昨年3000万人を超えるクーパン会員の個人情報が流出した事故は、アイデンティティ(身元・アクセス管理)セキュリティ失敗の代表的事例とされる。犯人とされたクーパンの元従業員は在職中に盗んだ認証キーを活用して内部システムにアクセスしたが、退職者に付与された権限が回収されておらず、大量の顧客情報が外部に流出したというわけだ。
このように内部者のアカウント情報や資格情報が奪取されると、ハッカーは無理に企業のセキュリティ壁を突破しなくても、ログインだけでマルウェアを仕込み、機微情報にアクセスできる。アイデンティティセキュリティはサイバーセキュリティの第一関門とみなされる。銀行員に成りすました泥棒が入館証を手に正面から入り、金庫を開けるのに似ている。
13日セキュリティ業界によると、世界的にアイデンティティ基盤のサイバー攻撃が猛威を振るい、企業が関連投資を拡大している。シスコの脅威インテリジェンス組織「TALOS」によれば、2024年に発生したサイバー攻撃のうちアイデンティティ基盤の攻撃が60%に達した。
TALOSは「大半のセキュリティ事故はゼロデイ脆弱性やカスタムマルウェアを用いた複雑な攻撃では起きていない」とし、「ハッカーはアカウントを奪取して単純にログインする方式で企業システムに侵入し、深刻な被害をもたらした」と説明した。
企業がいくらネットワークとエンドポイントの防御を強化しても、盗まれたアカウントが一つあればシステムに侵入できるため、資格情報を含むアイデンティティの奪取はサイバー犯罪者が好む手口として脚光を浴びている。ハッカーは多様な方法でアイデンティティを奪取しており、フィッシングやスミッシングで資格情報やアカウント情報を抜き取る手口が代表的だ。
最近はダークウェブなどで入手したIDとパスワードを複数サイトに無差別投入してログインを試みる「クレデンシャルスタッフィング(Credential Stuffing)」も横行している。先月、CJ ENMが運営するオンライン動画配信サービス(OTT)であるTVINGで流出したアカウント情報を用いたクレデンシャルスタッフィング攻撃の試行が検知され、GSリテールも昨年クレデンシャルスタッフィング攻撃を受け、顧客9万人の個人情報が流出した。インスタグラムでも今月1700万人のID・パスワードが流出したとの疑惑が浮上し、セキュリティ業界では関連情報が今後クレデンシャルスタッフィングに悪用されうるとの懸念を示している。
セキュリティ専門家は、クレデンシャルスタッフィングのようなアイデンティティ基盤攻撃がAIと結びつき、より高速かつ巧妙になっているため、企業はこれに対応する防御体制を整える必要があると助言する。従来は企業が役職員や外注人員のアカウントと資格情報だけを管理すればよかったが、AI時代にはAIエージェント、マシンアイデンティティといった非人間のアカウントも広く活用されており、誰が、いつ、どのデータにアクセス可能かを識別し、権限を管理する技術が必要になった。
グローバル大手もアイデンティティセキュリティを次世代セキュリティソリューションの中核に据え、体制強化に乗り出した。米国のサイバーセキュリティ企業クラウドストライクは8日、アイデンティティセキュリティのスタートアップであるSGNLを約7億4000万ドル(約1兆ウォン)で買収すると発表した。グーグル出身者が設立したSGNLは、リアルタイムで人工知能(AI)エージェントにシステムアクセス権限を付与・回収するアイデンティティセキュリティ技術を保有している。
ジョージ・カーツ・クラウドストライク最高経営責任者(CEO)は「今回の買収はアイデンティティセキュリティ市場におけるクラウドストライクの地位を強化するのに寄与する」と述べた。市場調査会社グランドビューリサーチによれば、アイデンティティセキュリティ市場規模は2022年時点の159億3000万ドル(約23兆5000億ウォン)から2030年には415億2000万ドル(約61兆2000億ウォン)に達する見通しだ。
世界最大のセキュリティ企業であるパロアルトネットワークスも昨年7月、イスラエル拠点のアイデンティティセキュリティ企業であるサイバーアークを買収し、アイデンティティセキュリティ分野へ事業を拡大した。当時の買収額は250億ドル(約34兆5000億ウォン)で、パロアルトがこれまで実施した合併・買収(M&A)で最大規模だ。アイデンティティセキュリティの重要性を認識し、大規模投資に踏み切ったと分析される。
アイデンティティ・アクセス管理(IAM)セキュリティ企業のオクタも昨年、クラウドに特化した特権アクセス管理(PAM)スタートアップであるアクシオムセキュリティを買収し、防御ポートフォリオの強化に乗り出した。トッド・マッキノン・オクタCEOは「AI時代のセキュリティの核心はアイデンティティ保護だ」とし、「企業が防御を強化するにはAIエージェントのアイデンティティを体系的に保護すべきだ」と述べた。