아이덴티티 보안과 관련해 인공지능(AI) 사용 확산이 새로운 위협으로 부상할 수 있다는 분석이 나왔다.

아이덴티티 보안 기업 사이버아크(CyberArk)는 9월 3일 서울 삼성동 파크하얏트 호텔에서 기자간담회를 열고 ‘2025년 아이덴티티 보안 환경 리포트(2025 Identity Security Landscape)’를 발표했다. 

사이버아크는 20개국 800개 지역 2600명의 보안 의사결정권자들을 대상으로 분석을 진행했다. 다만 한국은 이번 조사에 포함되지 않았다.

최장락 사이버아크 이사는 “응답자의 65%는 AI 및 LLM을 위한 아이덴티티 보안 제어 시스템을 구축하지 않았다고 답했다”며 “응답자의 85%는 AI/LLM이 대규모 민감한 데이터에 접근하면 특권 관련 위험이 발생한다는 것을 인지하고 있었다”고 지적했다. AI 확산으로 아이덴티티 보안에 위험이 발생할 것으로 인식하고 있지만 실제 준비는 미흡하다는 것이다.

사이버아크는 AI 기반 피싱공격이 점차 증가함에 딸라 모든 조직을 타겟으로 하는 잠재적 침해 가능성을 예상하고 있다고 설명했다.

사이버아크는 AI와 LLM의 승인 여부와 관계없이 도입되는 것이 조직을 변화시키는 동시에 사이버 보안 위험을 증폭시키고 있다며 AI 에이전트의 등장과 이들의 특권적 접근에 대한 우려는 아이덴티티 보안에 초점을 맞춘 투자의 시급성을 강조했다.

보고서에서 클라렌스 힌튼 사이버아크 최고전략책임자(CSO)는 "AI를 기업 환경에 도입하려는 경쟁은 의도치 않게 관리되지 않고 보안이 취약한 머신 아이덴티티 접근을 중심으로 새로운 아이덴티티 보안 위험을 초래했으며 AI 에이전트의 특권적 접근은 완전히 새로운 위협 벡터가 될 것“이라며 "복원력을 유지하기 위해 CISO와 보안 리더는 특권적 접근을 가진 아이덴티티의 급증과 아이덴티티 사일로의 손상으로 더욱 악화되는 새롭게 확장되는 공격 표면에 맞서 싸우기 위해 아이덴티티 보안 전략을 현대화해야 한다"고 지적했다.

이날 사이버아크는 머신 아이덴티티 보안 위협도 경고했다. 머신 아이덴티티는 사람이 아니라 시스템상에서 자동으로 인증하는 과정을 뜻한다. 

사이버아크는 2025년에 인간 및 머신 아이덴티티(대부분 특권 접근 권한 보유)가 두 배 증가할 것으로 예상된다고 지적했다. APAC 조직의 89%에서 '특권 사용자'의 정의는 오직 인간 아이덴티티에만 적용되지만 머신 아이덴티티의 39%는 특권 접근 권한 또는 민감한 접근 권한을 보유하고 있다는 것이다.

림 텍 위 사이버아크 ASEAN 지역 부사장(VP)은 "대부분 특권 접근 권한을 갖고 있고, 제대로 감독되지 않는 머신 아이덴티티의 폭발적인 증가는 위험이라는 최악의 상황을 유발하고 있다. APAC 기업의 약 70%가 AI 기반 아이덴티티와 머신 아이덴티티를 통제할 수 없고 머신 아이덴티티의 수가 인간보다 82대 1로 많은 상황에서, 더 이상 단순히 인간의 보안뿐만 아니라 모든 아이덴티티의 보안을 중요하게 생각해야 한다“고 말했다.