AI가 위험을 증가시키는 방법
고대 로마 군대에서는 매일 바뀌는 암호를 알고 있는 병사만 진영에 들어올 수 있었습니다.1 담당자가 암호를 점토판에 새겨 각 군 부대에 배포한 후, 점토판이 반납되지 않으면 반납하지 않은 병사를 신속하게 추적하여 처벌했습니다.
고대 로마 시대부터 지금까지 변하지 않은 사실은, 보안을 유지하려면 암호가 어디에 있는지 알아야 한다는 것입니다.
그러나 현대 조직에서는 자격 증명을 추적하기가 더 어렵습니다. 오늘날 기업은 개발자 시크릿, 패스키, 공유 로그인, API 키, SSH 키, 서비스 계정, SSO 액세스 토큰 등 단순한 비밀번호보다 훨씬 많고 다양한 자격 증명을 관리해야 합니다.
이러한 자격 증명은 한 곳에 있지도 않습니다. 브라우저, 스크립트, 개발자 환경, Slack 메시지, AI 도구, 구성 파일, 그리고 때로는 일반 스프레드시트에 보관되어 있습니다.
자격 증명이 중앙 집중식 가시성 및 제어 범위를 벗어나는 무분별하게 확산되는 것을 '자격 증명 스프롤'이라고 하며, 공격자들은 이를 악용하려고 기회를 노립니다.2 이 문제는 특히 AI 기반 도구 및 에이전트의 등장으로 더욱 시급해졌습니다. 이러한 도구와 에이전트는 관리되지 않는 자격 증명의 규모와 범위를 증가시켰을 뿐만 아니라, SSO 및 PAM과 같은 도구로는 처리 불가능한 액세스 및 ID 관리 문제를 야기하기 때문입니다.
What causes credential and secrets sprawl?
자격 증명 위험은 새로운 문제가 아닙니다. 그러나 최근 몇 년간, 자격 증명의 사용 위치와 방식을 관리하는 것은 무척 어려운 일에서 아무리 노력해도 끝이 없는 일로 변해버렸습니다. 결코 쉬웠던 적은 없지만 이제는 아예 불가능에 가까워졌습니다. 그 이유를 이해하기 위해 먼저 자격 증명 스프롤에 기여하는 핵심 요소부터 몇 가지 살펴보겠습니다.
비밀번호 스프롤
관리되지 않는 비밀번호와 잘못된 비밀번호 사용 습관의 위험성은 수년 동안 잘 알려져 왔지만, 비밀번호는 여전히 데이터 유출 및 해킹의 가장 일반적인 경로 중 하나입니다.3
1Password의 2025 연례 보고서: The Access-Trust Gap에 따르면, 직원의 3분의 2가 다음과 같이 비밀번호 관리에 취약한 행동을 하고 있습니다.4
여러 업무용 계정에서 동일한 비밀번호 사용
IT 기본 비밀번호를 변경하지 않고 사용
업무용 계정과 개인용 계정 모두에 같은 비밀번호 사용
자신이나 동료에게 비밀번호를 문자 메시지, 이메일 또는 기타 메시지로 보내는 것
이러한 잘못된 사용 방법은 엄청난 영향을 미칠 수 있습니다. 일례로, 공격자들이 이전 보안 침해 사고에서 유출된 자격 증명을 사용하여 GitHub, Bitbucket, 및 GitLab의 개발자 저장소에 로그인한 경우를 들 수 있습니다. 저널리스트이자 분석가인 로버트 레모스(Robert Lemos)는 “이번 공격은 잘못된 비밀번호 처리의 위험성을 아주 잘 보여줍니다. 영향을 받은 개발자의 저장소를 호스팅하는 서비스 중 어느 곳에서도 보안 침해 징후가 발견되지 않았습니다. 대신 공격자는 인식할 수 없는 인터넷 주소에서 유효한 자격 증명을 사용하여 로그인한 다음 피해자의 코드를 삭제했습니다"라고 합니다.5
관리되지 않는 SaaS 및 AI
보안 분석가 프랜시스 오덤(Francis Odum)이 말했듯이,6 “SaaS 애플리케이션을 채택하는 기업이 많아지면서 엔터프라이즈급 비밀번호 관리가 더욱 중요해졌습니다. 직원들이 업무용 계정에 개인 자격 증명을 자주 사용하면서 자격 증명 재사용 및 보안 사고의 위험이 증가했습니다. 싱글 사인온(SSO)과 다단계 인증(MFA)이 표준 보안 수단으로 자리잡기는 했지만, 기업 애플리케이션 전체를 포괄하지 못해 가시성 격차가 생기는 경우가 많아...”
SaaS 확산은 사이버 보안 업계에서 수년 동안 알려진 문제였습니다.7 기업들은 보통 싱글 사인온(SSO) 플랫폼 내에서만 100개 이상의 애플리케이션을 관리하지만, 많은 애플리케이션이 SSO의 범위 밖에 있습니다.8
1Password는 기업의 앱 중 평균 3분의 1이 SSO의 보호 범위를 벗어난다는 사실을 발견했습니다. 이로 인해 특히 오프보딩 과정에서 IT 팀에 큰 사각지대가 생깁니다.9
직원의 3분의 1 이상(38%)이 퇴사 후 이전 고용주의 계정, 데이터 또는 애플리케이션에 성공적으로 액세스한 적이 있습니다.
1Password Annual Report 2025: The Access Trust Gap
이제 AI는 SSO가 설계된 범위를 넘어 SaaS의 확산을 더욱 가속화하고 있습니다. 직원 4명 중 1명은 회사에서 승인하지 않은 AI 애플리케이션을 사용해 봤으며, 3분의 1 이상은 회사의 AI 정책을 고의로 무시한 적이 있다고 응답했습니다. 10
직원들은 IT 부서에서 평가 또는 승인하기 전에 AI 코딩 도구, 브라우저 확장 프로그램, 문서 작성 보조 어시스턴트, 데이터 분석 도구, 에이전트 플랫폼을 실험하고 있습니다. 이런 도구 중 상당수가 기업 SSO와 완벽하게 통합되지 않으며, 통합되더라도 공식 온보딩 프로세스와 관계 없이 채택이 시작되는 경우가 많습니다. 섀도우 AI는 심각한 위험을 내포하고 있습니다. 무해한 앱에도 회사 데이터와 자격 증명이 노출될 수 있는 심각한 보안 결함이 있을 수 있기 때문입니다.11
AI 에이전트는 자격 증명에 접근하는 방식도 다릅니다. 단순히 사용자 로그인만 요구하는 것이 아니라 API 키, OAuth 토큰, 서비스 계정 및 기타 시스템 자격 증명까지 필요한 경우가 많습니다. 이러한 자격 증명은 로컬에 저장되거나, 스크립트에 내장되거나, 브라우저에 저장되거나, 팀원들 사이에서 비공식적으로 공유될 수 있으며, 이는 기존 ID 시스템의 가시성을 벗어나는 부분입니다.
관리되지 않는 앱과 AI 도구는 조직이 보호하지 못하는 관리되지 않는 자격 증명이 하나 이상 있다는 뜻입니다 그로 인해 중앙 집중식 거버넌스 외부에 존재하는 애플리케이션과 자격 증명의 계층이 계속 확장되고 있습니다.
SSO의 한계에 대해 자세히 알아보려면 SSO만으로는 ID 보안에 충분하지 않은 이유 전자책을 읽어보세요.
개발자 시크릿
SSH 키, API 키, 서비스 계정 자격 증명, 환경 변수 및 서버 토큰과 같은 개발자 시크릿은 조직의 가장 중요한 시스템을 여는 열쇠입니다. 이러한 자격 증명은 사용자 비밀번호와 달리 백그라운드에서 조용히 작동하며 애플리케이션, 인프라, 자동화 및 이제 AI 에이전트를 지원하는 경우가 많습니다.
하지만 이러한 시크릿이 기존 ID 시스템 내부에 존재하는 경우는 거의 없습니다. 대신 코드 리포지토리, 로컬 환경 파일, CI/CD 파이프라인, 클라우드 콘솔, 스크립트 및 협업 도구에 저장됩니다. 일관된 거버넌스와 특수 제작 도구가 없으면 이러한 시크릿은 빠르게 확산되고, 모니터링되지 않는 경우가 많습니다.
GitGuardian의 2025년 보고서인 '시크릿 스프롤 현황'은 이 문제가 얼마나 빠르게 가속화되고 있는지 보여줍니다.
2024년에 공개 GitHub 저장소에 하드코딩된 시크릿 23,770,171개가 새로 추가되었습니다.
GitGuardian Report
이 수치는 전년 대비 시크릿 총수가 25% 증가했다는 뜻입니다. 시크릿 스프롤은 시간이 지남에 따라 꾸준히 악화되고 있습니다.12
시크릿 스프롤은 개발자가 실수로 공개 코드에 시크릿 정보를 노출하는 경우를 포함해, 여러 가지 방식으로 발생할 수 있습니다. 그러나 GitGuardian의 보고서는 더 근본적인 우려를 조명합니다. "[소스 코드 관리 도구가 시크릿 감지의 주요 초점이었지만] 시크릿은 팀이 협업하는 어디서든, 종종 Slack, Jira, Confluence와 같은 협업 및 프로젝트 관리 도구에서 나타납니다."13
시크릿을 Slack과 같은 앱을 통해 일반 텍스트로 전송하는 것은 시크릿 관리에 있어 매우 허술한 접근 방식을 보여줍니다. 불행히도 사이버 범죄자들은 이러한 추세를 알고 있습니다. Dark Reading은 "...사이버 범죄자와 국가 차원의 행위자 모두 검증된 전략을 따르고 있으며 '부실한 시크릿 관리'를 악용하여 자신들의 캠페인을 더욱 확대하고 있다"고 보고했습니다.14
이제는 AI가 이러한 역동성을 가속화하고 있습니다. 개발자들이 AI 코파일럿을 사용해 코드를 생성하고, 인프라를 구축하고, 워크플로를 자동화하면서 시스템 자격 증명이 더 빠른 속도로 생성되고 재사용됩니다. 중앙 집중식 관리가 없으면 리포지토리, 프롬프트, 파이프라인 및 에이전트 전반에 걸쳐 시크릿이 증가합니다. 이 모든 것이 기존의 ID 및 접근 관리(IAM)와 권한 접근 관리(PAM) 시스템이 관리할 수 있게 설계된 범위를 훨씬 넘어 ID 표면을 확장하고 있습니다.
How AI is worsening credential sprawl
AI와 에이전틱 AI의 등장으로 현대 업무 환경의 생산성이 크게 향상되었습니다. 그러나 자격 증명 스프롤 속도도 못지않게 급격히 빨라졌으며, 이에 따른 위험도 면밀히 분석해야 합니다.
관리되지 않는 AI 에이전트 접근
AI 에이전트는 완전히 새로운 종류의 ID로, 다양한 수준의 액세스 권한이 필요하지만 보안 도구에 보이지 않는 방식으로 작동합니다.
The Hacker News의 표현을 빌리자면, “AI 에이전트는 고립된 상태로 운영되지 않습니다. 기능을 수행하려면 데이터, 시스템 및 리소스에 액세스할 수 있어야 합니다. 높은 권한을 갖지만 종종 간과되는 이 접근은 API 키, 서비스 계정, OAuth 토큰 및 기타 시스템 자격 증명처럼 사람이 아닌 ID를 통해 발생합니다.”15
모든 NHI는 자격 증명 위험을 내포하고 있으며, AI 에이전트가 이를 사용하는 방식 때문에 스프롤 현상이 크게 증가했습니다. 수치는 저마다 다르지만, 2025년에는 일반적인 기업 환경에서 인간 ID 1개당 8,216개에서 최대 14,417개의 비인간 ID(NHI)가 존재했습니다. 지금도 그 수는 빠르게 증가하고 있습니다.
더 걱정되는 점은 이러한 시스템 ID 중 상당수가 높은 수준의 권한 액세스를 보유하고 있으며, 일반적으로 높은 권한을 가진 사용자에게 적용되는 수준의 면밀한 검토 없이 운영되는 경우가 많다는 것입니다. 실제로 최근 연구에 따르면, 전체 NHI의 38%만이 지난 9개월 내에 활성화되었지만 NHI의 20개 중 1개가 완전한 관리자 권한을 보유하고 있는 것으로 나타났습니다.18
이는 AI 에이전트에게 점점 더 강력한 수준의 액세스 권한이 부여되고 있으며, 이러한 액세스 권한은 보안팀에서 관리하지 않는 경우가 많고, 에이전트가 필요한 수준 이상의 강력한 권한을 보유하는 경우가 많은 것으로 해석할 수 있습니다.
에이전트 애플리케이션과 기능은 전례 없는 속도로 진화하고 있으며, 새로운 도구는 그 위험성을 파악하기 전에 도입되는 경우가 많습니다. 1Password의 VP 및 보안 전략가 제임스 멜러(Jason Meller)는 이러한 도구가 얼마나 강력하고 무서울 수 있는지에 대해 두 개의 블로그 게시글을 작성했습니다.19,20
1Password의 부사장 겸 보안 전략가인 제이슨 멜러(Jason Meller)는 위험을 이렇게 설명합니다. "간단히 말하면, OpenClaw처럼 행동하는 에이전트 게이트웨이는 파일, 도구, 브라우저, 터미널, 그리고 종종 사용자의 사고방식과 구축 중인 내용을 담은 장기 ‘메모리’ 파일에 실제로 접근할 수 있기 때문에 강력합니다."
이러한 조합이 바로 현대의 정보 도용 프로그램이 악용하는 허점입니다.
Jason Meller
Vice President and Security Strategist, 1Password
OpenClaw가 주목을 받은 것은 사실이지만, 이 문제가 한 가지 도구에만 국한된 것은 아닙니다. MIT의 “AI 에이전트 인덱스”에서 연구원들은 에이전트 개발자 대다수가 도구의 보안에 대해 거의 공유하지 않는다는 사실을 발견했습니다. "30개 중 25개 에이전트는 내부 안전 결과를 공개하지 않았고 30개 중 23개 에이전트는 타사 테스트 정보가 없습니다."21 오히려, OpenClaw는 AI 에이전트에 관리되지 않은 수준의 액세스 권한이 주어질 때 발생할 수 있는 보안 위험의 심각성을 나타내는 지표입니다. OpenClaw의 인기와 보안 위험 덕에 보안 팀은 기존의 엔터프라이즈 경계로 에이전틱 AI 문제를 처리할 수 없다는 사실을 빠르게 인식하게 되었습니다.
1Password의 기업 ID 전환에서 프란시스 오둠은 "에이전틱 AI의 확산으로 아이덴티티가 무분별하게 확산되고 심각한 액세스 격차가 발생한다고 한다고 기존 자격 증명은 AI에 맞게 설계되지 않았기 때문에, 위험한 우회 방법이 등장했습니다.22
개발자는 종종 시크릿을 하드코딩하는 방법을 사용합니다. 이로 인해 에이전트에 과도한 권한이 부여되고, 감사 가능성이 제한되며, 데이터 손실 위험이 높아집니다.
Francis Odum
AI로 인해 악화되는 자격 증명 보안 사용 방법
AI 기반 도구는 잘못된 자격 증명 보안 사용 방법을 복제하여 자격 증명 스프롤을 악화시키고 있습니다.
바이브 코딩(생성형 AI를 통한 코드 작성)은 잘못된 보안 습관을 재생산하는 경향이 있습니다. 예를 들어, 바이브 코딩으로 제작된 플랫폼 중 하나인 Moltbook은 데이터베이스가 잘못 구성되어 이메일 주소와 개인 메시지, 백만 개 이상의 API 인증 토큰을 노출시킨 것이 발견되었습니다. 23
다시 말하지만, 이는 단일 플랫폼에만 국한되지 않습니다. GitGuardian에서 마이크로소프트의 AI 어시스턴트인 Copilot 사용 현황을 분석한 결과, Copilot이 활성화된 저장소가 최소 한 가지 이상의 유출된 시크릿을 보유할 확률이 40% 더 높다는 사실을 발견했습니다. 24
바이브 코딩을 사용하면 전반적으로 코딩 경험이 적고 코딩 보안 교육이 부족한 직원도 코드 보안에 적용해야 하는 표준 검사 및 면밀한 검토를 받지 않은 코드를 통과시킬 수 있습니다.
뒤처지고 있는 기존의 ID 보안
직원들이 자격 증명을 사용하고 저장하는 방법은 모니터링하는 것은 항상 어려운 일이었습니다. 하지만 AI는 근본적으로 ID 보안 모델에 변화를 가져왔습니다.
AI 도구 및 에이전트는 사람이 하는 방식으로 자격 증명을 인증하거나, 저장하거나, 사용하지 않으며 대신 임베디드 토큰, API 키, 서비스 계정, 프로그래밍 방식 액세스 패턴에 의존합니다. 이는 지속적으로 작동하고, 쉽게 복제되며, 원래의 목적이 끝난 후에도 오래 유지되는 경우가 많습니다.
기존의 ID 보안 도구는 사람의 행동을 고려해 설계되어 대화형 로그인, 세션 기반 인증, 명확하게 정의된 권한 계층을 포함합니다. 기존 도구는 감독 없이 프로그래밍 방식으로 확장 및 인증하는 자율적인 소프트웨어 ID를 관리하도록 설계되지 않았습니다.
어떤 면에서 이는 거의 의도적인 설계입니다. 사우미트라 다스(Saumitra Das)가 Corporate Compliance Insights에 기고한 기사에서 말했듯이, “본질적으로 자율 에이전트는 할당된 작업을 완료하는 가장 쉽고 효율적인 방법을 찾도록 훈련됩니다. 즉, 가드레일을 피해 가는 방법을 찾을 수 있습니다..."25
AI와 이벤트 기반 자동화가 지금까지 볼 수 없었던 규모의 NHI를 생성함에 따라 기존의 액세스 제어 방식은 적절하지 않다는 것이 빠르게 입증되고 있습니다. TechTarget이 보도한 것처럼, “대부분의 레거시 IAM과 특권 액세스 관리(PAM) 도구는 이 정도 수준의 볼륨과 이탈을 처리하도록 설계되지 않았습니다.”26
이 기사는 국가 보건 기관이 자격 증명을 사용하는 방식과 관련해 몇 가지 문제점을 지적합니다.
NHI는 JSON 토큰, 클라우드 IAM 역할, OAuth2 시크릿, API 키 같은 다양한 인증 방법을 사용합니다. 이들 각각은 고유한 보안 요구 사항을 가지고 있습니다.
NHI는 팀이 다양한 비즈니스 프로세스를 자동화하는 데 필요한 액세스 권한을 확보할 수 있도록 종종 과도한 액세스 권한과 장기간 유지되는 자격 증명을 부여받습니다.
이상 탐지는 AI 에이전트에 문제가 생겼을 때 이를 항상 알아차릴 수는 없습니다. 벗어나는 기준이 되는 '정상적인' 행동 패턴이 실제로 없기 때문입니다.
이러한 각 요소는 기업의 보안 스택의 효율성을 심각하게 손상시킬 수 있습니다.
The costs of credential sprawl
회사 전반에 자격 증명 확산이 심화되면 어떻게 되나요? 보안 침해 발생 시 폭발 반경 증가부터 보안 태세, 규정 준수 및 사고 대응을 관리하는 데 시간이 많이 걸리는 수동 프로세스에 이르기까지 비용은 다양한 방식으로 나타납니다.
규정을 지키지 못함
IT 팀과 보안 팀은 SOC 2, PCI DSS, ISO 27001:2022, HIPAA 같은 규제 표준을 달성하고 준수를 증명해야 하는 어려운 과제에 지속적으로 직면하고 있습니다.
각 표준에는 자격 증명의 안전한 사용 및 저장과 관련된 요구 사항이 있습니다. 예를 들어, PCI DSS는 "감사 로그는 식별 및 인증 자격 증명의 모든 변경 사항을 캡처해야 한다..."27 을 요구합니다.
SOC 2 역시 마찬가지로 자격 증명에 대한 접근 권한 부여 방식과 관련된 다양한 요구사항을 가지고 있으며, "조직은 개인이 더 이상 접근 권한이 필요하지 않을 때 자격 증명 접근을 제거하는 프로세스를 구현해야 한다"는 요건도 포함됩니다.28 SOC 2는 이러한 요구 사항을 사용자 자격 증명 접근뿐만 아니라 '내부 및 외부 인프라 및 소프트웨어'가 자격 증명에 접근하는 방법까지 확장한다는 점에 주목할 필요가 있습니다.
규제 기관은 기업들이 민감한 정보를 보호하기 위해 세심한 주의를 기울였음을 증명할 수 있기를 기대합니다. 자격 증명 관리와 관련해 '실사'는 자격 증명이 어디에서 어떻게 사용되는지 관리자가 감독할 수 있는 필수 도구를 구현하는 것을 의미합니다. 자격 증명 스프롤은 기업의 역량을 근본적으로 약화시킵니다.
또한, 보안 도구가 AI 붐에 뒤처지고 있어도 규제 당국이 기업에 느슨한 태도를 취하지 않을 것입니다. 오히려 감시를 강화하고 있습니다. 이타마르 아펠블랏(Itamar Apelblat)은 BleepingComputer의 기사에서 "이러한 각 프레임워크에서 조직은 규제된 데이터와 규제된 워크플로에 일어나는 일에 대해 책임을 져야 합니다. AI 에이전트가 이러한 시스템 내부에서 행동하는 경우 책임이 사라지지 않습니다”라고 지적했습니다.29
위험 노출
규정 준수 표준에서 자격 증명 및 액세스 관리를 강조하는 이유는 어렵지 않게 이해할 수 있습니다. 쉽게 말하자면 자격 증명 스프롤은 조직의 사이버 공격 위험을 크게 증가시킵니다.
유출된 자격 증명은 오랜 기간에 걸쳐 공격자들이 가장 자주 악용하는 진입점으로 사용되었습니다30. 지난 3년 동안 중대한 침해 사고를 겪은 CISO의 50%가 유출된 자격 증명을 근본 원인으로 지목했습니다.31
자격 증명 스프롤은 회사의 공격 표면을 크게 증가시킵니다. 보안 및 IT 감독 없이 저장된 자격 증명은 악의적 행위자가 시스템을 침해할 수 있는 기회를 제공합니다. 자격 증명 스프롤이 급속히 퍼지면서 기업은 그 어느 때보다 더 많은 위험에 직면하고 있습니다.
2025년에 IBM이 보고한 바에 따르면, 전체 보안 침해의 20%를 섀도우 AI가 차지했고, AI 관련 보안 침해의 97%는 적절한 액세스 제어가 없는 AI와 관련이 있다고 합니다. IBM은 또한 “...데이터는 대부분 여러 환경에 저장되는데, 모니터링되지 않는 AI 시스템이 단 하나만 발견되어도 광범위하게 노출될 수 있습니다"라고 지적했습니다.32
사건 대응
침해 및 사고 대응은 그 자체로도 비용과 시간이 많이 소요되는 프로세스입니다. 자격 증명 스프롤은 이 문제를 악화시킬 뿐입니다. 예를 들어, 섀도우 AI가 관련된 경우에는 침해 대응 비용이 늘어나고 과정이 더 복잡해집니다. 섀도우 AI가 포함된 침해 사고는 그렇지 않은 유사한 침해 사고에 비해 비용이 최대 67만 달러 더 들 수 있습니다.33
GitGuardian에 따르면 2022년에 유출된 시크릿 중 70%가 2025년에도 여전히 사용 가능했다고 합니다.34 이는 무척 염려되는 수치입니다. 유출된 자격 증명이 자동으로 만료되지도 않고 팀에서 주기적으로 교체하지도 않아서 일반적인 비즈니스 프로세스로는 제대로 조처하지 못하고 있음을 보여줍니다. 더구나 이러한 기존 문제가 해결되지 않고 있기 때문에, IT 및 보안 팀은 새로운 침해가 발생할 때마다 범위와 복잡성이 계속 커지는 위험을 마주하고 있습니다.
TechTarget이 보도했듯이, NHI와 에이전틱 AI로 인해 이 문제가 더욱 복잡해집니다. "많은 조직이 NHI를 클라우드 환경을 연결하기 위해 사용하기 때문에... 시크릿은 여러 시스템에 걸쳐 중복되거나 재사용되어, 단일 신원이 유출되면 복구와 순환이 어렵습니다."35
Solutions for credential sprawl
기존의 IAM 전략만으로는 자격 증명 스크롤을 관리하기에 충분하지 않습니다. 오히려 팀은 여러 각도에서 문제에 접근하려고 노력해야 합니다.
자격 증명 관리
자격 증명 스프롤은 비밀번호 관리에서 시작됩니다. 비밀번호기 수년 동안 보안 팀의 골칫거리였지만, 안타깝게도 여전히 많은 기업에서 비밀번호를 제대로 관리하지 못하고 있으며, 오늘날의 팀은 그 어느 때보다 더 많은 로그인과 함께 더 많은 도구를 실행하고 있습니다.
명확한 전략이 없으면 자격 증명 스프롤은 관리되지 않은 채로 확산됩니다. 최근 블로그에서 자세히 다룬 것처럼,36 자격 증명 관리는 자격 증명이 어떻게 사용되고 있는지를 다루는 전략이 필요합니다. 다음을 위한 시스템이 필요합니다.
적용 범위는 비밀번호, 패스키, API 토큰, SSH 키, NHI, AI 에이전트 시크릿 등 보호해야 할 자격 증명을 의미합니다.
제어, 즉 자격 증명이 관리되는 방식: 자격 증명이 저장될 수 있는 위치, 공유 방법, 적용되는 규칙 및 해당 규칙이 시행되는 방식.
수명주기: 자격 증명이 변화하는 방식(생성, 소유권, 순환, 해지, 증명)을 의미하며, 특히 인간 및 기계 ID의 역할과 권한이 변화할 때 이러한 변화가 어떻게 일어나는지를 나타냅니다.
이 모든 요구 사항을 충족하기 위한 첫 번째 단계는 엔터프라이즈 비밀번호 관리자(EPM)입니다. EPM은 비밀번호만 다루는 것이 아니라, 강력한 자격 증명 관리 전략의 각 축을 이루는 중요한 요소입니다. 분석가 겸 연구원인 프란시스 오덤(Francis Odum)에 따르면 "1Password의 아키텍처의 핵심은 엔터프라이즈 비밀번호 관리(EPM) 입니다. 이 영지식 저장소는 인간 사용자와 비인간 ID(NHI) 모두를 아우르는 단일 '모든 직원 자격 증명 기록 시스템' 역할을 합니다...”37
그러나 1Password의 조사에 따르면, 회사에서 제공하는 비밀번호 관리자를 사용하는 직원은 약 38%에 불과합니다.38
1Password와 같은 EPM은 기업들이 자격 증명 스프롤을 억제하고 에이전틱 AI 사용을 관리하는 데 필수적인 도구입니다.39 자격 증명 사용 방식을 중앙에서 확인할 수 있도록 하여, 관리자가 역할 기반 볼트 접근을 통해 최소 권한 접근 원칙을 적용할 수 있도록 합니다. 체계적인 온보딩 및 온보딩 워크플로우는 사용자가 업무 수행에 필요한 자격 증명, 패스키, 시크릿에만 접근할 수 있도록 합니다. 그리고 중요한 것은 EPM이 마찰 없이 개발자 워크플로우와 AI 기반 자동화로 보호 기능을 확장한다는 점입니다.
자격 증명이 암호화되므로, 정보 탈취자 및 기타 표적 공격이 접근할 수 없습니다. 1Password의 침해 모니터링은 관리되는 자격 증명이 손상된 경우 사용자 및 관리자에게 최대한 빨리 알립니다.40
요약하자면, 모든 업무용 앱에 대한 자격 증명은 안전하게 중앙 집중식으로 관리되므로 IT 부서에서 직원 접근 권한을 쉽게 감독하고, 온보딩 및 오프보딩을 관리하고, 비밀번호 시스템의 강도와 보안 수준을 측정할 수 있습니다.
EPM의 효울성에서 중요한 요소는 자격 증명 거버넌스를 전면적으로 배포해야 한다는 점입니다. 기업은 모든 개인, 에이전트, 시크릿 및 워크플로우에 대해 자격 증명 관리를 시행해야 합니다. ID 정보의 일부만 보호하는 방식으로 보안을 유지할 수 없습니다.
AI 에이전트와 사람을 위한 통합 액세스 관리
AI 자격 증명 스프롤은 기업 내에서 권한이 위임되는 방식에 근본적인 변화를 반영합니다. AI 시스템은 더 이상 인간을 돕는 도구가 아닙니다. 에이전트가 애플리케이션, 데이터, 워크플로에 독립적으로 액세스하여 행동하는 경우가 점점 더 늘어나고 있습니다. 하지만 대부분의 액세스 제어는 여전히 키보드에 사람이 있다고 가정합니다.
직원, 특히 개발자들은 생산성 향상을 위해 AI 도입을 권장하지만, 에이전트와 기계 신원에 대한 접근 권한을 안전하게 위임할 수 있는 전용 도구가 없으면 직원들은 기존의 보안 도구 밖에서 위험한 우회 방법을 택하게 됩니다. AI 자격 증명 스프롤을 해결하려면 작업 흐름을 늦추지 않으면서 비인간 접근을 관리하는 도구가 필요합니다.
1Password® Unified Access는 팀에 다음과 같은 도움을 드립니다.
위험 발견: 개발자 및 최종 사용자 장치에서 실행되는 관리되지 않는 AI 도구와 에이전트를 식별하고, 로컬 파일 및 개발자 환경에 저장된 자격 증명과 시크릿을 탐지합니다.
자격 증명 보호: 노출된 자격 증명을 볼트에 저장하고 위험한 AI 도구 및 에이전트에 대한 접근을 제거합니다. 런타임 시 에이전트, 자동화, CI/CD에 자격 증명을 제공하여 장기간 유지되는 시크릿을 줄이고, 자격 증명이 필요할 때만 사용되도록 합니다.
감사 에이전트 활동: 모든 활동에 대한 명확한 귀속 정보를 확보하여 자격 증명이 언제, 어떻게 사용되고 누가 사용하고 있는지(사람, 에이전트, 시스템 전반에 걸쳐)를 보여줍니다.
SaaS 관리
자격 증명 남용 문제와 SaaS 스프롤 현상은 불가분의 관계에 있습니다. IT팀과 보안팀이 자격 증명이 어디에, 어떻게 저장되는지 효과적으로 파악하려면 직원들이 어떤 애플리케이션을 사용하는지 알아야 합니다.
하지만 SaaS 확산의 안타까운 현실은 팀이 이를 수작업으로 통제하기 위한 시간이나 인력을 확보하는 것이 거의 불가능하다는 점입니다.
1Password SaaS Manager는 자동화를 통해 이 문제를 해결합니다.41 40,000개 이상의 앱 통합을 통해 팀은 SSO로 보호할 수 없는 앱을 포함하여 직원들이 사용하는 앱의 전체 인벤토리를 구축하고 유지 관리할 수 있습니다. 여기에는 조직 전체에서 섀도우 IT와 섀도우 AI 앱의 사용을 파악할 수 있도록 지속적으로 앱을 탐지하는 기능이 포함됩니다
자동화된 온보딩 및 오프보딩 워크플로를 통해 팀은 직원의 앱 액세스가 필요할 때만 제공되도록 할 수 있으며, 오프보딩된 직원으로부터의 승인되지 않고 부적절한 액세스 위험을 방지할 수 있습니다.
사용 중인 애플리케이션을 식별하고, 이들이 회사 승인을 받았는지 여부를 파악하는 것은 모든 자격 증명이 안전하게 사용 및 저장되고 있는지 확인하는 중요한 단계입니다. 애플리케이션 표면의 일부라도 관리되지 않으면, 완벽한 자격 증명 보안을 달성할 수 없습니다.
AI is here: do you know where your credentials are?
자격 증명 스프롤은 새로운 문제라고 할 수 없습니다. 하지만 개선되기보다는 악화되는 것처럼 보입니다. 여러 연구에 따르면 자격 증명 관리 관행이 꾸준히 쇠퇴하고 있으며, 팀들은 점점 증가하는 엔드포인트와 앱에 걸쳐 끊임없이 증가하는 수의 자격 증명에 직면하고 있습니다. 자격 증명은 코드베이스, Slack 메시지, AI 챗봇, 스프레드시트 등에 저장되어 있고, 여전히 포스트잇에 적혀 있을 수도 있습니다.
자격 증명 관리는 그 어느 때보다 중요해졌습니다. 쉽게 말하자면, 관리되지 않은 모든 자격 증명은 전체 생태계를 위험에 빠뜨립니다. 자격 증명이 완전히 보호되지 않는 비즈니스에는 보안되지 않은 액세스 포인트가 무수히 많을 수 있습니다.
보안을 최우선으로 생각하는 기업에 있어 엔터프라이즈 비밀번호 관리는 선택 사항이 아닌 필수 솔루션입니다. 특히 인공지능(AI)의 급속한 발전으로 기본적인 자격 증명 제어 기능을 도입해야 할 필요성이 더욱 절실해졌습니다. 1Password는 기업이 회사 생태계 전반에서 자격 증명 사용 방식을 효과적으로 관리하고 통제할 수 있도록 지원하는 핵심 솔루션입니다. 비밀번호 관리자의 강력한 보안을 기반으로 스프레드시트에서 AI 에이전트에 이르기까지 어디서든 자격 증명을 관리할 수 있는 시스템을 구축하고 있습니다.
Additional sources:
3, 30 데이터 유출 조사 보고서, Verizon, 2025 (PDF)
8 업무 현장의 비즈니스 , Okta, 2025
12, 13, 24 시크릿 스프롤 현황, GitGuardian, 2025(PDF)
17, 18, 34 NHI 및 시크릿 리스크 보고서, HubSpot, 2025(PDF)
27 PCI DSS: v4.0.1, PCI 보안 표준 위원회, 2024
32, 33 데이터 유출 비용 보고서, IBM, 2025