보안팀도 손 못 대는 시한폭탄?

보안팀이 손댈 수 없는 영역, '비인간 신원(NHI)'의 역습

사람보다 100배 많은 '시스템 계정', 과연 안전할까요?

"퇴사자는 떠났지만, 그가 만든 API 키는 여전히 시스템을 활보하고 있습니다."

2025년, 보안 업계의 판도가 바뀝니다. OWASP는 '비인간 신원(NHI·Non-Human Identities)' 위협을 2025년 Top 10으로 선정하며 경종을 울렸습니다. 해커들은 이제 단단한 '정문(사람의 ID)' 대신, 관리가 소홀한 '개구멍(API 키, 토큰)'을 통해 당당히 걸어 들어오고 있습니다.

💡 NHI(비인간 신원)란?

사람이 아닌 '시스템 주체'가 사용하는 디지털 신분증입니다.
API 키, OAuth 토큰, 서비스 계정, SSH 키, 암호화 키 등이 모두 여기에 해당합니다. 우리가 잠든 사이에도 서버와 서버, 클라우드와 앱을 연결하는 보이지 않는 연결고리들이죠.

NHI가 '시한폭탄'이 된 3가지 이유

• ① 방어막이 없다 (No MFA) 사람은 비밀번호가 털려도 2차 인증(OTP)이 막아주지만, API 키는 '정적 시크릿'입니다. 유출되는 순간, 해커는 시스템 프리패스 권한을 얻습니다.
• ② 너무 많고 분산되어 있다 클라우드 보안 연합(CSA)에 따르면 NHI는 사람 계정보다 45배에서 100배 더 많습니다. 개발자, 인프라팀, 심지어 AI까지... 여기저기서 생성되지만 관리는 안 됩니다.
• ③ 주인이 없는 '좀비 계정' 입사/퇴사 시스템과 연동되지 않습니다. 프로젝트가 끝나거나 담당자가 퇴사해도 NHI는 '활성 상태'로 남아 시스템 구석에 방치됩니다.

이미 뚫리고 있다: 주요 피해 사례

🚔 우버(Uber): 하드코딩된 관리자 자격증명 하나로 AWS 콘솔까지 침투 허용.
🚔 마이크로소프트(MS): 관리되지 않은 레거시 OAuth 앱을 통해 러시아 해커 침입.
🚔 스노우플레이크: 165개 고객사 인스턴스 침해.

*이들의 공통점은 '고도화된 해킹 기술'이 아닌, 관리되지 않은 NHI를 통한 '정문 입장'이었다는 점입니다.

AI 시대, 위협은 더 커졌다

최근 확산되는 AI 에이전트(MCP 등)는 상황을 더 복잡하게 만듭니다. AI가 깃허브나 슬랙에 접근하기 위해 사용하는 API 키들이 설정 파일에 평문으로 저장되는 경우가 많기 때문입니다. 프롬프트 인젝션 공격이 NHI 탈취와 결합되면, 그 피해 규모는 상상을 초월할 수 있습니다.

🔒 현실적인 NHI 보안 전략 3단계

STEP 1. 가시성 확보 (관리대장화)
"누가, 왜 만들었는가?" 지금 당장 사내의 모든 키를 전수조사하여 IT 자산처럼 관리해야 합니다.

STEP 2. 시크릿 매니저 도입
소스코드에 박힌 하드코딩 키를 제거하고, 전문 관리 도구(Secret Manager)로 이관하여 접근을 통제하세요.

STEP 3. 키리스(Keyless) 아키텍처
궁극적인 해답입니다. 영구적인 키 대신, 필요할 때만 발급받고 사라지는 단기 자격증명 체계로 전환해야 합니다.

"NHI 보안은 더 이상 '나중에'가 아닙니다.
개발팀과 보안팀의 경계를 허물고, 지금 당장 좀비 키를 찾아야 할 때입니다."