ai바이라인네트워크 (Byline Network)· 2026. 7. 13. 오전 7:25:528.0

세일포인트 “AI 에이전트까지 늘어난 아이덴티티, 권한 ‘실시간’ 관리해야”

기업이 관리해야 할 디지털 신원(아이덴티티)의 주체가 사람에서 기계와 인공지능(AI)까지 확대되면서, 누구에게 접근 권한을 줄 것인지만 관리하는 정적인 방식으로는 위협 속도를 따라잡을 수 없게 됐다. 이에 접근 권한을 상황과 위험에 따라 실시간으로 조정하는 ‘적응형 아이덴티티’가 대안으로 떠오르고 있다. 세일포인트는 9일 바이라인플러스에서 진행한 ‘아이덴티티TV(Identity TV) 2026’ 웨비나에서 ‘AI와 에이전틱 이코노미(Agentic Economy) 시대에 기업이 어떤 아이덴티티 보안 전략을 갖춰야 하는지’를 주제로 세일포인트의 전략을 공유했다. 지정권 세일포인트코리아 지사장은 “왜 지금 아이덴티티가 보안의 중심인가”라는 화두를 던졌고, 찬드라 그나나삼반담(Chandra Gnanasambandam) 세일포인트 최고기술책임자(CTO)는 “그렇다면 무엇을 어떻게 바꿔야 하는가”를 ‘적응형 아이덴티티’라는 개념으로 구체화했다. 기계·AI 아이덴티티 증가, 사람 권한만 관리해선 안 돼 지정권 지사장은 “디지털 전환(DX), 클라우드, 제로 트러스트(Zero Trust), AI 등 시기마다 유행하던 기술 용어들이 이제는 기업에서 사용 중인 인프라가 됐다”며 “기술 변화의 속도는 앞으로도 줄어들지 않을 것”이라고 설명했다. 특히 그는 AI가 더 이상 문장을 생성하는 도구에 머물지 않고 보안에 관한 결정까지 내리기 시작한 점을 변화의 핵심으로 짚었다. 지 지사장이 가장 강조한 대목은 ‘관리 대상의 확장’이다. 그는 “봇과 서비스 계정, AI 에이전트가 스스로 의사결정을 내리고, 데이터를 가져오고, 워크플로우를 실행한다”며 “더 이상 임직원과 협력업체 등 사람의 접근 권한만 관리해서는 안 된다”고 말했다. 그러면서 최근 한 고객사가 자사 환경에서 4만개 이상의 서비스 계정을 발견했는데 그중 절반은 누가 만들었는지조차 아무도 기억하지 못했다는 사례를 소개했다. 실제 권한을 가진 비인간 아이덴티티가 늘어나면서 완전히 새로운 차원의 위험이 생겼다는 것이다. 지 지사장은 “아이덴티티는 기능이 아니라 아키텍처로, 다시 말해 클라우드와 서비스형 소프트웨어(SaaS), 인프라, 사람, 프로세스, 디지털 에이전트까지 아우르는 연결된 유기체로 봐야 한다”며 “이제 아이덴티티 정보 없이 기업 보안을 수행할 수 없게 됐다”고 말했다. 세일포인트의 그나나삼반담 최고기술책임자(CTO)는 AI가 거대한 지각 변동(tectonic shift)을 불러왔다고 진단했다. 먼저 관리해야 할 아이덴티티의 숫자가 폭증하고 있다는 것이다. 그는 “AI를 하나의 아이덴티티 유형으로 봤을 때 인간 아이덴티티와의 비율은 1년 전만 해도 거의 1대1이었지만 현재는 10대1에서 100대1 수준으로 벌어졌다”며, 머지않아 이 비율이 1000대1에 달할 것으로 내다봤다. 이는 대응 방식의 문제로 이어진다. 그나나삼반담 CTO는 “인간과 달리 AI는 태생부터 실시간”이라고 말했다. 사람은 정해진 절차와 주기에 맞춰 움직이지만 AI는 그렇지 않다. ‘인간’에서 ‘인간과 AI’로 아이덴티티 범위가 넓어진 만큼, 사람의 속도에 맞춰 설계된 기존 거버넌스로는 충분치 않다고 그는 진단했다. 상황 따라 권한 부여하는 ‘적응형 아이덴티티’ 그나나삼반담 CTO가 제시한 해법은 ‘적응형 아이덴티티(adaptive identity)’ 보안 모델이다. 적응형 아이덴티티의 핵심은 실시간 거버넌스인데, 그는 이를 ‘누가 무엇에 접근할 수 있는가’에서 ‘누가 무엇에, 어디서, 언제, 왜 접근하는가’로 판단 기준을 확장한 개념이라고 설명했다. 한 번 부여한 권한을 그대로 두는 것이 아니라, 접근이 일어나는 매 순간 맥락을 따져 권한을 조정한다는 뜻이다. 그나나삼반담 CTO는 기존 거버넌스에서 특수 권한, 즉 특권(privilege) 관리의 맹점을 지목했다. 지금까지 특권은 직무를 기준으로 부여돼 왔지만, 위험은 직무가 아니라 상황에서 나온다는 것이다. 그는 휴가지에서 공격에 취약한 공용 와이파이로 고객관계관리(CRM) 시스템인 세일즈포스의 거래 기록을 수정하려는 임원의 사례를 들었다. 임원이 평소 업무를 위해 갖고 있던 접근권이 이 상황에서는 기업의 핵심 데이터를 통째로 위험에 빠뜨릴 수 있다. 세일즈포스 시스템에 침해가 발생하면 공격자가 네트워크 속 데이터 전체에 닿을 수 있기 때문이다. 그나나삼반담 CTO는 “이런 경우 접근을 거부하고, 임원이 숙소로 돌아와 가상사설망(VPN)으로 로그인한 뒤에 권한을 내주는 것이 맞다”고 말했다. 만약 같은 임원이 휴대폰으로 이메일만 확인한다면 읽기 전용이므로 기존 권한을 유지해도 무방하다. 그러나 같은 자리에서 거래 기록을 수정하려 든다면 위험도가 전혀 달라진다. 사전에 정한 정책만으로는 이 차이를 잡아낼 수 없다. 세일즈포스가 필요할 때만 권한을 내주고 위험하면 즉시 회수하는 동적 권한 부여, 적시(just-in-time) 권한 부여 모델로의 전환을 주장하는 이유다. 그나나삼반담 CTO는 “이 실시간 권한 부여 모델에서 사람이 직접 수행하는 수동 인증은 예외가 되고 대부분의 인증이 자동화될 것”이라고 전망했다. 권한의 주체가 AI 에이전트로 넘어오면 상황은 더 복잡해진다. 앞서 살펴본 임원 사례는 문제 상황을 담당자가 들여다볼 여지라도 있지만, 그 수가 인간의 수십·수백배에 이르는 에이전트의 행동은 사람이 일일이 판단할 수 없다. 게다가 에이전트는 종종 통제 불가능한 변이를 일으킨다. 그나나삼반담 CTO가 “인간 거버넌스와 에이전트 거버넌스는 완전히 다른 차원”이라고 말한 이유다. 그나나삼반담 CTO는 “에이전트에게는 회수를 전제로 특수 권한을 쥐여주는 것이 아니라, 애초에 주지 않는 쪽으로 가야 한다”고 강조했다. 그는 출장을 예약하고 일정을 변경하는 개인 생산성 에이전트를 예로 들었다. 이 에이전트에게는 캘린더나 예약 시스템에 대한 상시 권한이 주어지지 않는다. 접근을 시도할 때마다 요청이 타당한지 평가받고, 통과해야 문이 열린다. 그나나삼반담 CTO는 이를 ‘제로 스탠딩 특수 권한(zero standing privilege)’이라고 했다. 한 발 더 나아가면, 에이전트의 이상 행동을 감지했을 때 시스템…

💡 AI 분석: 적응형 아이덴티티 관리가 AI 시대 기업 보안 전략의 핵심으로 부상하며 지형 변화를 예고하는 전략적 신호
원문 보기 (바이라인네트워크 (Byline Network)) →