지난해 3000만명이 넘는 쿠팡 회원의 개인정보가 유출된 사고는 아이덴티티(신원·접근관리) 보안 실패의 대표적인 사례로 꼽힌다. 범인으로 지목된 쿠팡 전 직원은 재직 중 탈취한 인증키를 활용해 내부 시스템에 접근했는데, 퇴사자에게 부여된 권한이 회수되지 않는 바람에 대량의 고객 정보가 외부로 빠져나간 것이다.
이처럼 내부자의 계정 정보나 자격 증명을 탈취하면 해커는 애써 기업의 보안벽을 뚫지 않아도 로그인만 해서 악성코드를 심고 민감한 정보에 접근할 수 있다. 아이덴티티 보안은 사이버 보안의 첫 관문으로 여겨진다. 은행 직원으로 위장한 도둑이 출입증을 구해 정문으로 들어와 금고를 여는 것과 비슷하다.
13일 보안 업계에 따르면 전 세계적으로 아이덴티티 기반 사이버 공격이 기승을 부리면서 기업들이 관련 투자를 확대하고 있다. 시스코의 위협 인텔리전스 조직 '탈로스(TALOS)'에 따르면 2024년에 발생한 사이버 공격 중 아이덴티티 기반 공격이 60%에 달했다.
탈로스는 "대부분의 보안 사고는 제로데이 취약점이나 맞춤형 악성코드를 활용한 복잡한 공격으로 일어나지 않았다"며 "해커들은 계정을 탈취해 단순 로그인하는 방식으로 기업의 시스템에 침투해 심각한 피해를 초래했다"고 설명했다.
기업이 아무리 네트워크와 엔드포인트 보안을 강화해도 탈취한 계정 하나만 있으면 시스템에 침투할 수 있기 때문에 자격증명을 비롯한 아이덴티티 탈취는 사이버 범죄자가 선호하는 공격 방식으로 각광받고 있다. 해커들은 다양한 방법으로 아이덴티티를 탈취하고 있는데, 피싱이나 스미싱으로 자격증명이나 계정 정보를 빼돌리는 방법이 대표적이다.
최근에는 다크웹 등에서 확보한 아이디와 비밀번호를 여러 사이트에 무차별적으로 집어넣어 로그인을 시도하는 '크리덴셜 스터핑(Credential Stuffing)'도 성행하고 있다. 지난달 CJ ENM이 운영하는 온라인동영상서비스(OTT) 티빙에서 유출된 계정 정보를 이용한 크리덴셜 스터핑 공격 시도가 감지됐고, GS리테일도 지난해 크리덴셜 스터핑 공격을 받아 고객 9만명의 개인정보가 유출됐다. 인스타그램도 이달 1700만명의 아이디·비밀번호가 유출됐다는 의혹이 나왔는데, 보안 업계에서는 관련 정보가 향후 크레덴셜 스터핑에 활용될 수 있다는 우려를 제기하고 있다.
보안 전문가들은 크리덴셜 스터핑과 같은 아이덴티티 기반 공격이 AI를 만나 더 빨라지고 정교해지고 있어 기업들이 이에 대응할 보안 체계를 갖춰야 한다고 조언한다. 과거에는 기업들이 임직원과 외주 인력의 계정과 자격증명만 관리하면 됐지만, AI 시대에는 AI 에이전트, 머신 아이덴티티 같은 비인간 계정도 폭넓게 활용되고 있어 누가, 언제, 어떤 데이터에 접근이 가능한지를 식별하고 권한을 관리하는 기술이 필요해졌다.
글로벌 보안 공룡들도 아이덴티티 보안을 차세대 보안 솔루션의 핵심 축으로 삼고 역량 강화에 나섰다. 미국 사이버 보안 기업 크라우드스트라이크는 이달 8일 아이덴티티 보안 스타트업 SGNL을 약 7억4000만달러(약 1조원)에 인수한다고 발표했다. 구글 출신들이 설립한 SGNL은 실시간으로 인공지능(AI) 에이전트에 시스템 접근 권한을 부여·회수하는 아이덴티티 보안 기술을 보유하고 있다.
조지 커츠 크라우드스트라이크 최고경영자(CEO)는 "이번 인수는 아아덴티티 보안 시장에서 크라우드스트라이크의 입지를 강화하는 데 기여할 것"이라고 말했다. 시장조사업체 그랜뷰리서치에 따르면 아이덴티티 보안 시장 규모는 2022년 기준 159억3000만달러(약 23조5000억원)에서 오는 2030년 415억2000만달러(약 61조2000억원)에 달할 전망이다.
세계 최대 보안 기업인 팔로알토 네트웍스도 지난해 7월 이스라엘 소재 아이덴티티 보안 기업 사이버아크를 사들이면서 아이덴티티 보안 분야로 사업을 확대했다. 당시 인수 금액은 250억달러(약 34조5000억원)로, 팔로알토가 지금까지 추진한 인수합병(M&A) 중 최대 규모다. 아이덴티티 보안의 중요성을 인식하고 대규모 투자를 단행한 것으로 분석된다.
아이덴티티·접근 관리(IAM) 보안 기업 옥타도 지난해 클라우드에 특화된 특권 접근 관리(PAM) 스타트업 악시옴 시큐리티를 인수해 보안 포트폴리오 강화에 나섰다. 토드 맥키넌 옥타 CEO는 "AI 시대 보안의 핵심은 아이덴티티 보호"라며 "기업이 보안을 강화하려면 AI 에이전트들의 아이덴티티를 체계적으로 보호해야 한다"고 말했다.