김동현 크리밋 대표, ‘디지털 혁신의 숨겨진 위협: NHI 보안 대응 전략’ 세션 발표
“기업, 비인간 신원(NHI) 중 30%만 파악...‘전수 식별’이 보안 출발점”

[보안뉴스 조재호 기자] 디지털 전환 가속화로 금융권도 클라우드와 인공지능(AI) 도입이 늘면서, 사람이 아닌 주체가 사용하는 디지털 자격 증명을 말하는 ‘비인간 신원’(NHI·Non-Human Identity)이 새로운 보안 위협으로 떠오르고 있다.

20일 여의도 콘래드 서울 호텔에서 열린 ‘FISCON 2025’에서 김동현 크리밋 대표는 “현재 기업 내 NHI는 사람보다 평균 45배 더 많다”며 “관리 사각지대에 있는 NHI가 향후 금융권 보안의 최대 뇌관이 될 수 있다”고 경고했다.


▲ 김동현 크리밋 대표 [자료: 보안뉴스]

NHI는 데이터에 접근하고 자율적으로 작업하는 자격 증명을 갖춘 디지털 개체를 말한다. API 키나 토큰, 서비스 계정, 오스(OAuth) 토큰, 인증서, 소프트웨어 봇 등이 있다. 정적인 비밀번호를 사용하고 많은 권한을 지닌 채 운영되지만, 지속적으로 모니터링되지 않아 침해 사고의 주요 통로로 급부상하고 있다.

김 대표는 “API 퍼스트 아키텍처와 마이크로서비스 아키텍처(MSA) 확산으로 기계 간 인증이 폭증했다”며 “사람은 퇴사하면 계정을 삭제하지만, 기계가 만든 API 키는 만료 정책이 없이 방치되는 경우가 70%에 달한다”고 말했다.

대부분 기업이 파악하고 있는 NHI는 실제 존재하는 양의 30%~40%에 불과한 것으로 추산된다. 나머지 60% 가량은 담당자조차 모르는 ‘쉐도우 NHI’로 방치돼 해커들의 주요 표적이 되고 있다는 설명이다.

대표적 피해 사례로 2022년 발생한 우버(Uber) 해킹 사건이 있다. 당시 우버는 파워셀 스크립트 내 하드코딩된 관리자 자격증명 하나가 유출되면서 사내 시스템 전체가 장악되고, AWS 콘솔까지 뚫리는 피해를 입었다.

김 대표는 “우버는 사고 이후 1년 반 동안 사내 모든 쉐도우NHI를 찾아내는 ‘전수조사’(Discovery) 작업을 통해 가시성을 확보했다”며 “보이지 않는 것을 관리할 수는 없기에, NHI 보안의 첫 단계는 무조건 전수조사 및 식별이어야 한다”고 말했다.

그는 “한 기업 CEO의 비밀번호 유출도 위험하지만, 클라우드 전체 관리 권한을 가진 API 키 하나가 유출돼도 기업 존립이 위태로울 수 있다”며 “NHI를 IT 자산처럼 관리대장화하고 정기적으로 로테이션하는 체계를 갖춰야 한다”고 말했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>