피드로 돌아가기
Non-Human Identity Governance: Field Tips for 2026
Dev.toDev.to
Security

NHI 비율 144:1 돌파에 따른 책임 기반 거버넌스 체계 구축

Non-Human Identity Governance: Field Tips for 2026

Indra Gusti Prasetya2026년 6월 6일7intermediate

AI 요약

Context

인간 사용자 대비 Non-Human Identity(NHI)의 기하급수적 증가로 인한 관리 사각지대 발생. 정적 자격 증명의 장기 보유와 소유주 부재로 인한 Secret Leakage 및 과도한 권한 부여가 보안 취약점의 핵심 병목으로 작용.

Technical Solution

  • 저장소 중심이 아닌 Identity 중심의 통합 인벤토리 구축을 통한 전수 가시성 확보
  • 정적 Access Key를 OIDC 기반의 Workload Identity Federation으로 교체하여 Secret 저장소 제거
  • Token TTL에 하드 캡을 설정하고 Machine-to-Machine 통신 시 분 단위 단기 자격 증명 강제
  • Pre-commit 및 Server-side 스캔의 이중 구조 설계를 통한 Secret Leakage 원천 차단
  • Terraform Validation을 활용한 생성 시점의 Owner 태그 강제 부여로 책임 추적성 확보
  • CloudTrail 기반의 실제 사용 데이터 분석을 통한 Least Privilege 권한 재설계

실천 포인트

1. 모든 NHI 생성 시 Owner 태그를 필수 값으로 설정했는가?

2. CI/CD 파이프라인에서 정적 Key 대신 OIDC 단기 토큰을 사용하는가?

3. 90일 이상 미사용된 권한을 자동으로 식별하고 제거하는 프로세스가 있는가?

4. Secret 스캔이 Git Push 이전(Pre-commit)과 이후(Server-side) 모두 적용되었는가?

태그

#Least Privilege#Non-Human Identity#Identity Governance#Secret Scanning#OIDC
원문 읽기