티스토리 뷰
* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.
과학기술정보통신부와 개인정보보호위원회는 정보보호 관리체계(ISMS) 인증제도의 실효성을 강화하기 위해 비인간 식별자(NHI, Non-Human Identity)의 전체 생명주기 관리를 의무화하는 개편안을 발표했다.
2027년부터 시행되는 이번 개편은 기존 인간 계정 중심의 보안 체계를 시스템, 봇, API 키 등 비인간 계정 영역으로 대폭 확장하는 것을 담고 있다.
1. 규제 개편 배경
최근 3년간 ISMS·ISMS-P 인증을 보유한 기업 중 약 14%(179개사)에서 침해사고가 발생하며 인증제도의 실효성 문제가 제기되었다.
사고 분석 결과, 인간 계정의 패스워드 탈취보다 관리되지 않은 API 키, 토큰, 서비스 계정 자격증명 노출이 주요 침입 경로로 확인되었다.
1) NHI는 인간 계정과 달리 다중인증(MFA) 적용이 어렵고 로그인 실패 알림 기능이 미비하다.
2) 퇴직자의 계정은 인사 시스템과 연동되어 정지되지만, 해당 인원이 발급한 API 키는 별도로 추적하지 않으면 유효하게 남는 경우가 많다.
3) 클라우드 및 자동화 환경 확산으로 기업 내 인간 대비 비인간 계정의 비율은 1:149를 넘어서 비중이 크게 증가했으나, 기존 심사에서는 이 영역이 거의 다뤄지지 않았다.
2. 주요 변경 사항
인증 기준은 기업 규모와 위험도에 따라 강화(Advanced), 표준(Standard), 간편(Lite) 3단계로 구분된다.
2027년 의무 적용되는 강화인증은 기존 101개 항목에 20개의 강화 기준이 추가된다.
강화인증 대상: 매출액 1조 원 이상의 주요 ISP 및 IDC, 매출액 3조 원 이상의 정보통신서비스 제공자.
강화인증 대상은 아래와 같이 다른 인증 대상들과 차별점이 생긴다.
1. 서비스·시스템 계정의 생성부터 폐기까지 전 과정을 자동화된 계정 관리 메커니즘으로 관리하고 실시간 반영해야 한다.
2. 액세스 토큰과 API 키의 인벤토리를 구축하고 발급, 갱신, 폐기 이력 등 인증 정보를 체계적으로 관리해야 한다.
3. 실무 점검 및 심사 대응 가이드라인
2027년부터는 서면 중심의 심사에서 탈피하여 취약점 점검 인력이 최대 500대의 자산을 직접 점검하는 현장 실증형 심사로 전환된다.
- 깃허브(GitHub) 등 공개 저장소의 커밋 히스토리를 포함한 전수 스캔이 필요하다. 슬랙, 노션, 지라 등 협업 도구 내 방치된 자격증명과 컨테이너 이미지 환경변수까지 포함해야 한다.
- 생명 주기 점검의 일환으로, 마지막 사용일 기준 90일 이상 미사용된 자격증명은 폐기 대상으로 분류한다. 무기한 키는 유효기간 설정을 검토하고, 인사 프로세스와 자격증명 폐기 절차를 연동해야 한다.
- 비정상적 시간·지역에서의 사용이나 대량 API 호출에 대한 이상 탐지 설정을 확인한다. 정책 서류 외에 운영 데이터, 1년간의 갱신·폐기 이력, 로그 등 실질적인 운영 증적도 요구된다.
4. 리스크 기반 4단계 대응 로드맵
정부는 2024년 하반기 인증기준서 개선 및 가이드라인 배포를 시작으로 단계적 대응을 권고한다.
| 단계 | 기간 | 주요 과제 |
| 1단계: 즉시 | - | 공개 저장소 히스토리 포함 전수 스캔, 노출된 키 폐기 및 재발급, 퇴직자 발급 키 점검 |
| 2단계: 단기 | 3개월 내 | 전체 자격증명(API 키, 토큰, 서비스 계정) 인벤토리 구축 및 위험도 기반 분류 |
| 3단계: 중기 | 6~12개월 내 | 자격증명 탐지·순환(Rotation)·폐기 자동화 파이프라인 구축, 인사 시스템 연동 |
| 4단계: 시행 대비 | 2027년까지 | 현장 실증 심사에 대비한 운영 데이터 및 로그 확보, 자동화 설정 화면 등 증적 준비 |
이번 개편은 국내 보안 규제가 서류 중심의 컴플라이언스에서 실질적인 보안 역량 검증으로 전환되는 기점이라고 할 수 있다.
기업은 비인간 식별자 관리를 의무 관리 영역으로 인식하고 조속히 대응 체계를 갖추어야 한다.
https://www.boannews.com/media/view.asp?idx=143332
“보안 도구가 도리어 흉기로”… 팀PCP, KICS 공급망 타격
해킹 그룹 팀PCP(TeamPCP)가 공식 도커 허브 저장소인 ‘checkmarx/kics’에 악성코드를 삽입한 가짜 이미지를 주입해 공급망 공격을 감행했다.
www.boannews.com
'보안전문가로 취업할래요 > 보안컨설팅' 카테고리의 다른 글
| 빅테크 기업의 defensive AI 실태 조사하는 미국 정부 (0) | 2026.05.04 |
|---|---|
| [제6차 양자보안 포럼] 2030년까지 PQC 체제로 옮기려는 국가적 노력 (0) | 2026.04.30 |
| 생성형 AI의 시대, ‘개인정보 처리방침 작성지침’ 개정안 분석 (1) | 2026.04.25 |
| 비즈니스는 완벽한 방어가 아니라 신속한 회복 그리고 수치화 (0) | 2026.04.23 |
| 개정되는 공공 부문 정보시스템 등급제 (0) | 2026.04.17 |