 전문가는 액세스를 가능하게 하는 사람일 뿐만 아니라 모든 액세스 사용이 지속적으로 평가되고, 상황에 맞게 시행되고, 실시간으로 보안되는지 확인하는 방어자이기도 합니다.
보안 최전선에서 신원을 강화하기 위한 6단계 가이드
(0) 마음과 작업 목록을 비우세요: 지금 당장 가능한 모든 것을 자동화하세요. 접근 검토, 규정 준수 작업, 권한 적정화, 그리고 초기 접근 권한 부여를 자동화하세요. 이 작업은 이미 필수적이므로, 다른 곳에 집중해야 합니다. 거버넌스 자동화를 통합하고 일상 업무에서 수동 감사의 지루한 작업을 제거하는 플랫폼을 찾으세요.
(1) 제어 평면을 만드세요: 모든 제어 기능을 통합하세요. 더 이상 사일로가 없습니다. 모든 사용자 및 머신 계정에 걸쳐 상관관계 및 오케스트레이션 계층을 추가하세요. 모든 루트 엔터티, 사용자, 머신, 소프트웨어 또는 에이전트는 생성되는 순간부터 자동으로 구축되는 명확한 액세스 스토리라인과 행동 프로필을 가져야 합니다. ID별 실시간 액세스 그래프는 더 이상 선택 사항이 아닙니다. 하이브리드 클라우드, DevOps 및 SaaS에서 ID를 통합하고 지속적인 액세스 매핑 및 제어를 생성하는 기술을 찾습니다..
(2) 컨트롤을 완료하세요: 손댈 수 없는 영역에 손을 대세요. AI, DevOps 파이프라인, IoT, ICS, 클라우드 워크로드, 그리고 새롭게 등장하는 에이전트 시스템에 대한 적절한 제어 기능을 확보하세요. 비인간 신원은 이미 대다수를 차지하고 있으므로, 이를 최우선으로 보호해야 합니다. 사용자를 넘어 엔드포인트, 워크로드, API, 인프라까지 IAM 가시성을 확장하는 도구를 도입합니다.
(3) 모든 거래 결정에 맥락을 중요하게 고려하세요. (1)과 (2)를 결합하여 제어 시스템에 필요한 맥락, 행동, 권한, 태세, 위험을 생성합니다. 모든 접근 요청은 자격 증명 기반이 아니라 맥락에 따라 이루어져야 합니다. 고급 정적 규칙부터 시작하여 위험 기반 또는 AI 지원 의사 결정으로 전환하십시오. 찾다 신원 보안 기본적으로 컨텍스트를 의사결정 엔진에 통합합니다.
(4) 자동화된 동적 액세스의 인간 참여자가 되십시오. 일상 업무를 자동화하는 플랫폼이 구축되면, 여러분의 역할은 인간의 판단이 대체 불가능한 어려운 결정, 예외적 상황, 이상 현상, 그리고 진정한 액세스 보안 결정을 내리는 것으로 전환됩니다. 전략적 의사 결정을 위한 시간을 확보하기 위해, 인간이 예외적인 상황에만 반응하도록 하는 기술을 선택하세요.
(5) 보안 위기 대응 회의에서 당신의 자리를 마련하세요: IAM은 보안 침해 발생 시 백오피스가 아닌 위기 대응 패널에 참여해야 합니다. 여러분은 보안 침해 발생 시 의사결정권자이자, 현실을 읽는 사람, 그리고 리더 역할을 해야 합니다. 이것이 바로 IAM이 진정한 보안 최우선이 되는 방법입니다. IAM 신호를 사고 대응 및 SOC 워크플로에 직접 공급하는 플랫폼에 투자하세요.
(가까운) 미래는 신원 우선입니다. 지금 준비하세요
우리는 IAM 전문가들에게 가장 흥미롭고 중요한 시대에 살고 있습니다. 공격의 80%가 신원 정보를 기반으로 하고 있으며, 클라우드와 AI가 디지털 환경을 혁신하는 가운데, IAM은 이제 기업 보안의 최전선입니다.
이제 결정해야 합니다. IAM을 통해 기업의 보안을 강화하는 방식을 선도하고 재편하는 조기 도입자가 될 것인지, 아니면 변화가 완전히 일어날 때까지 기다렸다가 적응에 나설 것인지요?
2020년대 중반부터 2030년까지는 신원 전문가들이 마침내 최전선에서 당당한 자리를 차지한 10년으로 기억될 것입니다. 그리고 우리가 이 목표를 제대로 달성한다면, IAM은 단순히 기업을 보호하는 데 그치지 않고 안전한 디지털 신뢰의 미래를 만들어갈 것입니다.
앞으로 블로그와 팟캐스트를 통해 이 여섯 단계 각각에 대한 다양한 글과 리뷰를 게시할 예정입니다. 기대해 주시고, 새로운 시대를 이끌어갈 준비를 하세요.
참고자료
– MIT와 페르난도 코르바토, 비밀번호의 기원: [MIT 뉴스]
– Sonrai Security – 신원의 역사
– Palo Alto Networks 인수 사이버 아트 (2024): [SecurityWeek 보고서]
– Microsoft Entra 로드맵: Microsoft 보안 블로그
– ID 위협 탐지 및 대응(ITDR) 성장: [Gartner – 2023-ID 위협 탐지 및 대응-Gartner]
