검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'아이덴티티 보안'통합검색 결과 입니다. (5건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[SW키트] AI 에이전트 보안 우려 현실로…'신종 해킹' 등장

밀키트는 손질된 식재료와 양념을 알맞게 담은 간편식입니다. 누구나 밀키트만 있으면 별도 과정 없이 편리하게 맛있는 식사를 할 수 있습니다. [SW키트]도 마찬가지입니다. 누구나 매일 쏟아지는 소프트웨어(SW) 기사를 [SW키트]로 한눈에 볼 수 있습니다. SW 분야에서 가장 주목받는 인공지능(AI), 보안, 클라우드 관련 이야기를 이해하기 쉽고 맛있게 보도하겠습니다. [편집자주] 인공지능(AI) 에이전트 시스템 구조를 파악한 뒤 취약점을 공략하는 신종 해킹 기법이 등장했다. AI 에이전트가 코딩 등 개발 자동화를 돕는 도구 역할을 하지만, 동시에 보안 위협에 노출됐다는 우려도 커지고 있다. 28일 IT 업계에 따르면 최근 해커가 빅테크 오픈소스 코드에 침투해 AI 에이전트를 악용한 사실이 드러났다. 해커는 아마존웹서비스(AWS)의 '아마존 Q 디벨로퍼' 확장 기능에 사용자 파일과 클라우드 리소스를 삭제하라는 악성 명령을 삽입한 것으로 확인됐다. 이 명령은 프롬프트 형태로 AI 에이전트에게 전달됐으며, 에이전트가 이를 실행할 수 있도록 설계된 것으로 확인됐다. 도구 확장 기능은 마이크로소프트 비주얼 스튜디오(VS) 코드 마켓플레이스에 이틀 동안 등록돼 있었다. 이에 다수 개발자가 보안 위협에 노출됐다. AWS는 VS 코드용 아마존 Q 디벨로퍼 확장 프로그램에서 발생한 보안 취약점 조치를 완료한 상태다. 해당 문제를 인지한 즉시 관련 자격 증명을 폐기하고 교체했다. 현재 악성 코드가 포함된 부분을 제거한 후 새 버전 1.85.0을 배포한 상태다. AWS 보안팀이 전체 코드베이스를 검토한 결과, 악성 코드가 구문 오류로 인해 직접적으로 실행되지 않은 것으로 확인됐다. 이로 인해 개발 환경이나 AWS 서비스에도 영향이 없는 것으로 전해졌다. AWS 관계자는 "확장 프로그램 생성 과정에 사용된 깃허브 액세스 토큰의 보안 설정이 잘못돼 있었다"고 공식 홈페이지에서 원인을 밝혔다. 이어 그는 "이때 해커가 깃허브에 있는 소스코드 저장소에 악성 코드를 추가할 수 있었다"며 "해당 코드가 프로그램 최신 버전에 자동 배포된 것"이라고 밝혔다. 스스로 행동하는 AI 에이전트…"기업 아이덴티티 촘촘해야" 전문가들은 이번 사건에서 AI 에이전트가 사용자 권한을 그대로 사용할 수 있다는 점을 가장 큰 문제로 지적했다. AI 에이전트가 사용자처럼 시스템을 임의로 조작할 수 있다는 이유에서다. 또 인간 명령어를 스스로 판단해 비정상적으로 행동할 수도 있다는 의견도 나왔다. 예를 들어 사용자가 관리자 권한을 갖고 있으면 AI도 그 권한으로 시스템을 임의로 수정할 수 있다. 에이전트가 서버 종료를 비롯한 데이터 삭제, 클라우드 정보 초기화를 진행할 수 있다는 의미다. 또 단순한 명령어 하나로도 시스템 전체에 영향 줄 수도 있다. 전문가들은 그동안 우려했단 AI 에이전트 보안 위협이 현실화됐다고 분석했다. 한 업계 관계자는 "최근 해커가 AI 에이전트 시스템 원리를 완벽히 파악했다"며 "기업은 AI 에이전트에게 주는 권한을 촘촘히 제한해야 할 것"이라고 당부했다. 세일포인트 데이브 슈워츠 글로벌 파트너 부문 부사장도 최근 지디넷코리아 인터뷰에서 "기업은 AI 에이전트가 어떤 데이터에 접근할 수 있는지, 어떤 명령을 실행할 수 있는지 확실히 설정해야 한다"며 "AI가 무슨 일을 했는지까지 기록으로 남겨야 한다"고 강조했다. 그러면서 "AI 에이전트 시대에 기업 아이덴티티 시스템이 중요한 이유"라고 덧붙였다. AI 에이전트 도입 기업, 보안 취약 사례 경험 실제 AI 에이전트를 도입한 기업이 관련 보안 취약 사례를 경험했다는 조사 결과가 나왔다. 최근 세일포인트가 글로벌 보안·IT 책임자 353명 대상으로 실시한 설문 조사에 따르면, 응답 기업 82%가 AI 에이전트를 사용 중이었다. 이 중 51%가 민감한 데이터 유출이나 승인되지 않은 시스템 접근 등 실제 피해를 경험했다고 답했다. 이들은 가장 큰 문제가 AI 에이전트를 다루기 위한 명확한 기준이 없다는 점을 지적했다. 응답자 72%는 AI 에이전트가 기존 시스템 신원증명보다 더 큰 보안 위협이라고 평가했다. 반면 이를 감시하거나 통제할 수 있는 체계가 제대로 갖춰져 있지 않은 것으로 전해졌다. 실제로 응답자의 92%는 AI 에이전트 거버넌스가 매우 중요하다고 답했지만, 관련 정책을 실제로 도입한 기업은 44%에 불과했다. 절반 가까운 기업은 AI가 어떤 데이터에 접근했는지조차 추적할 수 없다고 답했다. 이에 IT 업계는 AI 에이전트도 접근 권한을 비롯한 실행 범위, 데이터 사용 기록 등이 투명하게 추적돼야 한다고 입을 모았다. 세일포인트는 "해커가 시스템 내 AI 에이전트에 악성 명령을 주입해도 아무도 이를 탐지하거나 차단하지 못했다는 점이 관건"이라며 "AI 에이전트도 사람처럼 디지털 신원을 갖고 가격과 권한을 엄격하게 관리받아야 한다"고 보고서에서 당부했다.

2025.07.28 11:08김미정

[현장] 세일포인트 "기업 신원 해커 표적 돼…단일 플랫폼으로 지켜야"

"현재 기업 아이덴티티는 해커 표적이 됐습니다. 기업은 통합 솔루션으로 기업 신원을 보호하고 관리해야 합니다. 이를 통해 직원과 비직원, 머신 아이덴티티를 비롯한 다양한 유형의 아이덴티티를 단일 플랫폼으로 통제해야 합니다. 업무 생산성을 해치지 않고도 보안을 개선할 방법입니다." 세일포인트 첸위 보이 아시아태평양 총괄 사장은 19일 미디어 프리핑에서 기업 아이덴티티 보호를 위한 전략을 이같이 밝혔다. 또 갈수록 다양해지는 아이덴티티를 단일 플랫폼으로 관리해야 한다고 주장했다. 세일포인트는 엔터프라이즈급 아이덴티티 보안 프로그램을 관리하는 플랫폼 '아틀라스'를 운영해 왔다. 세일포인트 아이덴티티 보안 클라우드 기반으로 기업 신원 보안 시스템 운영을 단순화하고 가속할 수 있게 지원하고 있다. 이날 첸위 보이 아태 총괄 사장은 머신 아이덴티티 시큐리티 클라우드의 새 서비스 '머신 아이덴티티 시큐리티'를 소개했다. 이 서비스는 세일포인트의 아틀라스에서 작동한다. 머신 아이덴티티 시큐리티는 챗봇이나 서비스 계정을 비롯한 머신 아이덴티티 관리에 특화됐다. 사용 기업은 모든 유형의 신원을 한 플랫폼에서 통합 관리할 수 있다. 또 이 서비스는 머신 아이덴티티 계정을 탐지하고 분류·태그할 수 있다. 이를 통해 상황 변화에 맞게 담당자를 배정할 수 있도록 지원한다. 엑세스를 인증하는 과정에서 불필요한 계정과 승인은 취소된다. 보이 사장은 "기업은 머신 아이덴티티를 사람 신원 인증과 동일한 수준의 가시성, 거버넌스, 제어 등을 수립해 아이덴티티 보안을 통합 운영할 수 있다"며 "수명주기 관리 과정을 자동화해 컴플라이언스와 규제 리스크까지 줄일 수 있다"고 설명했다. 세일포인트는 세일포인트 아이덴티티 시큐리티 클라우드의 새 기능 '특수 권한 작업 자동화'도 내놨다. 이 기능도 세일포인트의 아틀라스에서 작동한다. 액세스 권한이 필요한 반복적인 작업 실행을 자동화·위임함으로써 기업 생산성과 보안 향상을 돕는 기능을 갖췄다. 보이 총괄 사장은 아틀라스에 탑재된 '특수 권한 작업 자동화' 필요성도 강조했다. 그는 "보통 일상적인 특수 권한 작업은 거의 매일 반복적으로 수행된다"며 "다수 기업은 여전히 스크립트를 사용하거나 별도 툴을 활용해 작업을 수동적으로 관리하고 있다"고 지적했다. 이어 "해당 과정은 업무를 비효율적으로 만들고 해커에게 보안 취약점을 내놓는 셈"이라고 덧붙였다. 반면 특수 권한 작업 자동화는 필요한 접근 유형에 따라 작업을 관리하고 신원을 보호하는 포괄적인 접근 방식을 가능케 하는 것으로 평가받고 있다. 이 기능은 워크플로 구성을 위한 간편한 드래그 앤 드롭 인터페이스와 즉시 사용 가능한 맞춤형 템플릿이 포함된 라이브러리를 제공한다. 이를 통해 워크플로 도입을 가속할 수 있게 돕는다. 이 외에도 세일포인트 아이덴티티 시큐리티 클라우드에 새로운 기능을 추가하는 업데이트 소식도 나왔다. 세일포인트는 이번 업데이트를 통해 능동적인 액세스 역할 조정과 액세스 모델 메타데이터, 데이터 세분, 애플리케이션 온보딩 강화 등 신규 기능을 추가했다. 지정권 세일포인트 코리아 지사장은 이날 한국 고객사 확대를 위한 전략을 제시했다. 지 지사장은 "우리가 국내 보안 시장 후발주자인 것은 사실"이라며 "올해 매출이 크게 오른 만큼 내년에도 고객사 확보에 발 빠르게 나설 것"이라고 강조했다.

2024.11.19 19:18김미정

세일포인트 "기업 신원인증 보안 수준 올려야 미래 보인다"

기업이 아이덴티티 보안 수준을 끌어올릴 경우 투자 대비 높은 긍정적 효과를 누릴 수 있다는 분석 결과가 나왔다. 세일포인트 테크놀로지 홀딩스는 전 세계 기업의 아이덴티티 보안 현황과 미래 전망을 분석한 '아이덴티티 보안의 핵심 트렌드와 전략' 보고서를 13일 발표했다. 보고서에 따르면 조사에 참여한 기업 41%는 아이덴티티 보안 전략·기술이 미흡하거나 기본적인 단계에만 머무는 것으로 알려졌다. 이 외에도 주로 수동으로 아이덴티티 관리를 수행하는 경우가 23%에 달했다. 인공지능(AI) 기술를 비롯해 고급 디지털 도구와 통합된 아이덴티티 솔루션을 도입하는 등 성숙도가 높은 경우는 전체 10%에 불과했다. 보고서에서는 강력한 아이덴티티 보안이 급격하게 증가하고 있는 머신 아이덴티티를 효율적으로 관리하는 데 도움을 주고 있는 것으로 밝혀졌다. 실제로 성숙한 아이덴티티 보안 체계를 수립한 기업들은 봇 계정을 비롯한 머신 아이덴티티의 87%를 효과적으로 관리했다. 아이덴티티 보안이 초기 단계에 머무르고 있는 기업들은 관리율이 28%에 그쳤다. 보고서는 다수 조직의 아이덴티티 유형 중 머신 아이덴티티가 가장 빠르게 증가하고 있고 조직 내 분산됐다는 점을 들어 이에 대한 관리 능력은 더욱 중요해질 것이라고 강조했다. 또 아이덴티티 보안 성숙도가 높은 기업들은 그렇지 않은 기업보다 제3자 아이덴티티에 대한 커버리지가 최대 50% 더 높았다. 이는 최근 외주, 벤더 등 제3자에게 업무를 위탁하는 기업들이 늘어나는 현재 아이덴티티 보안이 기업 보안의 핵심적인 요소로 자리 잡고 있음을 의미한다. 아이덴티티 보안은 향후 기업들의 내부 보안 태세 수립에도 영향을 줄 것으로 분석됐다. 실제로 이미 강력한 아이덴티티 보안 체계를 갖춘 기업들의 50%는 축적된 아이덴티티 데이터를 활용해 컨텍스트를 인식하는 보안 정책, 지능형 액세스 안내 및 검토 등 실행 가능한 인텔리전스에 기반한 우수한 사용 사례를 갖춘 것으로 확인됐다. 아이덴티티 보안 수준이 미흡한 기업들은 지능적인 시스템을 도입한 비율이 전체의 20%도 못 미쳤다. 아이덴티티 보안을 제대로 실천하는 기업들은 더 정확하고 신속하게 액세스 결정을 내려 보안 리스크를 줄이면서도 생산성을 높게 유지할 수 있다. 세일포인트 첸위 보이 아시아태평양 총괄 부사장은 "사이버 보안에 대한 전략적 투자를 단행하지 않고는 사업 역량을 강화하거나 데이터 분석, 자동화, 낮은 사이버 보험료, 개선된 컴플라이언스 등의 효과를 보기가 어렵다"며 "적절한 기술, 전략, 전문성만 갖춘다면 기업들은 아이덴티티 보안을 고도화해 더 많은 사업적 가치를 창출할 수 있을 것"이라고 말했다.

2024.11.13 15:31김미정

씨플랫폼, 사이버아크와 아이덴티티 보안 총판 계약

씨플랫폼과 사이버아크가 아이덴티티 보안 위협을 막기 위해 손을 잡았다. 씨플랫폼은 사이버아크와 총판 계약을 체결했다고 1일 밝혔다. 아이덴티티 보안 위협은 인공지능(AI) 등의 발전으로 한국 사이버 보안 업계에서 대두되고 있는 이슈다. 아이덴티티 손상은 공격자가 사이버 방어를 피해 민감한 데이터와 자산에 액세스할 수 있는 효과적인 방법으로 꼽힌다. 아이덴티티 보안이란 다양한 인력에게 기술 액세스 조건을 부여해야 할 때 조직 내 모든 디지털 아이덴티티의 접근을 관리하고 위협 발생 시 차단하는 기능이다. 씨플랫폼은 이번 총판 파트너십으로 멀티·하이브리드 클라우드 환경에서 특권 계정 접근 관리가 필요한 고객의 수요에 대응할 예정이다. 또 클라우드 보안 시장에서 비즈니스 경쟁력을 강화해 나갈 계획이다. 사이버아크 제이슨 종 APJ 파트너 부문 VP는 "한국은 사이버아크에 중요한 시장 중 하나"라며 "한국 시장에 아이덴티티 보안 솔루션을 공급해 조직의 자산 보호를 돕게 된 건 기쁜 일"이라고 언급했다. 한상욱 씨플랫폼 대표는 "AI와 클라우드 시장 확산에 따라 특권 계정 접근 관리 보안에 대한 수요가 빠르게 증가하는 중"이라며 "씨플랫폼이 보유한 파트너 망과 보안 비즈니스 노하우로 사이버아크와 클라우드 보안 시장에서 협력을 확대할 예정"이라고 말했다.

2024.08.01 17:21양정민

"비직원 접근도 관리"...세일포인트, 비활성 아이덴티티 보안 강화

세일포인트 테크놀로지가 고객사의 아이덴티티와 접근 관리를 위한 보안을 강화한다. 세일포인트 테크놀로지는 데이터 액세스 보안(DAS) 및 비직원 리스크 관리(NERM) 제품에 새로운 기능들을 추가했다고 11일 밝혔다. 이번에 추가되는 기능은 세일포인트 아이덴티티 시큐리티 클라우드를 통해 지원한다. 고객들에게 다양한 유형의 아이덴티티와 그들이 액세스하는 중요 데이터에 대한 보안 및 가시성을 강화해 기업 단위에서 강력한 아이덴티티 보안 프로그램을 수립할 수 있도록 돕는다. 세일포인트 아틀라스(Atlas) 플랫폼 안의 클라우드 네이티브 솔루션으로 설계된 DAS는 고객들이 텍스트 파일, 프레젠테이션, IoT 로그, PDF 등과 같은 비정형 데이터에 대한 액세스를 확인할 수 있도록 전체적인 가시성을 확보한다. 데이터 액세스 인증 기능은 안전한 액세스를 선제적으로 관리할 뿐 아니라 조직이 오버프로비저닝 된 액세스를 쉽게 식별하고 복잡한 규정 및 규제를 준수할 수 있도록 지원한다. 또한, 오직 승인된 사용자만이 중요 데이터에 액세스할 수 있도록 보장한다. 이를 통해 조직은 민감하고 통제된 핵심 데이터에 대한 액세스를 검토하고 인증할 수 있다. 활동 모니터링 기능은 조직의 데이터 자산에서 일어나는 활동을 실시간으로 추적하고 분석, 보안 담당자들에게 향상된 가시성과 이상 활동을 식별할 수 있는 툴을 제공한다. 조직 내 모든 활동을 모니터링하며 거버넌스 결정에 필요한 인사이트를 제공해 위험한 액세스와 공격 표면을 줄일 수 있다. 민감 및 통제 데이터 분류 기능은 환경 내 미리 정의된 규칙과 함께 기본 데이터 분류 정책을 활용, 민감한 데이터를 자동으로 카탈로그할 수 있도록 한다. 개인 식별 정보(PII), 결제 카드 정보(PCI), HIPAA에 따라 규제되는 의료 기록, GDPR과 같은 데이터 보호 법률에 따라 보호되는 정보 등을 모두 분류할 수 있다. 또한, 내부 식별자와 정책을 기반으로 콘텐츠를 목록화, 지적 재산, 특허 정보, 제한된 콘텐츠 등을 보호할 수 있다. 세일포인트는 비 정규직원(이하 비직원)의 아이덴티티 및 액세스를 관리하는 세일포인트 비직원 리스크 관리(NERM)에도 업데이트를 진행한다. 새롭게 추가된 비직원 리스크 관리 퀵스타트 템플릿과 신규 언어 확장 지원은 고객의 새로운 가치를 창출하고 생산선을 개선하는 동시에 일반적인 비직원 아이덴티티 유형에 대한 구성을 신속하게 설정한다. 비직원 리스크 관리 퀵스타트 템플릿은 세일포인트 NERM을 사용하는 고객들이 사전에 설정된 구성을 통해 비직원들의 아이덴티티에 대한 온보딩, 권한 수정, 오프보딩을 관리할 수 있도록 지원해 효율적인 IT 리소스 배치를 지원한다. 또한, 글로벌 서비스 확대의 차원에서 NERM에서 한국어, 중국어, 브라질어 등이 새롭게 지원된다. 세일포인트 아이덴티티 시큐리티 클라우드 서비스에도 비활성 아이덴티티 관리가 추가되어 세일포인트 아이덴티티 시큐리티 클라우드에서 지정된 아이덴티티 상태에 기반해 비활성 아이덴티티를 분류하고 정의할 수 있도록 한다. 이 기능은 잘못된 아이덴티티에 액세스 권한을 잘못 부여하는 리스크를 완화하기 위해 추가되었으며, 사용자가 제품의 특정 기능을 통해 아이덴티티를 '비활성'으로 지정할 수 있게 함으로써 더욱 안전하고 정확하게 아이덴티티를 관리할 수 있도록 한다. 아이덴티티 UI 역시 사용자들이 단일 창으로 액세스를 포괄적이고 통합적으로 관리할 수 있도록 재설계됐다. 또한, 속성 복사 도구와 같은 추가 기능을 제공하며 감사에도 효과적이어서 모든 고객에게 향상된 아이덴티티 관리 경험을 제공한다. 세일포인트 그레이디 써머스 제품 담당 부사장은 “기업은 모든 수 많은 애플리케이션과 앱 내 데이터 등을 액세스하는 복잡하고도 방대한 아이덴티티 환경에 대한 전체적인 가시성을 확보해야 한다”며 “이번에 업데이트된 DAS 및 NERM은 모든 유형의 기업 아이덴티티를 보호할 수 있는 강력한 거버넌스에 기반한 기업형 솔루션을 제공하기 위한 세일포인트의 노력을 잘 나타낸다”고 밝혔다.

2024.07.11 16:57남혁우