Kant's IT/Issue on IT&Security

비인간 ID(NHI) 보안 문제 부상

Kant Jo 2024. 9. 23. 20:55

“사람ID 보다 20배 많은 비인간 ID, 보안 문제 부상” - 데이터넷

 

“사람ID 보다 20배 많은 비인간 ID, 보안 문제 부상” - 데이터넷

[데이터넷] 디지털 혁신을 추진하다보면 비인간 ID(NHI)가 급증한다. API 키, 서비스 계정, OAuth 토큰, 봇, 비밀 등 NHI는 작업을 자동화하고, 효율성을 높여 비즈니스 경쟁력을 높일 수 있다. NHI는 24

www.datanet.co.kr

 

  • 비인간 ID(NHI) 개요
    • 비인간 ID(NHI)
      • API 키, 서비스 계정, OAuth 토큰, 봇 등 자동화된 작업을 수행하는 ID
    • NHI의 역할
      • 민감한 데이터를 처리하며, 비즈니스 효율성을 높임
    • NHI의 위협 증가
      • NHI가 늘어나면서 이를 파악하지 못한 사각지대에서 과도한 권한을 부여받는 경우가 많아 보안 위협이 커지고 있음
  • NHI 보안 우려
    • NHI가 사람 ID보다 20배 많음 (CSA 보고서)
    • 69%의 조직이 NHI로 인한 위협을 매우 우려
    • NHI 보안에 대한 자신감 부족
      • 사람 ID에 비해 NHI 보호에 대한 자신감이 낮음(15%)
  • NHI 관리 및 보안 도구 부족
    • 타사 공급업체에 대한 가시성 부족
      • 38% 의 조직이 OAuth 앱과 관련된 타사 공급업체에 대해 가시성이 제한적이라고 응답
    • 가장 어려운 NHI 보안 영역
      • 서비스 계정 관리(32%)
      • 감사 및 모니터링(25%)
      • 액세스 및 권한 관리(25%)
      • NHI 발견(24%)
      • 정책 시행(21%)
  • API 키 관리 문제
    • API 계정 및 키 관리 부실
      • API 키 오프보딩 및 해지 프로세스가 있는 조직은 20% 에 불과
      • 오프보딩에 몇 주 이상 걸리는 경우가 40%
      • 기술 부채로 인해 기존 서비스 계정 관리가 어려움
  • 보안 도구와 NHI의 부적합성
    • IAM(58%), PAM(54%)과 같은 기존 도구들은 사람 ID에 초점을 맞추고 있어 NHI 특성 반영 부족
    • NHI 보안 사고를 경험하지 않았다고 확신하는 조직은 50% 미만. 이는 사고를 겪고도 인지하지 못하는 가능성이 있음
  • NHI 보안 투자 관련
    • 75%의 조직이 NHI 보안에 투자
    • 24% 는 향후 6개월 이내, 36%12개월 이내에 투자할 계획
  • 시사점
    • NHI 전용 보안 도구 채택 필요
    • 권한 관리API 키 처리 등의 자동화를 통해 보안 태세 강화 필요