25일 서울에서 진행된 세일포인트(SailPoint)의 ‘아이덴티티 보안 핵심 트렌드와 전략’ 보고서 발표 현장은 올해 뜨겁게 달아오른 보안 이슈들을 정리하고 새로운 방향성을 제시하는 자리였다.
지정권 세일포인트 한국 지사장은 인사말에서 “2025년은 보안 관련 화두가 유난히 많았던 해”라고 평가하며, 기업들이 당면한 복잡한 문제들(급증하는 보안 위협, 빠르게 진화하는 인증 환경, AI 도입 압력 등)에 대해 아이덴티티 보안의 관점에서 실질적인 해답을 제시하고자 한다고 운을 뗐다.
지 지사장은 세일포인트가 매년 글로벌 본사와 APJ 리전에서 ‘내비게이터(Navigate)’라는 이름의 행사를 통해 향후 공개될 신기능과 기술 방향성을 소개해 왔다고 설명하며 “이번 발표는 단순한 기능 나열이 아니라, 국내 기업들이 내년 보안 전략을 수립하는 과정에서 직접 활용할 수 있는 정보들을 제공하기 위한 자리”라고 강조했다.
이날 공개된 2025~2026 아이덴티티 보안 트렌드 보고서는 전 세계 조직의 63%가 여전히 성숙도 1~2단계의 초기 수준에 머물러 있다는 충격적인 사실을 보여준다. 기술 발전으로 성숙도 평가 기준은 계속 상향되고 있지만 기업의 내부 체계는 그 속도를 따라가지 못하는 상황이다. 반면 일부 선도 기업들은 AI 기반 아이덴티티 보안을 적극 도입하며 기술 고도화 가능성이 4배 이상 높고, 비용 절감·생산성 향상·리스크 감소 효과까지 폭넓게 경험하고 있다. AI·데이터·보안을 통합한 체계를 갖춘 기업일수록 ROI 역시 월등히 높은 것으로 나타났다.
이처럼 날로 보안 격차가 커지는 가운데, 테크42는 방한한 세일포인트 첸 위 보이(Chen Wee Boey) APJ 총괄 사장을 만나 보고서만으로는 설명되지 않는 현장의 맥락을 보다 깊이 있게 들을 수 있었다.
지난 4년간 성숙도 기준은 계속 올라갔다지만… AI가 기준 자체를 다시 만들고 있어
보고서가 제시한 지난 4년의 성숙도 변화는 빠르고 복잡하다. 한때 자동화 없이도 관리할 수 있던 IAM 기반의 권한 체계는 이제 자동화와 라이프사이클 관리가 기본 요건이 되었고, 여기에 머신 아이덴티티와 AI 에이전트까지 새롭게 포함되면서 관리 범위는 폭발적으로 넓어졌다. 사실상 아이덴티티의 개념 자체가 재정의된 셈이다.
세일포인트는 2022년까지만 해도 직원·외주 인력 중심의 아이덴티티 관리가 주류였지만, 이제는 머신 아이덴티티와 AI 에이전트가 전체 접근 요청의 상당 비중을 차지한다고 설명한다. 기업들은 더 많은 종류의 아이덴티티를 더 빠른 속도로 처리해야 하고, 이 과정에서 보안성을 유지하기 위해서는 자동화된 체계와 데이터 중심 접근이 필수라는 것이 보고서의 분석이다. 이와 관련 첸 위 보이 사장 역시 “아이덴티티가 무엇을 의미하는지 자체가 완전히 달라지고 있다”고 설명했다.
“과거에는 ‘누가 접근하는가?’라는 질문이 직원과 외주 인력을 구분하는 수준에 그쳤습니다. 이러한 시기는 바로 1.0 시대라고 볼 수 있는데요. 지금보다 훨씬 단순했던 IGA(Identity Governance and Administration, 아이텐티티 및 거버넌스 관리) 중심의 시대였습니다. 그리고 이어서 2.0 전환이 찾아왔습니다. 저희는 IGA에서 아이덴티티 보완에 초점을 맞춰 변화하게 되었습니다. 저희가 지금까지 구현했던 수천 건의 경험에서 배운 모든 것들을 SaaS(서비스형 소프트웨어)로 옮기게 되었습니다. 클라우드, 즉 AI 기반의 데이터를 인식하는 스마트하고 확장하는 아이덴티티 보안을 구축한 거죠. 하지만 현재는 어떤가요? 지금은 봇·머신·AI가 모두 새로운 아이덴티티로 편입되면서 기업 내부에서 감당해야 할 범위가 폭발적으로 늘어났습니다.”
“앞으로 18개월 안에 AI 에이전트가 직원 수를 넘어설 것”… 기업을 위협하는 새로운 현실
첸 위 보이 사장은 재차 “AI 에이전트 증가가 보안 위협의 구조 자체를 바꿔놓고 있다”고 강조했다. 그러면서 “가까운 시일 내에 많은 기업에서 AI 에이전트의 수가 인간 직원 수보다 많아지는 상황이 현실로 다가올 것”이라고 말했다. 이러한 변화는 단순한 증가가 아니라, 관리되지 않은 AI가 기업 내부에서 어느 지점에 접근하고 어떤 행동을 하고 있는지 조직 스스로 파악하지 못하는 매우 심각한 위험을 초래한다.
그는 실제 사례를 통해 이 위험을 설명했다. 한 글로벌 기업은 어느 날 프로덕션 환경에서 47개의 미등록 AI 에이전트가 이미 운영 중이었다는 사실을 뒤늦게 발견했다. 이 에이전트들은 마케팅, DevOps, 재무 등 서로 다른 팀에서 각각 사용되었지만, 어느 누구도 이들이 존재한다는 사실조차 알지 못했다. 이는 관리되지 않은 AI 에이전트가 얼마나 쉽게 보안 블라인드 스팟으로 자리 잡을 수 있는지를 보여주는 상징적인 사례다.
보고서 역시 이와 같은 위험을 지적하며, AI 확산 속도는 전통적인 IAM 체계로는 대응하기 어렵고, 따라서 자동화와 실시간 대응 체계를 결합한 ITDR(Identity Threat Detection & Response)이 필수적인 요소가 되고 있다고 설명한다.
성숙한 기업은 왜 더 빨리 AI를 도입하고 더 안정적으로 운영할까?
세일포인트의 보고서가 보여주는 흥미로운 지점은, 성숙도가 높은 기업들이 AI 도입 과정에서 자연스럽게 속도와 효율성을 확보한다는 사실이다. 이들은 자동화 기반의 아이덴티티 데이터 정리, 표준화된 애플리케이션 온보딩, 라이프사이클 동기화 등을 이미 기반으로 갖추고 있어 새로운 기술을 적용해도 내부 혼란이 거의 없다.
반대로 성숙도가 낮은 기업들은 AI 도입을 진행할수록 보안 노출과 운영 혼선이 커지는 구조적 한계를 보여준다. 내부 정책이나 데이터 품질이 정비되지 않은 상태에서 AI 기능을 도입하면 비인가 접근·권한 충돌·데이터 무결성 저하 등이 연쇄적으로 발생하며, 이는 조직 전체의 통제력을 약화시키는 주요 요인이 된다. 결과적으로 이러한 기업은 기술을 빠르게 도입하려는 의지를 갖고 있어도 실질적으로는 더 많은 위험을 떠안게 되며, 시장 경쟁력도 자연스럽게 떨어진다.
“IGA 시대는 이미 끝났다”… 실시간·맥락 기반의 ‘적응형 아이덴티티’로의 전환
IGA 모델이 시대적 한계를 지적한 첸 위 보이 사장은 “과거 IGA는 승인이 필요한 순간에 필요한 권한을 제공하는 방식으로 운영됐지만, AI·머신 아이덴티티·글로벌 SaaS가 결합된 오늘의 환경에서는 더 이상 현실적인 접근 방식이 될 수 없다”고 설명했다.
그러면서 그는 현대의 보안 관제 체계 설명과 함께 “기업은 접근 요청이 일어나는 시점과 장소, 장치, 데이터의 민감도, 관련된 위험 등을 실시간으로 판단해 승인 여부를 결정해야 한다”고 강조했다. 예를 들어, 전통적인 시스템은 단순히 '존이 로그인 요청을 보냈다 → 승인'으로 끝났지만, 현대 시스템은 '새벽 시간, 해외 IP, 낯선 장치에서의 접근 → 우선 확인 필요'라는 맥락 기반 판단이 필수적이다. 이는 단순한 기능 개선이 아니라 아이덴티티 보안의 사고방식 자체가 진화했음을 보여준다.
세일포인트가 제시하는 새로운 표준: Identity Data-First Security Platform
세일포인트는 이러한 변화에 대응하기 위해 기존 IGA 기반 위에 위협 인텔리전스와 데이터 맥락을 통합한 ‘Identity Data-First Security Platform’을 제시하고 있다. 이 플랫폼은 AI 에이전트와 머신 아이덴티티의 보안 거버넌스를 본격적으로 가능하게 하며, 조직이 모든 유형의 아이덴티티를 하나의 통합된 체계에서 실시간으로 평가·관리할 수 있도록 설계되었다.
세일포인트는 이를 위해 에이전트 아이덴티티 보안, 머신 아이덴티티 보안, ATLAS 엔터프라이즈 기능, Identity Graph 기반 위협 탐지 기능 등을 확장하고 있으며, 이는 기존 IAM 체계에서는 불가능했던 정교한 통합 보안 모델을 가능하게 한다. AI는 이 모든 기능의 중심에서 작동하며, 시스템은 모든 접근 요청을 맥락 기반으로 해석하고 실시간 결정을 내릴 수 있다.
보고서 또한 이러한 플랫폼을 기반으로 한 기업들이 시장에서 최대 10배 이상의 ROI를 달성했다고 설명한다. 이는 아이덴티티 보안이 단순한 보안 투자 영역을 넘어 기업의 비즈니스 성과와 경쟁력을 좌우하는 핵심 요인으로 전환되고 있음을 보여준다.
AI 시대, 기업의 경쟁력은 결국 아이덴티티 보안 성숙도가 결정한다
첸 위 보이 사장의 설명과 세일포인트의 보고서는 AI 시대의 보안 경쟁력은 단순한 기술 도입 여부가 아니라 아이덴티티 보안 성숙도가 결정한다고 강조한다. 성숙도가 높은 기업은 자동화 기반이 잘 갖춰져 있어 AI 도입이 빠르고 안정적이며, 결과적으로 비용 효율성과 보안성까지 확보한다. 반면 성숙도가 낮은 기업은 내부 체계가 정비되지 않은 상태에서 새로운 기술을 도입할수록 위험이 커지고, 이는 다시 경쟁력 저하로 이어지는 악순환을 만든다.
