Teleport의 연구에 따르면 AI 시스템에 과도한 접근 권한을 부여한 엔터프라이즈가 제한적 권한 부여 조직 대비 4.5배 많은 보안 사건 경험

Context

엔터프라이즈 인프라에서 AI 채택이 급속도로 확대되면서 기존 신원 관리 체계가 따라가지 못하고 있다. 92%의 조직이 이미 프로덕션 인프라에서 AI를 운영 중이지만, 85%의 보안 리더가 관련 위험을 우려하고 있으며, 59%는 AI 관련 보안 사건을 경험했거나 의심하고 있다.

Technical Solution

• 광범위한 접근 권한 제거: 광범위한 권한을 부여한 조직(76% 사건율) → 특정 작업에 필요한 최소 권한만 부여(17% 사건율)로 전환
• 정적 자격증명 제거: 67%의 조직이 사용 중인 정적 자격증명을 단기 유효 및 범위 제한 자격증명으로 교체
• 통합 신원 계층 도입: 인간 사용자와 AI 에이전트 모두에 대해 통합된 신원 관리 체계 구축
• 기계 속도의 거버넌스 제어: 수동 검토 대신 자동화된 제어를 기계 속도로 운영하여 AI 행동 거버넌스
• AI 자율 행동 모니터링: 43%의 조직이 월 1회 이상 인간 감시 없이 인프라 변경이 발생하고 있으므로, 모니터링 및 감시 메커니즘 강화

Impact

• 광범위한 권한과 최소 권한 부여 간 사건율 차이: 76% vs 17% (59%포인트 격차)
• 정적 자격증명 사용 시 사건율 20% 증가
• 보안 리더의 과신과 실제 사건 간 역상관: 높은 신뢰도 조직의 사건율이 낮은 신뢰도 조직 대비 2배 초과
• 자동화된 제어 보유 조직: 3%만 기계 속도의 AI 행동 제어 구현
• 형식적 AI 거버넌스 부재: 43%는 공식적 거버넌스 제어 없음, 추가 21%는 전혀 없음

Key Takeaway

AI 시스템의 보안 위험은 AI 자체의 문제가 아니라 부여된 접근 권한의 과도함에서 비롯된다. 조직은 정적 자격증명 대신 단기 유효하고 범위 제한된 자격증명을 도입하고, 수동 검토가 아닌 자동화된 기계 속도의 제어를 통해 최소 권한 원칙을 AI 에이전트에 적용해야 한다.