Non-human Identity 관리를 위한 자동 Revocation 및 Resource-scoped RBAC 구현

Context

AI Agent 및 스크립트 사용 증가로 인한 Non-human Identity의 Credential 유출 리스크 확대. 기존의 광범위한 Permission 설정으로 인해 단일 토큰 유출 시 계정 전체 권한이 노출되는 과도한 권한 부여 구조의 한계 발생.

Technical Solution

• GitHub Secret Scanning 연동을 통한 Leakage 감지 시 Webhook 기반의 즉각적인 Token 자동 Revocation 체계 구축
• Token 내 Checksum 포함 설계로 유효성 검증 속도를 높이고 오탐(False Positive)을 줄인 Scannable Token 도입
• DLP(Data Loss Prevention) 프로파일을 Gateway, Email, CASB, AI Gateway에 통합 적용하여 실시간 전송 데이터 내 토큰 차단
• Account/Zone 단위의 포괄적 권한을 넘어 특정 리소스에만 적용되는 Resource-scoped RBAC를 통한 Least-privilege 아키텍처 구현
• OAuth Visibility 강화를 통해 Principal별 접근 권한의 가시성을 확보하고 미사용 앱의 권한을 회수하는 Lifecycle 관리 체계 마련