AI 도입이 빠르게 확산되면서, 기업 보안 담당자들의 고민도 깊어지고 있습니다. 속도를 늦추면 경쟁에서 뒤처지고, 그렇다고 검증 없이 달리다 보면 보안 사고가 터집니다. 문제는 기존 보안 솔루션이 AI 환경에 맞게 설계되지 않았다는 점입니다. 프롬프트 인젝션, 데이터 유출, 모델 조작처럼 AI에 특화된 위협은 기존 도구로는 탐지조차 되지 않습니다.Cisco AI Defense는 이 간극을 메우기 위해 만들어진 솔루션입니다. AI 자산 탐색부터 취약성 검증, 런타임 보호까지 AI 애플리케이션 전체 라이프사이클을 하나의 체계로 보호합니다. 이번 글에서는 Cisco AI Defense가 어떤 문제를 해결하고, 어떤 방식으로 작동하는지 살펴보겠습니다.☑️속도, 보안, 안전성: AI 도입 경쟁에서 승리하기보안 리더로서, 여러분은 광속으로 전개되는 AI 혁명에 직면해 있습니다. AI는 이제 경쟁 우위를 위한 필수 요소가 되었고, 이로 인해 여러분은 미묘한 균형을 유지해야 하는 상황에 놓여 있습니다. 빠르게 움직이지 않으면 뒤처지지만, 그렇다고 보안과 안전성을 희생해서도 안 됩니다.AI 팀들은 새로운 AI 기반 애플리케이션 배포를 서두르고 있습니다. 그 결과, 여러분의 IT 인프라는 멀티 클라우드, 멀티 모델, 다중 이해관계자 AI 생태계로 진화하고 있으며, 이를 안전하게 보호해야 할 필요성도 함께 커지고 있습니다.☑️AI 보안에는 새로운 접근 방식이 필요합니다AI는 기존의 보안 모델을 뒤흔들고 있습니다. 정적인 소프트웨어와 달리, AI는 비결정론적(non-deterministic)인 특성을 가지며, 예상치 못한 동작으로 민감한 데이터를 노출시키거나 유해한 정보를 생성할 수 있습니다. 이러한 변화하는 행동 양식은 데이터 포이즈닝(data poisoning), 모델 조작(model manipulation), 적대적 공격(adversarial attack) 등 AI에 특화된 위협을 만들어내며, 기존 보안 통제 수단으로는 이를 탐지하기 어렵습니다. AI 환경에서는 보안(예: 프롬프트 인젝션 방어), 프라이버시(예: 의료정보[PHI] 유출 방지), 그리고 안전성(예: AI가 자해를 조언하는 상황 방지) 모두가 동등하게 중요합니다. 이처럼 빠르게 변화하는 환경 속에서, 보안 팀이 직면하는 세 가지 핵심 과제가 있습니다.1. 가시성 공백(Visibility gaps): 여러 클라우드 환경 전반에서 운영 중인 모든 AI 애플리케이션, 모델, 데이터셋을 명확하게 파악해야 합니다. 멀티 클라우드 보안의 다른 영역과 마찬가지로, AI 역시 이러한 공유 환경을 모니터링하고 관리하기 위한 전문 서드파티 솔루션을 필요로 합니다.2. AI 모델 및 애플리케이션 취약성(AI model and application vulnerabilities): 컴플라이언스를 유지하고 리스크를 관리하기 위해서는 다양한 안전·보안 위협에 대해 AI 모델과 애플리케이션이 얼마나 취약한지를 지속적으로 평가해야 합니다.3. 새롭게 등장하는 적대적 AI 위협(Emerging adversarial AI threats): AI 시스템은 런타임 애플리케이션을 겨냥한 새로운 공격 벡터(예: 프롬프트 인젝션, 탈옥[jailbreaking])에 취약합니다. 기존 사이버 보안 수단은 이러한 위협을 인식조차 하지 못하는 경우가 많습니다.Cisco® AI Defense는 이러한 과제들을 선제적으로 해결함으로써 여러분과 보안 팀이 안전하고 보안성 있는 AI 도입을 실현할 수 있도록 지원합니다. 기존 네트워크 가시성 및 실행 제어 기능을 기반으로, AI Defense는 업계가 인정하는 선도적인 AI 및 사이버 보안 기술을 내장하여 AI를 개발하고, 배포하고, 활용하는 전 과정에서 보안, 안전성, 속도를 희생하지 않고도 필요한 감독, 보호, 보안 기능을 제공합니다.☑️Cisco AI Defense주요 이점· 알고리즘 기반 AI 레드 팀을 통한 모델 및 자산의 실시간 검증으로 안전하고, 프라이버시가 보호되며, 보안성 있는 AI 기반 앱 개발을 지원합니다.· 선도적인 위협 인텔리전스와 AI 가드레일로 민감한 데이터 유출 및 고도화된 적대적 위협을 방어합니다.· 모든 AI를 위한 단일 관리 플레인과 Cisco Security Cloud와의 원활한 통합으로 가치를 빠르게 실현합니다.주요 활용 사례· Discover(탐색): 클라우드 트래픽(인바운드, 아웃바운드, 이스트-웨스트)의 AI 관련 흐름에 대한 지속적인 가시성을 유지하면서, 모델 및 에이전트와 같은 AI 자산을 자동으로 탐색합니다.· Detect(탐지): 오픈소스 및 독점 AI 모델 전체를 사전에 테스트하고 검증하여 취약점을 조기에 발견하고 AI 환경을 지속적으로 보호합니다.· Protect(보호): 에이전트 기반 AI 워크플로우 및 검색 증강 생성(RAG) 애플리케이션을 포함한 AI 인프라를 악성 프롬프트, 데이터 유출, 적대적 공격으로부터 보호합니다.핵심 구성 요소 및 기능AI를 보호하기 위해서는 기업의 AI 기반 애플리케이션을 종합적으로 보호하는 총체적인 접근 방식이 필요합니다. AI가 기업 전반에 확산되면서 기존의 레거시 솔루션은 위협 행위자가 악용할 수 있는 심각한 보안 공백을 남기고 있습니다. AI 리스크를 완화하려면 보안 전략이 포괄적이고, 확장 가능하며, AI의 고유한 과제를 위해 설계되어야 합니다.그림에서 보여주듯, 총체적인 AI 보안 및 안전 프로그램은 AI 애플리케이션 개발 전반에 걸쳐 AI 리스크에 대응합니다.AI 발자국 전반의 보안, 프라이버시, 안전성을 보장하는 통합 AI 보안·프라이버시·안전 솔루션은 가시성 공백, AI 모델 취약성, 그리고 새로운 AI 위협 환경을 모두 다뤄야 합니다. 이를 위해 AI Defense는 주요 활용 사례에 대응하는 AI Cloud Visibility, AI Model and Application Validation, AI Runtime Protection 세 가지 핵심 구성 요소를 제공합니다.Cisco AI Defense로 기업 AI 보호하기AI Defense 관리 콘솔은 리스크 대시보드를 통해 다음과 같은 실시간 인사이트를 제공합니다.· 기업 AI 애플리케이션의 사용 현황, 맥락(context), 리스크· AI 모델, 에이전트 및 관련 자산(예: 리포지토리)의 탐색, 검증, 평가· 보안, 안전성, 프라이버시 가드레일을 적용한 런타임 방어AI 클라우드 가시성AI 모델 및 애플리케이션 검증AI 런타임 보호·  기업 AI 공격 표면(침입, 유출 및 동서 트래픽)에 대한 완벽한 가시성을 확보하여 보안 취약점을 방지합니다.·  클라우드 전반에 걸쳐 AI 자산을 찾아보세요.·  데이터, 모델 및 에이전트 전반에 걸쳐 연결, 활동 및 ID를 매핑하여 보안 정책에 대한 정보에 입각한 결정을 내리세요.· 수동 레드팀 작업이 몇 주씩 걸리는 작업을 단 몇 초 만에 탐지하세요. 알고리즘 기반 레드팀을 통해 AI 애플리케이션 및 모델을 200가지 이상의 공격 기법 및 위협 범주에 대해 테스트하여 애플리케이션의 안전과 보안을 보장하세요.· 포괄적인 취약점 보고서를 통해 심층적인 통찰력을 도출하고 실행 가능한 안전장치 권장 사항을 제시합니다.· 시스코 보안팀이 발견한 최신 기술 및 위협 요소를 활용하여 AI 모델과 애플리케이션을 평가합니다.· 운영 중인 AI 애플리케이션을 적대적 공격, 데이터 유출, 손상된 리소스 및 유해한 응답으로부터 보호합니다.· 데이터 유출, 위협 및 보안 위반을 방지하기 위해 프롬프트 및 응답을 통해 규정된 런타임 안전 장치를 구현합니다.· 시스코의 독자적인 AI 모델을 사용하여 신속 주입, 데이터 개인 정보 보호, 보안 및 안전 공격과 같은 광범위한 위협 범주를 식별하고 평가함으로써 높은 정확도의 탐지를 달성하십시오.AI 애플리케이션 보호를 위한 탐색·탐지·보호 적용AI Defense 구성 요소는 AI 애플리케이션의 전체 라이프사이클에 걸쳐 탐색, 탐지, 보호 기능을 원활하게 통합하여 작동합니다.AI 클라우드 가시성AI 모델 및 애플리케이션 검증AI 런타임 보호Discover →Detect →ProtectAI 자산 자동 탐색: AI 에이전트 및 RAG, LLM, 리포지토리AI 모델 및 앱 위험 실시간 탐지: 적대적 공격 취약성, 안전성 위험, 보안 취약성런타임 가드레일 구현으로 다음을 방어: 서비스 거부 공격(DoS), 유해한 조언, 프롬프트 인젝션, 민감한 데이터 유출클라우드 인프라 전반에 걸쳐 새로운 AI 자산을 지속적으로 탐색합니다.탐색된 AI 모델 및 앱을 대상으로 AI 알고리즘 레드 팀을 실행하도록 검증 서비스를 구성합니다.검증 서비스의 출력 결과가 정책(가드레일)을 생성하며, 이를 적용하여 AI 애플리케이션의 런타임 보호를 실행할 수 있습니다.리스크 추적 및 관리: AI 클라우드 가시성을 통해 AI 자산의 소유권과 맥락을 파악할 수 있습니다.컴플라이언스 및 취약성 관리: AI 모델 및 애플리케이션 검증은 모델·앱의 변경에 따라 시간이 지남에 따라 특히 취약성을 지속적으로 평가합니다.안전성 및 보안 보장: 개발자들이 AI 기반 앱을 미세 조정하는 과정에서 의도치 않게 가드레일이 깨지는 경우가 많습니다. AI Defense는 이러한 장애를 탐지하고 방지합니다.지속적인 적대적 위협 방어 실현Cisco의 AI 위협 연구 팀은 MITRE의 인공지능 시스템 적대적 위협 환경(ATLAS), OWASP, NIST 및 기타 프레임워크에 기반한 최신 적대적 공격 데이터를 AI Defense에 지속적으로 업데이트함으로써 탐색·탐지·보호 활동을 지원합니다.☑️AI를 위한 Cisco 보안Cisco는 수십 년간 쌓아온 네트워킹 및 사이버 보안 분야의 리더십을 토대로, 신속한 AI 혁신과 강력한 AI 보안을 위한 길을 열어가고 있습니다. Cisco가 다루는 영역은 다음과 같습니다.· 기업이 직접 구축한 AI 앱: Cisco AI Defense는 AI 애플리케이션 개발 및 배포 과정에서 발생하는 안전·보안 위험으로부터 기업을 보호합니다.· 서드파티 GenAI 앱 또는 섀도우 AI: Cisco는 Cisco Secure Access를 통해 서드파티 AI 애플리케이션이 초래하는 보안 위험으로부터 조직을 보호하며, 위협과 민감한 데이터 유출을 방지하고 승인되지 않은 도구에 대한 직원 접근을 제한합니다.· AI 공급망 및 리스크 관리: Cisco는 Cisco Secure Access, Cisco Secure Endpoint, Cisco Email Threat Defense를 통한 네트워크 기반 실행으로, 악성 코드 스캐닝, 소프트웨어 라이선스 컴플라이언스, 지정학적 출처 리스크 등을 검토하여 악성 AI 모델 파일이 기업 내부로 유입되는 것을 방지합니다.☑️AI의 속도로 안전하게 혁신하기AI는 빠르게 발전하고 있으며, 여러분의 조직도 보안, 프라이버시, 안전성을 타협하지 않고 그 속도에 발맞추고 싶을 것입니다. Cisco AI Defense는 여러분과 팀이 AI 기반 솔루션을 자신감 있게 제공할 수 있도록 지원하며, 팀이 앞서 나가는 데 필요한 민첩성과 함께 보호 및 적용 범위를 결합합니다. 구체적인 내용은 다음과 같습니다.· 보안, 프라이버시, 안전성을 아우르는 탄력적인 적용 범위: Cisco AI Defense를 통해 AI 애플리케이션 라이프사이클 전반에 걸친 엔드투엔드 적용 범위를 확보할 수 있습니다. 자동화된 알고리즘 기반 취약성 테스트와 프로덕션 애플리케이션을 위한 강력한 런타임 가드레일을 결합하여, Cisco Security Cloud의 네트워크 레이어 가시성을 활용해 AI 보안을 원활하게 탐지, 검증, 실행할 수 있습니다.· 선제적 위협 환경 대응: AI 위협 전술·기법·절차(TTP) 분야의 글로벌 리더인 Cisco의 AI 위협 인텔리전스 연구 그룹의 지속적인 업데이트를 통해 새롭게 등장하는 AI 위협보다 한 발 앞서 나갈 수 있습니다. AI Defense의 실시간 인텔리전스는 새로운 공격 벡터를 사전에 예측하여, 공격자가 이를 활용하기 전에 방어를 강화할 수 있도록 지원합니다.· AI 이니셔티브의 최신성 유지: AI Defense는 NIST AI 리스크 관리 프레임워크(AI-RMF), MITRE 인공지능 시스템 적대적 위협 환경(ATLAS), OWASP 대형 언어 모델(LLM) Top 10 등 진화하는 표준에 부합합니다. 더 나아가, AI Defense 팀은 이러한 프레임워크 개발에 직접 기여하고 있어, 다음 규제 및 산업 요건에도 항상 대비할 수 있습니다.Cisco AI Defense의 탐색·탐지·보호 활용 사례를 AI 전략에 통합함으로써, 조직이 혁신의 경계를 안전하고, 신속하며, 보안 리스크 태세에 대한 완전한 자신감을 갖고 넓혀나갈 수 있도록 역량을 갖추게 됩니다.AI 보안은 더 이상 선택이 아닙니다. 기업 환경에 AI가 깊숙이 자리 잡을수록, 이를 안전하게 운영하기 위한 체계도 함께 갖춰져야 합니다. Cisco AI Defense는 탐색·탐지·보호라는 세 가지 축으로 AI 애플리케이션 전반을 커버하며, 속도와 보안 사이의 균형을 실질적으로 지원합니다. Cisco AI Defense에 대한 제품 상세 정보와 도입 문의는 클라우드네트웍스로 연락 부탁드립니다. ▶ Cisco AI Defense 자세히보기

AI 에이전트가 기업의 새로운 디지털 인력으로 자리잡으면서, IT 부서의 통제 밖에서 운영되는 'Shadow AI'가 기업 보안의 새로운 사각지대로 부상하고 있습니다. 글로벌 아이덴티티 보안 기업 Okta는 이 문제에 대응하기 위해 ISPM(Identity Security Posture Management) 내 Agent Discovery 기능을 발표했습니다. 이번 블로그에서는 Shadow AI가 왜 기존 Shadow IT보다 위험한지, 그리고 아이덴티티 중심의 보안 전략이 해법인지 살펴보도록 하겠습니다. 🔵Shadow IT에서 Shadow AI로 무엇이 달라졌는가Shadow IT는 새로운 문제가 아닙니다. 직원들이 IT 부서 승인 없이 SaaS 도구를 도입하는 현상은 오래전부터 있었습니다. 그러나 AI 에이전트는 기존 Shadow IT와 근본적으로 다른 세 가지 특성을 가집니다.첫째, 작동 레이어가 다릅니다. 기존 Shadow IT가 주로 개별 앱 수준의 문제였다면, AI 에이전트는 애플리케이션 레이어에서 작동하면서 다수의 비인간 아이덴티티(NHI)를 통해 광범위하고 장기적인 권한을 행사합니다.둘째, 생성과 확산 속도가 다릅니다. 에이전트 빌더 플랫폼의 확산으로 이제 모든 직원이 디지털 워커를 직접 프로비저닝할 수 있게 되었습니다. 직원이 검증되지 않은 도구에 OAuth 권한을 부여하면, 그 순간 보안 경계 밖으로 데이터가 흘러나갈 수 있습니다.셋째, 피해 범위(blast radius)가 다릅니다. 비인가 에이전트가 핵심 시스템에 연결되면, 단일 에이전트의 침해가 연쇄적으로 다수의 앱과 데이터에 영향을 미칠 수 있습니다. Equals Money의 James Simcox(COO/CPO)는 "AI 에이전트 제품이 여러 서비스에 연결된 채로 누구도 모르게 들어온다면, 그것은 실질적인 문제"라고 지적합니다.Gartner의 2025년 조사에 따르면, 69%의 조직이 직원들의 비인가 GenAI 도구 사용을 의심하거나 그 증거를 확보하고 있으며, 2030년까지 40% 이상의 기업이 비인가 Shadow AI로 인한 보안 또는 컴플라이언스 사고를 경험할 것으로 예측했습니다. Okta의 'Okta for AI Agents' 솔루션 페이지 데이터에 따르면, 현재 91%의 조직이 이미 AI 에이전트를 사용하고 있지만, 44%는 거버넌스가 전혀 없는 상태입니다.🔵차단이 아닌 가시성, 기존 접근법이 통하지 않는 이유Shadow AI에 대한 가장 직관적인 대응은 차단입니다. 그러나 현업에서는 차단이 오히려 문제를 악화시킨다는 공감대가 형성되고 있습니다. Paysafe의 Amar Akshat(SVP Technology & Chief Architect)는 "차단하면 가시성만 차단하는 것이다. AI 환경은 너무 빠르게 진화하고 있어 차단은 단지 사용을 보이지 않게 만들 뿐"이라고 지적합니다. KPMG의 2025년 조사에서도 미국 직장인의 거의 절반이 비인가 방식으로 AI 도구를 사용하고 있는 것으로 나타났습니다. 직원들이 공식 도구보다 비인가 도구를 선택하는 이유는 속도와 편의성 때문이며, 단순 차단은 이 근본 원인을 해결하지 못합니다. Equals Money의 Simcox가 "직원들이 스스로 하기 전에, 우리가 먼저 ChatGPT를 직원들에게 배포했다"고 밝힌 것도 같은 맥락입니다. 승인된 도구의 접근성을 높이는 것이 Shadow AI 확산을 줄이는 첫 번째 단계입니다.그러나 승인된 도구를 제공하는 것만으로는 충분하지 않습니다. 기존의 네트워크/엔드포인트 기반 보안 접근법은 AI 에이전트에 적용되지 않습니다. AI 에이전트는 네트워크나 디바이스 레이어가 아닌 애플리케이션 레이어에서 작동하기 때문입니다. 따라서 필요한 것은 에이전트가 어디에 존재하고, 누가 만들었으며, 어떤 데이터에 접근하고, 어떤 권한을 보유하는지에 대한 가시성, 즉 아이덴티티 중심의 접근법입니다.여기에 '권한 상속(permission inheritance)' 문제도 가시성 없이는 대응이 불가능합니다. Okta의 'AI at Work 2025' 보고서에 따르면 36%의 조직만이 AI에 대한 중앙화된 거버넌스 모델을 보유하고 있고, NHI 관리 전략을 갖춘 조직은 10%에 불과합니다. 관리자 권한을 가진 직원이 AI 도구에 자신의 전체 권한을 넘겨주는 상황이 발생하더라도, 가시성이 없으면 이를 탐지할 방법이 없습니다.🔵Okta의 해법: Agent Discovery in ISPM이러한 문제에 대한 Okta의 해법은 ISPM(Identity Security Posture Management) 내 Agent Discovery 기능입니다. 2026년 2월 12일 발표된 이 기능은 'Okta for AI Agents' 솔루션의 핵심 구성요소로, Shadow AI를 탐지하고 거버넌스 체계 안으로 편입시키는 것을 목적으로 합니다.Agent Discovery가 해결하는 세 가지 문제는 다음과 같습니다.· 탐지: 조직 내에서 운영 중인 Shadow AI 에이전트를 자동으로 발견· 리스크 파악: 알려지지 않은/알려진 에이전트의 숨겨진 아이덴티티 리스크 및 잘못된 설정(misconfiguration)을 식별· 영향 범위 매핑: 에이전트가 침해될 경우 어디까지 피해가 확산되는지(blast radius)를 시각화Agent Discovery는 OAuth 동의(consent)를 탐지하는 데서 시작합니다. Google Chrome 등 브라우저와 통합되어, 직원이 AI 도구(Client App)에 기업 데이터(Resource App)에 대한 접근 권한을 부여하는 순간을 실시간으로 포착합니다. 이를 통해 어떤 에이전트가 어떤 데이터 소스에 어떤 수준의 권한(scope)을 가지고 있는지를 매핑하고, 미인가 에이전트가 핵심 데이터에 대한 권한을 획득하면 알림을 발생시킵니다.중요한 것은 탐지 이후의 조치입니다. 발견된 에이전트는 Okta 플랫폼에 관리되는 아이덴티티로 등록하고, 보안 정책을 적용하며, 인간 소유자(human owner)를 지정합니다. Shadow AI를 단순히 발견하는 데 그치지 않고, 발견된 에이전트를 거버넌스가 적용되는 관리 자산으로 전환하는 것이 Agent Discovery의 핵심 가치입니다.🔵AI 에이전트 보안의 4단계 플레이북Okta는 블로그를 통해 AI 자산에 대한 통제권을 확보하기 위한 4단계 플레이북을 제시했습니다. 각 단계는 가시성의 범위를 점진적으로 확대하면서, 최종적으로 통합된 아이덴티티 플랫폼에서 모든 에이전트를 관리하는 구조입니다.Stage 1: 승인된 AI 플랫폼 내 에이전트 파악Microsoft Copilot, Salesforce Agentforce, AWS Bedrock, OpenAI, Google Vertex AI 등 기업이 공식 승인한 AI 플랫폼이라 하더라도, 그 안에서 어떤 에이전트가 어떤 권한으로 작동하고 있는지를 보안팀이 파악하지 못하는 경우가 많습니다. 승인 자체가 가시성을 보장하지는 않습니다. 에이전트 수가 방대하여 수동 감독은 사실상 불가능하며, 에이전트에 설정 편의를 위해 과도한 관리자 권한이 부여되거나, 운영 환경과 개발 환경 간 접근이 무분별하게 연결되는 상황도 탐지하기 어렵습니다. Okta는 이러한 'Crown Jewel' 환경에 대한 자동화된 인벤토리를 제공하여, 각 에이전트의 소유자, 실제 권한, 주요 리스크 위치를 식별합니다.Stage 2: 비승인 플랫폼의 미지 에이전트 탐지대부분의 조직이 소수의 승인된 도구에만 집중하는 사이, 부서 전반에서 비승인 플랫폼, 검증되지 않은 에이전트 빌더, 숨겨진 MCP 서버 등을 통해 공격 표면이 확대됩니다. 핵심 리스크 동인은 OAuth 권한 부여(User Consent)입니다. 직원이 자체 제작하거나 외부에서 가져온 에이전트에 기업 데이터 접근 권한을 부여하면, 그 에이전트는 사용자를 대신해 데이터에 접근하고 작업을 수행할 수 있는 OAuth 토큰을 획득합니다. Okta의 SAM(Secure Access Monitor) 브라우저 플러그인이 ISPM에 실시간 OAuth 신호를 피드하여, 비승인 플랫폼의 에이전트 식별, 과도한 권한(scope) 노출, 법률 및 개인정보 보호 검토를 우회한 Shadow SaaS 탐지를 수행합니다.Stage 3: 비인간 아이덴티티(NHI) 레이어 강화AI 에이전트는 하나의 '봇'이 아니라, API 토큰, 액세스 키, 서비스 프린시펄, OAuth 토큰 등 다수의 비인간 아이덴티티(NHI) 위에서 작동합니다. AI 에이전트를 진정으로 보호하려면, 에이전트 자체뿐 아니라 그 에이전트가 행동할 수 있게 해주는 기술적 키를 강화해야 합니다. 이를 위해서는 AI 에이전트, 그것을 생성한 사람, 에이전트를 구동하는 특정 NHI, 그리고 에이전트가 접근할 수 있는 앱 간의 그래프 연결에 대한 깊은 가시성이 필요합니다. Okta는 SaaS, IdP, 클라우드 인프라, On-Prem AD 전반의 다양한 NHI 유형에 대한 가시성을 단일 뷰에서 제공하며, OWASP Top 10 for NHIs에 매핑된 25개 이상의 우선순위 리스크 탐지를 통해 과도한 권한이나 미갱신 자격증명 같은 고위험 취약점을 사전에 식별합니다.Stage 4: 통합 아이덴티티 플랫폼으로 일원화앞선 세 단계에서 발견된 AI 에이전트와 그 기반 NHI를 동일한 아이덴티티 플랫폼으로 통합하는 것이 최종 단계입니다. Okta는 플랫폼 중립적(platform-neutral)이므로 에이전트의 출처에 관계없이 탐지가 가능하며, 이 통합을 통해 인간과 비인간 전체 인력에 대해 일관된 보안 정책을 적용할 수 있습니다. 인간 직원에게 적용하는 정책을 AI 에이전트에도 동일하게 적용하는 것, 이것이 아이덴티티 기반 AI 보안의 최종 목표입니다.🔵AI 보안의 핵심은 아이덴티티 보안AI 에이전트 보안에서 가장 중요한 전제는, AI 에이전트가 결국 '아이덴티티'라는 점입니다. 에이전트는 사람처럼 인증을 받고, 권한을 부여받고, 데이터에 접근하고, 작업을 수행합니다. 따라서 에이전트 보안의 핵심은 별도의 새로운 보안 체계를 구축하는 것이 아니라, 기존의 아이덴티티 보안 패브릭에 에이전트를 통합하는 것입니다.Okta가 이번 Agent Discovery 발표를 통해 제시하는 접근법을 정리하면 다음과 같습니다.·  보이지 않는 것은 관리할 수 없다: Shadow AI를 탐지하는 가시성 확보가 모든 보안의 출발점·  발견에서 거버넌스로: 탐지된 에이전트를 관리 아이덴티티로 등록하고, 인간 소유자를 지정하고, 보안 정책을 적용하는 전환이 필수·  인간과 비인간의 일원화: AI 에이전트를 별개의 존재가 아닌, 조직 아이덴티티 체계의 일부로 관리하는 통합 접근이 필요·  속도와 안전은 양자택일이 아니다: 아이덴티티 기반 거버넌스를 통해 혁신의 속도를 유지하면서도 보안 확보 가능80%의 조직이 의도하지 않은 에이전트 행동을 경험하고, 23%가 에이전트를 통한 자격증명 노출을 보고하는 현재 상황에서, AI 에이전트를 조직의 정식 아이덴티티로 대우하고 생성부터 폐기까지 전체 라이프사이클을 관리하는 체계 구축은 더 이상 선택이 아닌 필수입니다.Shadow AI는 더 이상 방치할 수 있는 문제가 아닙니다. 보이지 않는 에이전트를 발견하고, 발견된 에이전트를 관리 자산으로 전환하며, 인간과 비인간 아이덴티티를 하나의 체계 안에서 일관되게 관리하는 것이 Okta가 제시하는 아이덴티티 기반 AI 보안의 핵심입니다. Okta에 대한 도입 및 상담 문의는 공식 파트너사인 클라우드네트웍스로 연락 부탁드립니다. ▶ 옥타(Okta) 자세히보기 

기업들의 AI 도입이 빠르게 확산되고 있습니다. 챗봇, 문서 요약, 코드 생성 등 LLM(거대 언어 모델) 기반 서비스가 실제 비즈니스에 적용되기 시작했고, 여러 LLM 호출과 도구를 연결해 복잡한 작업을 자율적으로 수행하는 AI 에이전트로도 확장되고 있습니다. 그런데 AI를 만드는 것과 AI를 프로덕션에서 안정적으로 운영하는 것은 전혀 다른 문제입니다. AI가 잘못된 정보를 자신 있게 답변하는 할루시네이션(Hallucination), 같은 질문에 매번 달라지는 응답, 에이전트가 불필요한 단계를 반복하며 급증하는 비용, 개인정보 유출 리스크 등 프로덕션 환경에서는 개발 단계에서 예상하지 못한 문제들이 발생합니다.이런 문제들을 체계적으로 다루기 위해 등장한 영역이 AI 옵저버빌리티(Observability)이며, 이 분야를 선도하는 기업이 Arize AI입니다. 이 글에서는 AI 옵저버빌리티가 왜 필요한지, 그리고 Arize AI의 핵심 제품인 Arize AX 플랫폼이 이 문제를 어떻게 해결하는지 소개합니다.☑️왜 AI 옵저버빌리티가 필요한가LLM의 비결정적 특성과 디버깅의 어려움Arize AI는 AI 에이전트 평가가 어려운 핵심 원인으로 LLM의 비결정적(Non-deterministic) 특성을 지적합니다. "LLM은 비결정적이기 때문에 에이전트가 예상치 못한 경로를 거치면서도 정답에 도달할 수 있고, 이것이 디버깅을 어렵게 만든다"는 것입니다. 최종 결과만 봐서는 내부에서 어떤 문제가 있었는지 알 수 없다는 의미입니다.에이전트 복잡도의 증가Arize AI의 Agent Observability 가이드에 따르면, 현재 AI 에이전트는 단일 에이전트를 넘어 복수의 에이전트가 복잡한 라우팅 로직과 핸드오버로 연결된 멀티에이전트 시스템으로 발전하고 있습니다. 멀티모달 기능을 갖추고, MCP 서버를 도구로 연결하며, A2A(Agent-to-Agent) 통신으로 다른 시스템에 제어권을 넘기는 구조도 등장하고 있습니다. 그럼에도 대부분의 팀은 여전히 프롬프트를 수정하고 바로 배포하는 방식으로 디버깅을 하고 있다고 Arize AI는 지적합니다. 멀티에이전트 시스템이 확장되려면 체계적인 옵저버빌리티가 필요하다는 것이 Arize AI의 주장입니다.규제 환경의 변화한국에서는 2026년 1월 AI 기본법이 시행되면서, AI 시스템의 투명성과 설명 가능성에 대한 요구가 높아지고 있습니다. AI 옵저버빌리티는 AI 시스템이 어떤 경로로 결과에 도달했는지를 기록하고 추적할 수 있게 해주므로, 규제 대응 측면에서도 활용 가능성이 있습니다.☑️Arize AI는 어떤 기업인가Arize AI는 2020년 미국 실리콘밸리에서 설립된 AI 에이전트 엔지니어링 플랫폼 기업입니다. 창업팀은 Uber의 MLOps(머신러닝 운영) 팀 출신 엔지니어들로, 대규모 AI 시스템을 프로덕션 환경에서 운영하며 겪었던 문제들을 해결하기 위해 회사를 시작했습니다. 핵심 미션은 "AI가 실제로 작동하도록 만드는 것(Make AI Work)"입니다.현재까지 1조 건 이상의 스팬(Span, 추적 단위)을 처리했으며, 월간 5천만 건 이상의 AI 평가(Evaluation)를 수행하고 있습니다. 2025년 2월에는 시리즈 C 라운드에서 7,000만 달러의 투자를 유치했으며, TCV, Battery Ventures, Foundation Capital 등이 투자에 참여했습니다. Google과 NVIDIA의 공식 파트너이며, DoorDash, Air Canada, PepsiCo, Booking.com, Priceline, Wayfair, PagerDuty 등 글로벌 엔터프라이즈 기업들이 Arize 플랫폼을 활용하고 있습니다.☑️Arize AX: AI 개발부터 운영까지 하나의 플랫폼에서Arize AX는 AI 앱과 에이전트의 개발을 가속화하고, 프로덕션 환경에서 완성도를 높이는 엔터프라이즈 AI 엔지니어링 플랫폼입니다. Arize AI는 Arize AX를 "AI 개발과 프로덕션 사이의 루프를 닫는(Close the loop) 단일 플랫폼"이라고 설명합니다. 프로덕션에서 수집된 실제 데이터가 개발 단계의 개선으로 이어지고, 개발 단계의 평가 기준이 프로덕션 모니터링에 그대로 적용되는 순환 구조를 지원합니다.Arize AX의 핵심 기능은 크게 세 가지 영역으로 구분됩니다.1. 개발 도구 (Development)고품질 AI 에이전트와 앱을 구축하기 위한 개발 환경입니다.프롬프트 최적화 (Prompt Optimization)AI 에이전트의 성능은 프롬프트의 품질에 크게 좌우됩니다. Arize AX의 프롬프트 최적화 기능은 평가 결과와 어노테이션 데이터를 활용하여 프롬프트를 자동으로 개선합니다. 수동으로 프롬프트를 하나씩 조정하는 시행착오 방식과 달리, 실제 평가 데이터에 기반한 체계적인 최적화가 가능합니다. Arize AI는 이 기능을 통해 "에이전트가 스스로 개선되도록(self-improving)" 만들 수 있다고 설명합니다.프롬프트 플레이그라운드 (Prompt Playground)프로덕션에서 실제로 발생한 데이터를 플레이그라운드 환경에서 재생(Replay)하여, 동일한 조건에서 프롬프트를 디버깅하고 수정할 수 있습니다. 다양한 프롬프트 변형을 동시에 테스트하고 결과를 나란히 비교할 수 있어, 반복적인 개선 작업을 효율적으로 수행할 수 있습니다.프롬프트 서빙 및 관리 (Prompt Serving & Management)프롬프트의 버전 관리, 배포, 변경 이력 추적을 중앙에서 관리합니다. 최적화된 프롬프트를 빠르게 프로덕션에 반영할 수 있으며, 개발자뿐 아니라 비개발 직군도 프롬프트 변경에 참여할 수 있는 환경을 제공합니다.데이터셋 및 실험 (Datasets & Experiments)LLM 프로젝트의 반복 주기를 가속화하기 위한 실험 실행 기능을 기본 지원합니다. 테스트 데이터셋을 구성하고, 프롬프트나 모델 변경에 따른 성능 차이를 체계적으로 비교할 수 있습니다.2. 평가 (Evaluation)AI 시스템이 의도한 대로 작동하는지 검증하고, 프로덕션 배포 전후의 품질을 보장하는 기능입니다.CI/CD 실험 (CI/CD Experiments)소프트웨어 개발에서 CI/CD(지속적 통합/지속적 배포)가 코드 품질을 보장하듯, Arize AX는 AI 시스템에도 동일한 원칙을 적용합니다. 프롬프트 변경이나 에이전트 구조 수정이 프로덕션에 배포되기 전에, 평가 기반의 CI/CD 파이프라인을 통해 성능 회귀(Regression)를 사전에 감지합니다. "변경 사항이 기존보다 나빠지지 않았는가"를 자동으로 검증한 후에만 배포가 진행되도록 할 수 있습니다.LLM-as-a-JudgeAI 시스템의 출력을 사람이 일일이 평가하는 것은 비용과 시간 면에서 한계가 있습니다. Arize AX의 LLM-as-a-Judge 기능은 별도의 LLM을 활용하여 AI 시스템의 출력 품질을 자동으로 평가합니다. 할루시네이션 여부, 응답의 관련성, 정확성, 안전성 등 다양한 측면을 대규모로 일관되게 평가할 수 있습니다. Arize AI는 사전 테스트된 평가 템플릿을 제공하며, 기업의 요구에 맞는 커스텀 평가 기준도 설정할 수 있습니다온라인 평가 (Online Evals)개발 단계의 오프라인 평가뿐 아니라, 프로덕션 환경에서 실시간으로 AI 출력을 평가하는 온라인 평가 기능도 제공합니다. Arize AI는 이를 "AI가 AI를 평가(AI evaluating AI)"하여 문제를 즉시 포착하는 방식이라고 설명합니다. 프로덕션에서 발생하는 품질 저하를 실시간으로 감지하여, 사후 대응이 아닌 사전 대응이 가능합니다.휴먼 어노테이션 및 큐 관리 (Human Annotations & Queues)자동 평가만으로 커버하기 어려운 경우, 인간 평가자의 라벨링 작업을 관리하는 기능입니다. 라벨링 큐를 관리하고, 프로덕션 어노테이션을 수행하며, 골든 데이터셋(고품질 기준 데이터)을 한 곳에서 생성할 수 있습니다. 자동 평가와 인간 평가를 결합하여 더 정확한 품질 관리 체계를 구축할 수 있습니다.3. 옵저버빌리티 (Observability)프로덕션 환경에서 AI 시스템의 동작을 실시간으로 관찰하고, 문제를 식별하며, 지속적으로 개선하는 기능입니다.오픈 표준 트레이싱 (Open Standard Tracing)AI 에이전트가 최종 답변에 도달하기까지의 전체 경로를 시각화합니다. 어떤 LLM을 호출했는지, 어떤 도구를 사용했는지, 어떤 순서로 작업을 수행했는지, 각 단계에서 얼마나 시간과 비용이 소요되었는지를 추적합니다.Arize AX의 트레이싱은 OpenTelemetry(OTEL) 기반으로 구축되어 있어, 특정 LLM 모델이나 에이전트 프레임워크에 종속되지 않습니다. LangGraph, CrewAI, OpenAI SDK 등 어떤 프레임워크를 사용하든 동일한 방식으로 추적이 가능합니다.트레이싱을 통해 확인할 수 있는 정보는 다음과 같습니다.· 에이전트가 최종 출력에 도달하기까지 거친 단계· 각 단계에서 사용한 도구의 종류와 순서, 그리고 그 이유· 검색(Retrieval)된 데이터의 관련성 여부· 추론 경로가 올바른 방향을 유지했는지, 어디에서 벗어났는지· 각 단계별 소요 시간 및 비용모니터링 및 대시보드 (Monitoring & Dashboards)AI 시스템의 주요 성능 지표를 상시 모니터링하는 기능입니다. 할루시네이션 발생률, PII(개인정보) 유출 감지, 응답 품질 변화, 레이턴시(응답 지연) 등 핵심 지표를 실시간 대시보드로 확인할 수 있으며, 설정한 임계값을 초과하면 자동으로 알림을 보냅니다.가드레일 (Guardrails)AI의 입력(Input)과 출력(Output) 양쪽에 사전 안전장치를 설정하는 기능입니다. 부적절한 질문이 AI에 전달되는 것을 차단하거나, 위험하거나 부정확한 응답이 사용자에게 전달되는 것을 방지합니다. Arize AI는 이를 "비즈니스 리스크를 사전에 완화하는 능동적 안전장치"라고 설명합니다.검색 및 큐레이션 (Search & Curate)프로덕션에서 수집된 대량의 데이터 중에서 관심 있는 데이터 포인트를 지능적으로 검색하고 분류하는 기능입니다. 특정 조건에 해당하는 데이터를 필터링하고, 카테고리별로 정리하여 데이터셋으로 저장한 뒤, 심층 분석이나 자동화 워크플로우에 활용할 수 있습니다.AI 코파일럿 (Co-Pilot)Arize AX에는 플랫폼 내에서 동작하는 AI 코파일럿이 내장되어 있습니다. 사용자가 트레이싱 데이터나 평가 결과를 분석할 때, 코파일럿이 패턴을 식별하고 개선 방향을 제안합니다.☑️Arize AX의 기술적 차별점OpenTelemetry 기반 아키텍처Arize AX는 CNCF(Cloud Native Computing Foundation)의 오픈 표준인 OpenTelemetry를 기반으로 구축되어 있습니다. 이는 특정 벤더나 프레임워크에 종속되지 않는다는 의미입니다. OpenAI, Anthropic, Google 등 어떤 LLM 모델을 사용하든, LangGraph, CrewAI, OpenAI SDK 등 어떤 에이전트 프레임워크를 사용하든 동일한 방식으로 추적과 모니터링이 가능합니다.개발과 프로덕션의 통합 순환 구조많은 AI 도구들이 개발 단계 또는 운영 단계 중 하나에만 초점을 맞추고 있습니다. Arize AX는 이 두 단계를 하나의 플랫폼에서 연결합니다. 프로덕션에서 수집된 실제 데이터가 개발 단계의 실험과 프롬프트 최적화에 활용되고, 개발 단계에서 설정한 평가 기준이 프로덕션 모니터링에 그대로 적용됩니다. 이 순환 구조를 통해 AI 시스템이 지속적으로 개선됩니다.온프레미스 배포 지원Arize AX는 클라우드 SaaS뿐 아니라 온프레미스 배포도 지원합니다. 금융, 공공, 의료 등 데이터를 외부로 내보낼 수 없는 보안 정책을 가진 기업에서도 자체 인프라 내에서 Arize AX를 운영할 수 있습니다.☑️글로벌 기업들의 실제 활용 사례Arize AX는 다양한 산업에서 실제로 활용되고 있습니다. · Booking.com — 여행 에이전트 애플리케이션인 AI Trip Planner를 구축하면서 Arize 플랫폼을 활용해 에이전트의 동작을 추적하고 품질을 관리하고 있습니다.· PagerDuty — 프로덕션 환경에서 AI 에이전트의 엔드투엔드 옵저버빌리티를 구축하는 데 Arize를 활용하고 있습니다.· Handshake — 6개월 이내에 15개 이상의 LLM 유스케이스를 배포하고 확장했으며, 처음부터 평가(Evals)를 도입한 것이 핵심 성공 요인이었다고 밝히고 있습니다.· Keller Williams — 16만 1천 명의 소속 부동산 에이전트를 대상으로 AI 에이전트의 배포와 품질 관리를 Arize 플랫폼으로 수행하고 있습니다.· TheFork — 온라인 평가(Online Evals) 기능을 활용하여 AWS 환경에서 전환율(Conversion) 향상을 달성하고 있습니다.· Wayfair — 공급업체 이관 프로세스에서 AI를 활용한 실시간 개입 시스템을 구축하고, Arize로 품질을 관리하고 있습니다.공개된 정보 외에 국내 구축 사례 등은 클라우드네트웍스로 연락 부탁드립니다. ☑️마치며AI 시스템의 도입이 확산될수록, "AI를 만드는 것"만큼 "AI를 제대로 관리하는 것"이 중요해지고 있습니다. Arize AX는 AI 시스템의 개발부터 평가, 운영까지 전 과정을 하나의 플랫폼에서 지원하며, 글로벌 엔터프라이즈 기업들이 검증한 AI 엔지니어링 솔루션입니다.클라우드네트웍스는 Arize AI의 국내 파트너로서, 국내 기업들이 AI 시스템을 안정적으로 운영하고 지속적으로 개선할 수 있도록 Arize AX 플랫폼의 도입과 구축을 지원합니다. Arize AX 플랫폼에 대한 문의사항은 공식 파트너사인 클라우드네트웍스로 연락 부탁드립니다. ​▶ Arize AI 자세히보기

2026년 3월부터 공개 TLS 인증서의 최대 유효기간이 단계적으로 단축되면서, 인증서 갱신은 더 이상 ‘가끔 하는 작업’이 아니라 상시 운영 업무가 됩니다. 이번 글에서는 DigiCert의 '47-Day TLS Certificates FAQ' 문서를 기반으로 유효기간 단축 로드맵(200일→100일→47일), 도메인 검증 재사용 기간(최대 10일) 변화, 그리고 자동화가 왜 필수인지 핵심 질문과 답변 형태로 정리했습니다. 아래 Q&A를 통해 우리 조직이 어떤 준비를 해야 하는지 빠르게 점검해보실 수 있습니다.⏰47-Day TLS Certificates: FAQs Q: 인증서 유효기간에 대한 새로운 규칙은 무엇인가요? CA/B 포럼의 새로운 TLS 규칙에는 2026년 3월부터 적용되기 시작하는 3가지 주요 변경 사항이 있습니다:1. 공개 TLS 인증서의 최대 유효기간이 398일에서 47일로 감소합니다.2. 도메인 및 IP 주소 검증 정보가 재사용될 수 있는 최대 기간이 398일에서 10일로 감소합니다.3. SII(Subject Identity Information, 인증서가 발급되는 대상(엔터티)의 식별 정보)의 재사용 가능 최대 기간이 825일에서 398일로 감소합니다.일부 공개 인증서의 자동화에는 특수 도구나 전문성이 필요할 수 있지만, 대부분의 경우 작업은 비교적 단순합니다. 관련 문서도 충분히 제공되어 있고, 서비스는 (DigiCert가 제공하는 것처럼) 무료인 경우도 많습니다. Q: 변경 일정은 어떻게 되나요? 공개 TLS 인증서의 최대 유효기간은 향후 몇 년에 걸쳐 다음과 같이 감소합니다:• 2026년 3월 15일까지: TLS 인증서 최대 유효기간 398일• 2026년 3월 15일부터: TLS 인증서 최대 유효기간 200일• 2027년 3월 15일부터: TLS 인증서 최대 유효기간 100일• 2029년 3월 15일부터: TLS 인증서 최대 유효기간 47일도메인 및 IP 주소 검증 정보의 재사용 가능 최대 기간도 다음과 같이 감소합니다:• 2026년 3월 15일까지: 도메인 검증 정보 재사용 가능 최대 기간 398일• 2026년 3월 15일부터: 도메인 검증 정보 재사용 가능 최대 기간 200일• 2027년 3월 15일부터: 도메인 검증 정보 재사용 가능 최대 기간 100일• 2029년 3월 15일부터: 도메인 검증 정보 재사용 가능 최대 기간 10일Q: 최대 인증서 유효기간(47일까지)과 최대 도메인 검증 재사용 기간(10일까지)의 차이는 무엇인가요? 인증서의 최대 유효기간은 인증서가 유효하다고 간주되는 최대 일수입니다. 인증서를 발급하려면, 인증기관(CA)은 신청자가 인증서에 포함된 도메인명 또는 IP 주소를 통제하고 있음을 검증해야 합니다. 현재 규칙처럼 1년에 한 번 인증서를 갱신하는 경우라면, 갱신 주문 시점에 매년 통제 여부를 다시 검증하게 됩니다. 그런데 갱신 전에 인증서를 교체해야 하는 경우(예: 개인키가 유출된 경우)는 어떻게 될까요? 이때 CA는 가장 최근 갱신 시 수행된 검증을 재사용할 수 있어, 다시 검증할 필요를 줄일 수 있습니다. 이는 도메인 검증 재사용 최대 기간이 아직 만료되지 않았기 때문입니다.기본 요구사항(Baseline Requirements, 즉 CA/B 포럼의 인증서 발급 규칙)은 오래전부터 이 두 가지 시간 제한을 모두 규정해 왔지만, 일반적으로 두 값을 같은 일수로 설정해 왔습니다. 새 규칙의 최종 단계에서 “최대 인증서 유효기간은 (궁극적으로) 47일”이지만 “도메인 검증은 10일까지만 재사용 가능”하도록 바뀌는 이유는, 검증 정보가 빠르게 최신성을 잃는다고 보고 더 자주 검증이 수행되도록 하기 위함입니다. 이 변경은 또한 CA/B 포럼이 도메인 검증은 반드시 자동화되어야 한다고 믿고 있음을 분명히 보여줍니다. 이렇게 짧은 일정에서는 수동 검증이 큰 부담이 됩니다. 자동화가 되면, 짧은 일정은 전혀 문제가 되지 않습니다.Q: 선택지는 무엇인가요? 합리적인 선택지는 하나뿐입니다. 인증서 수명주기 관리(CLM, Certificate Lifecycle Management)를 자동화하는 것입니다. CA/B 포럼과 업계(DigiCert 포함)는 인증서 유효기간이 단축될 것이며 수동 인증서 관리는 더 이상 현실적인 해법이 될 수 없다고 수년 전부터 고객에게 권고해 왔습니다.도메인 검증(DV) 인증서의 대부분의 사용 사례는 ACME(Automated Certificate Management Environment)와 ARI(ACME Renewal Information) 표준을 활용해 비교적 쉽게 자동화할 수 있습니다. 이 기능은 DigiCert CertCentral에 추가 비용 없이 포함되어 있습니다. 더 복잡한 사례의 경우, DigiCert의 Trust Lifecycle Manager(TLM)가 다양한 엔터프라이즈 구성에 대해 매니지드 자동화 지원을 제공합니다.일부 애플리케이션에는 내부 PKI(프라이빗 PKI라고도 함)도 또 다른 선택지가 될 수 있습니다. 많은 공개 신뢰 인증서는 공개 접근이 필요 없는 리소스를 보호하는 데 사용되며, 모범 사례에 따르면 이런 리소스는 인터넷에서 접근되지 않아야 합니다. 관리자가 이런 리소스에 공개 인증서를 쓰는 경우가 있는 이유는 가장 쉬운 방법이기 때문이지만, 올바른 접근은 내부 PKI를 사용하는 것입니다.내부 PKI는 기업 내부의 프라이빗 리소스 간 통신을 위해, 기업 내부에서만 “유효”하거나 신뢰되는 인증서를 발급합니다. 따라서 인증서 유효기간과 다른 많은 파라미터에 대해 자체 규칙을 설정할 수 있습니다. 내부 PKI에 필요한 모든 소프트웨어를 직접 운영할 수도 있지만, 이는 복잡하고 오류 가능성이 큰 작업입니다. DigiCert는 엔터프라이즈, 클라우드, 제조(Manufacturing) 사용 사례를 위한 여러 내부 PKI 솔루션을 제공합니다.도메인 검증에 대한 동일한 일정은 OV 및 EV 인증서에도 적용됩니다. 결국 OV/EV 인증서도 DV 인증서와 같은 일정(즉, 200/100/10일마다)으로 도메인 검증을 수행해야 합니다. 다만 그 인증서에 포함되는 다른 정보(예: 조직명과 주소)는 398일마다만 갱신하면 됩니다. 도메인 검증은 DV 인증서와 마찬가지로 자동화할 수 있고 자동화해야 하지만, 다른 정보는 완전 자동화가 불가능합니다.Q: 변경이 적용되는 날짜부터 브라우저는 200/100/47일을 초과하는 유효기간의 인증서를 더 이상 받아들이지 않나요? 정확히는 그렇지 않습니다. 제한은 브라우저가 받아들일 수 있는 인증서 종류가 아니라, CA가 발급할 수 있는 인증서 종류에 적용됩니다. 브라우저는 “현재 날짜가 인증서의 유효기간 범위 내에 있는지”를 확인합니다.규칙 변경이 적용되면, CA는 200/100/47일을 초과하는 유효기간의 TLS 인증서를 더 이상 발급할 수 없습니다. 하지만 규칙 변경 이전에 발급된 398일 유효기간 인증서는 만료될 때까지 계속 유효합니다. 200일 인증서가 100일로 바뀔 때도, 100일 인증서가 47일로 바뀔 때도 동일하게 적용됩니다. Q: CA/B 포럼은 무엇인가요?CA/Browser Forum(약칭 CA/B Forum 또는 CABF)은 DigiCert 같은 인증기관(표준에서는 certificate issuers, 인증서 발급자)과 인증서를 사용해 리소스를 인증하는 애플리케이션(대개 웹 브라우저로, 표준에서는 certificate consumers, 인증서 소비자)으로 구성된 업계 표준 기구입니다. 그 밖의 이해관계자도 회원으로 참여하지만, 투표권은 자격을 갖춘 인증서 발급자와 소비자에게만 제한됩니다.TLS 인증서를 위한 최초의 TLS Baseline Requirements(BR)는 2012년에 발효되었습니다. 이 외에도 공개 코드 서명(public code signing) 및 S/MIME 인증서에 대한 표준을 다루는 작업 그룹이 있습니다.Q: 이러한 표준 변경은 내부(프라이빗) PKI에도 영향을 미치나요? 아니요. Baseline Requirements는 공개 인증기관에만 구속력을 갖습니다.내부 PKI는 네트워크 또는 클라우드 내부에서 운영됩니다. 내부 PKI에도 인증기관이 포함되지만, 인증서 만료일을 포함해 내부 인증기관이 강제하는 정책은 사용자가 설정합니다. 내부 PKI에서도 짧은 만료일을 선택하는 것이 최선일 수는 있지만, 필수는 아닙니다. 내부 PKI의 모든 소프트웨어를 직접 운영할 수도 있지만, 이는 복잡하고 오류 가능성이 큰 작업입니다. DigiCert는 엔터프라이즈, 클라우드, 제조 사용 사례를 위한 여러 내부 PKI 솔루션을 제공합니다.Q: 인증서를 더 자주 교체해야 한다면 비용을 더 내야 하나요? 아니요. 최소한 DigiCert CertCentral에서는 그렇지 않습니다. 인증서는 연간 구독 형태로 결제합니다. 구독 기간 동안에는 필요한 만큼 자주 갱신하거나 교체해도 비용이 들지 않으며, 구독에는 ACME/ARI 자동화도 추가 비용 없이 포함됩니다. 이런 변화가 올 것을 예상했기 때문에 구독 모델로 전환한 것도 그 이유 중 하나입니다.고객이 인증서 갱신을 자동화하면, 쉬워지고 굳이 하지 않을 이유가 없기 때문에 자발적으로 더 빠른 교체 주기로 옮기는 경우가 많습니다. 예를 들어 30일마다 바로 갱신하도록 전환하면, 2029년 변화에도 대비가 되어 있다는 확신을 가질 수 있습니다.Q: 새 규칙은 중간 인증서와 루트 인증서에도 영향을 미치나요? 아니요. 이 규칙은 중간 CA가 발급하는 리프(leaf) 인증서에만 영향을 미칩니다.CA/B 포럼이나 다른 표준 기구에는 루트 및 중간 인증서의 유효기간을 제한하는 규칙이 없지만, 일반적으로 합의된 모범 사례가 존재하며, 인증서를 소비하는 소프트웨어 벤더는 신뢰 루트 프로그램에 대해 자체 규칙을 두고 있고 그 내용은 크게 다를 수 있습니다.Mozilla Root Store Policy는(7.4절) 키가 생성된 후 15년이 지나면 Mozilla가 루트 인증서를 신뢰 해제할 것이라고 말합니다. Chrome Root Program Policy 버전 1.6(2025년 2월 15일)의 유효기간 규칙은 더 복잡합니다. 명시적인 유효기간 상한은 없지만, “해당 키 자료가 15년보다 오래전에 생성된 루트 CA 인증서는 Chrome Root Store에서 지속적으로 제거될 것”이라고 되어 있습니다. 2014년 4월 16일 이전에 생성된 키를 포함하는 루트는 Root Program Policy에 정의된 고정 연간 일정에 따라 삭제됩니다. Microsoft Trusted Root Program은 “새로 발급된(Newly minted) 루트 CA는 제출일로부터 최소 8년, 최대 25년의 유효기간을 가져야 한다”고 말합니다. Microsoft와 다른 정책 간 규칙 차이는 Microsoft가 PKI에서 지원하는 애플리케이션의 범위가 다른 브라우저보다 훨씬 넓다는 점에서 비롯됩니다.상식적인 모범 사례 중 하나는, 루트 CA 인증서가 그 아래로 체인되는 어떤 중간 CA 인증서보다 먼저 만료되지 않도록 하는 것입니다.루트 및 중간 CA 인증서 수명주기를 잘못 관리하면 심각한 결과를 초래할 수 있습니다. 최근에도 ‘잊혀진 것으로 보이는’ Google 중간 CA 인증서가 만료되면서 많은 Google Chromecast 기기가 서비스를 이용하지 못한 사례가 있었습니다. Q: 인증서 수명주기 관리는 어떻게 자동화하나요? 웹 서버와 공개 TLS 인증서처럼 일반적이고 비교적 단순한 사례의 경우, CertCentral 고객은 널리 지원되는 ACME(Automated Certificate Management Environment)와 ARI(ACME Renewal Information) 표준을 이용해 무료로 자동화할 수 있습니다.물론 모든 인증서가 공개 TLS인 것은 아니며, 모든 기술이 ACME를 지원하는 것도 아닙니다. 그런 경우 DigiCert의 Trust Lifecycle Manager가 고급 자동화 기능과 통합을 제공합니다.ACME 자동화는 단순히 체크박스 하나를 켜는 수준을 넘어섭니다. 인증서를 요청하는 장비 또는 애플리케이션(대개 웹 서버)에서 변경해야 할 사항이 있습니다. 하지만 대부분의 관리자는 절차가 복잡하지 않고 문서도 잘 갖춰져 있음을 확인할 수 있습니다.Q: ACME와 ARI는 무엇인가요? ACME는 Automated Certificate Management Environment이고, ARI는 ACME Renewal Information입니다.ACME는 모든 주요 인증기관이 지원하는 표준으로, 인증서 클라이언트 소프트웨어(대개 웹 서버)가 CA에 인증서를 요청하고 클라이언트에 설치하는 방식입니다. (이 시나리오에서 클라이언트는 웹 서버입니다.) 클라이언트 소프트웨어도 ACME를 지원해야 합니다. 지원은 널리 퍼져 있지만 보편적이지는 않습니다. ACME 클라이언트 프로그램은 보통 Linux cron이나 Windows Scheduled Tasks를 이용해 일정에 따라 클라이언트 시스템에서 실행되지만, 더 큰 제품 안에 스케줄을 통합한 다른 솔루션도 있습니다.ARI는 관련 표준으로, 서버가 스케줄을 제안해 클라이언트가 인증서 만료 전에 갱신해야 함을 알 수 있도록 합니다. 올바르게 구성하면 ARI는 인증서가 폐기(revoked)된 경우에도 클라이언트에게 갱신을 지시해 장애를 예방할 수 있습니다. Q: 이 변화는 조직 검증(OV) 및 확장 검증(EV) 인증서에 어떤 영향을 미치나요? TLS 인증서에 대한 새 규칙에 따라, 2026년 3월 15일부터 SII(Subject Identity Information) 검증은 825일에서 398일로, 398일 동안만 재사용할 수 있습니다. 즉, OV 및 EV 인증서에 대한 주요 영향은 “인증서에 포함되어 조직을 식별하는 정보”인 SII를 2년에 한 번이 아니라 매년 다시 검증해야 한다는 점입니다.TLS Baseline Requirements에 따르면, 이를 위해 DigiCert 담당자와의 연례 전화 통화가 필요하므로 완전 자동화는 불가능합니다.OV 및 EV 인증서도 도메인명을 보호하므로, OV 및 EV 인증서의 유효기간도 DV 인증서와 동일한 일정으로 변경됩니다. 2026년에는 200일, 2027년에는 100일, 2029년에는 47일로 줄어듭니다. 이러한 인증서의 관리 자동화 필요성은 DV 인증서 못지않게 큽니다.Q: 왜 47일인가요? 47일은 임의의 숫자처럼 보일 수 있지만, 단순한 연쇄(cascade) 결과입니다:• 200일 = 최대 6개월(184일) + 30일 월의 1/2(15일) + 1일 여유(wiggle room)• 100일 = 최대 3개월(92일) + 30일 월의 약 1/4(7일) + 1일 여유(wiggle room)• 47일 = 최대 1개월(31일) + 30일 월의 1/2(15일) + 1일 여유(wiggle room)이처럼 “여유를 더해 홀수 기간을 설정하는” 모델은 CA/B 포럼에서 오랫동안 표준 운영 방식이었습니다. 현재의 398일 제한은 최대 1년(366일) + 최대 1개월(31일) + 1일 여유(wiggle room)로 선택되었습니다.Q: 이러한 변화는 양자 컴퓨팅으로 인한 암호 위협과 어떤 관련이 있나요? 직접적인 관련은 없습니다. 하지만 조직이 자동화된 인증서 관리 솔루션을 도입하도록 강제함으로써, 양자내성암호(PQC, Post-Quantum Cryptography)에 대한 준비 태세를 개선하는 효과를 가져올 것으로 예상합니다.앞으로 PQC로의 전환에는 인프라(예: 인증기관)의 암호 시스템, 고객 환경(웹 서버 및 디지털 인증서를 사용하는 기타 애플리케이션), 그리고 소프트웨어 자체(웹 브라우저, 네트워크 장비 등)에 걸쳐 많은 변화가 수반될 것입니다. 이러한 변화를 최신 상태로 따라가려면, 조직은 운영 중단 없이 빠르게 소프트웨어 변경을 수행할 수 있어야 합니다. 자동화된 인증서 수명주기 관리는 그중 중요한 일부를 가능하게 합니다.인증서는 PQC의 한 부분일 뿐이지만(다만 중요한 부분입니다), 여러분이 사용하는 다른 많은 소프트웨어·하드웨어 제품도 다양한 벤더에 의해 PQC를 지원하도록 업데이트되어야 합니다. 주목할 점은, 이러한 변화가 전면적으로 적용되는 2029년이 Gartner가 “조직이 양자 대비(quantum ready)를 갖춰야 한다”고 말하는 시점이기도 하다는 것입니다. Q: 브라우저가 아닌 클라이언트(네트워크 장비 등)는 어떤 영향을 받나요? 공개 TLS 인증서 시장은 대체로 웹 서버에 설치되는 브라우저 대상 인증서를 압도적으로 지원하지만, 그 외의 경우도 있습니다. VPN 게이트웨이와 일부 IoT 기기가 좋은 예입니다.이러한 장비들도 CLM(인증서 수명주기 관리) 주기를 더 촘촘하게 가져가야 합니다. 많은 장비가 ACME 또는 다른 자동화 프로토콜을 직접 지원하므로, 파라미터를 변경하는 것이 큰 작업이 아닐 수 있습니다. 반면 다른 경우에는 대체 자동화 메커니즘을 지원하거나 아예 지원이 없을 수도 있는데, 이때는 사용자가 자동화를 위해 프로그래밍을 해야 합니다.이 장비들에서 새로운 일정을 수용하는 것이 흔한 문제로 등장할 것입니다. 영향을 받는 자산의 전체 인벤토리를 완전하게 만드는 것이 중요하며, DigiCert는 이 과정을 지원할 수 있습니다.Q: 2026년 마감 이전에 인증서를 갱신하면 398일을 그대로 받을 수 있나요? 네, 2026년 3월 15일 이전에 갱신하여 다시 398일을 받는 것은 규칙상 가능합니다. 다만 이는 1회성 연장입니다. 다음에 인증서를 갱신할 때에는 최대 유효기간이 100일로 줄어들어 있을 것입니다. 대비를 위해 CertCentral 또는 Trust Lifecycle Manager를 사용한 자동화를 미리 구축해 두시기 바랍니다.2026년 3월 15일 당일 또는 그 이후에 인증서를 재발급(리키, rekey)해야 한다면, DigiCert(또는 어떤 공개 CA든)는 그 시점에 적용되는 규칙을 따라야 하며, 그 경우 최대 200일짜리 인증서가 될 수밖에 없습니다. 인증서 관리를 자동화하기 가장 좋은 시점은 가능한 한 빠를 때입니다. 만료 또는 기타 원인으로 인한 장애 위험 없이 준비할 수 있도록, 최대한 빨리 자동화 체계를 마련하시기 바랍니다.인증서 자동화는 “언젠가”가 아니라 “지금” 준비할수록 안전합니다. DigiCert Trust Lifecycle Manager(TLM)로 인증서 수명주기 관리를 체계화하고, 단축 일정(200→100→47일)에도 흔들림 없이 대응하세요.▶ 디지서트(DigiCert) TLM 자세히보기▶ ​FAQs: 47-Day TLS Certificates 원문보기

최근 몇 년간 국내외 주요 기업들의 보안 사고가 끊이지 않고 있습니다. 2022년 UBER 해킹 사건, 2025년 초 국내 금융보증 기관의 개인정보 유출 사건 등 대형 보안 사고들을 살펴보면 공통점이 있습니다. 바로 '수동 보안 체계의 한계'입니다.이번 글에서는 실제 보안 사고 사례를 분석하고, 왜 보안 자동화가 필수인지, 그리고 어떤 방식으로 랜섬웨어와 보안 위협을 차단할 수 있는지 살펴보겠습니다.☑️반복되는 보안 사고, 무엇이 문제인가2022년 UBER 해킹: 계정 관리와 자격증명 보호의 실패2022년, 글로벌 모빌리티 기업 UBER가 해킹을 당했습니다. 공격의 시작은 다크웹에서 구매한 퇴사자 계정이었습니다. 공격자는 2FA/MFA 스패밍으로 인증을 우회하고 VPN을 통해 UBER 사내 네트워크에 침투했습니다. 침투 후 공격자는 인프라 스캐닝으로 PowerShell 스크립트를 추적했고, 스크립트 내부에 하드코딩된 자격증명을 발견했습니다. 이를 활용해 PAM(특권 계정 관리 시스템)에 접근했고, 최종적으로 애플리케이션과 인프라 전반에 접근하여 데이터를 탈취했습니다.이 사고는 여러 단계에서 방어가 실패했음을 보여줍니다. 퇴사자 계정 관리, 퇴사자 계정 접근 탐지, 임의 자격증명 사용 탐지, VPN 인프라 접근 제어, 인프라 내부 접근 제어, 스크립트 내 자격증명 보호, 자격증명의 안전한 보호 중 어느 하나라도 제대로 작동했다면 막을 수 있었던 사고입니다.2025년 국내 금융보증 기관: 공격 탐지와 데이터 암호화의 부재2025년 초, 국내 한 금융보증 기관에서 개인정보 유출 사고가 발생했습니다. 공격자는 무차별 대입 공격으로 VPN에 접근했고, 사내 네트워크 침투 후 인프라 스캐닝을 통해 데이터베이스 자격증명을 획득했습니다. 더 심각한 문제는 데이터베이스에 저장된 개인정보가 암호화되지 않았다는 점입니다. 공격자는 개인정보 데이터를 취득하여 탈취했습니다.무차별 대입 공격 탐지, 임의 자격증명 사용 탐지, VPN 접근 제어, 인프라 내부 접근 제어, 데이터베이스 자격증명 보호, 데이터와 스토리지 암호화 중 어느 하나라도 제대로 구현되었다면 막을 수 있었던 사고입니다.☑️수동 보안의 한계보안 요소들의 자동화를 하지 않으면 다양한 손실이 누적 발생합니다. 핵심은 사람이 반복적으로 실수하지 않도록 만드는 구조를 만드는 것입니다.보안적 손실: 사람의 실수로 시작되는 보안 사고자격증명 유출은 보안 사고의 주요 원인입니다. IBM 2023년 데이터 유출 비용 보고서에 따르면 전체 보안 사고 중 19%가 자격증명 탈취에서 시작되며, 이로 인한 평균 손실액은 63억원에 달합니다. 더 심각한 문제는 권한 없는 사용자의 접근입니다. Forrester Research에 따르면 이러한 접근이 전체 보안 사고의 80% 이상에 관여합니다. Bastion이나 VPN만으로 접근을 제어할 경우 공유 계정 사용, 장기 키 노출과 같은 취약점이 발생합니다.결국 Verizon Data Breach Investigations Report (DBIR)가 밝혔듯이, 보안 사고의 80% 이상이 사람으로 인해 발생합니다. 아무리 강력한 보안 시스템을 구축해도 사람이 반복적으로 실수한다면 사고는 막을 수 없습니다.경제적 손실: 보이지 않는 비용의 누적보안적 위험 외에도 수동 관리는 상당한 경제적 비용을 발생시킵니다.수작업으로 키를 관리하는 경우를 살펴보겠습니다. 1개의 자격증명을 갱신하는 데 평균 26시간이 소요됩니다. 연간 500개의 자격증명을 관리한다면 1,0003,000시간이 소요되며, 이를 인건비로 환산하면 1.5억~4억원의 손실이 발생합니다. 이 시간과 비용을 보안 전략 수립이나 신규 위협 분석 같은 더 가치 있는 업무에 투입할 수 있습니다.Bastion Host 운영도 만만치 않은 비용을 요구합니다. 별도 관리 서버를 구성하면 인프라 비용으로 월 $50~$200가 소요되고, 여기에 관리 및 보안 점검 인력 투입 비용까지 합하면 연간 1~2천만원 이상이 추가로 발생합니다. 게다가 Bastion Host는 일반적으로 개별 리소스에만 연결되지 않기 때문에, 한 번 뚫리면 내부 자산 전체가 노출될 위험이 높습니다.☑️보안 자동화가 답이다: 4가지 핵심 원칙랜섬웨어를 막기 위해서는 보안 자동화가 필수입니다. 보안 자동화의 핵심은 네 가지 원칙으로 요약됩니다.원칙 1: 모든 침해는 항상 계정에서 시작된다UBER와 국내 금융보증 기관 사례에서 확인했듯이, 모든 보안 사고는 계정 침해에서 시작됩니다. 따라서 자격증명 관리가 보안의 출발점입니다.원칙 2: 누가, 언제, 무엇에 접근하는가를 통제하지 않으면 사고는 반복된다네트워크에 침투한 공격자가 내부 시스템을 자유롭게 이동할 수 있다면, 피해는 급속도로 확산됩니다. 접근 제어는 침해 확산을 막는 핵심입니다.원칙 3: 하드코딩된 시크릿은 침해를 예약한 것과 같다UBER 사례에서 본 것처럼, 스크립트에 하드코딩된 자격증명은 공격자에게 열쇠를 쥐어주는 것과 같습니다. 시크릿은 반드시 안전하게 보호되고 동적으로 관리되어야 합니다.원칙 4: 보안 사고는 '발생 여부'가 아니라 '인지 시점'이 문제다보안 사고를 완전히 막을 수는 없습니다. 중요한 것은 얼마나 빨리 탐지하고 대응하느냐입니다. 지속적인 탐지와 모니터링이 필요한 이유입니다.☑️보안 자동화 프레임워크: 4단계 방어 체계클라우드네트웍스는 침투 차단, 확산 제한, 자격 무력화, 조기 탐지라는 4단계 방어 체계로 랜섬웨어와 보안 위협을 차단합니다.1단계: 침투 차단 - 자격증명 관리 (Okta)첫 번째 방어선은 침투 자체를 차단하는 것입니다. Okta는 비밀번호 탈취를 무력화하고 이상 접근을 실시간으로 차단합니다.· 비밀번호 탈취 무력화 Okta는 강력한 MFA(다중 인증)와 Passwordless(비밀번호 없는) 인증을 제공합니다. 다양한 방식의 MFA 기능을 지원하며, 공격자의 행동을 감지하는 MFA를 통해 이상 접근을 차단합니다.· 이상 접근 실시간 차단 권한 최소화와 세션 통제를 통해 이상 접근을 차단합니다. Just In Time 방식으로 필요한 순간에만 권한을 부여하고, 세션 시간을 제한하며, 모든 명령어를 감사로그로 기록합니다.▶ 옥타(Okta) 자세히보기2단계: 확산 제한 - 접근제어 (QueryPie)공격자가 네트워크에 침투했다 하더라도, 내부 이동을 막으면 피해를 최소화할 수 있습니다. QueryPie는 불필요한 접근을 차단하고 최소 권한 기반으로 접근을 통제합니다.· 다양한 인프라에 대한 접근 관리 불필요한 접근을 차단하고 마이크로세그먼트를 실현합니다. 클라우드, 데이터베이스, Kubernetes, 웹 애플리케이션 등 다양한 인프라에 대한 접근을 관리합니다.· 최소 권한 기반 접근 특정 데이터베이스, 특정 서버만 최소 권한(RBAC, ABAC)으로 접근할 수 있도록 제어합니다.· 감사로깅 모든 접근 이력을 추적 관리합니다.▶ 쿼리파이(QueryPie) 자세히보기3단계: 자격 무력화 - 시크릿 관리 (HashiCorp Vault)세 번째 방어선은 자격증명이 탈취되더라도 재사용할 수 없게 만드는 것입니다. HashiCorp Vault는 ZeroTrust 아키텍처를 통해 데이터베이스와 서버 자격증명을 보호합니다.· DB/서버 자격증명 보호를 통한 ZeroTrust 아키텍처 구성 동적 자격증명을 짧은 TTL(Time To Live)로 발급하여 탈취되더라도 재사용이 불가능하도록 합니다. 자격증명 로테이션과 폐기를 자동화합니다.· 데이터 암호화 개인정보를 암호화하여 보호하고, 암호화키와 암호화 주체를 분리합니다.· 감사로깅 모든 자격증명 발급을 추적합니다.▶ 하시코프 볼트(HashiCorp Vault) 자세히보기4단계: 조기 탐지 - 지속 탐지 (Splunk)마지막 방어선은 위협을 조기에 탐지하고 즉각 대응하는 것입니다. Splunk는 무차별 대입 공격과 비정상 로그인 시도를 실시간으로 탐지하고 자동으로 대응합니다.· 실시간 위협 탐지 무차별 대입 공격(Brute Force), 비정상 VPN 로그인 시도를 실시간으로 탐지합니다. 내부망에서의 과도한 스캐닝, 비정상 데이터베이스 접근 로그를 이상 징후로 경고합니다.· 즉각 대응 침해 징후 발생 시 관리자에게 즉각적인 알림을 전송하고, 사전에 정의된 대응 플로우(Playbook)를 자동으로 실행합니다.▶ 스플렁크(Splunk) 자세히보기☑️마치며: 자동화로 완성하는 보안UBER와 국내 금융보증 기관 사례가 보여주듯, 수동 보안 체계는 이미 한계에 도달했습니다. 사람의 실수는 반복되고, 보이지 않는 비용은 누적되며, 보안 사고는 계속됩니다. 보안 자동화는 선택이 아닌 필수입니다. 자격증명으로 시작하여 모든 접근을 통제하고, 시크릿을 보호하며, 모든 것을 지속적으로 탐지하는 것. 이것이 랜섬웨어와 보안 위협으로부터 기업을 효과적으로 보호하는 방법입니다.클라우드네트웍스는 Okta, QueryPie, HashiCorp Vault, Splunk를 통해 기업 환경에 최적화된 보안 자동화 프레임워크를 구축합니다. 보안 사고가 발생하기 전에, 지금 바로 보안 자동화를 시작하세요. Okta, QueryPie, HashiCorp Vault, Splunk 솔루션에 대한 문의사항은 클라우드네트웍스로 연락 부탁드립니다. 

직원들이 어디서든 필요한 앱과 도구에 안전하고 원활하게 접근할 수 있어야 합니다. 하지만 기존의 SSO(Single Sign-On)와 MFA(Multi-Factor Authentication)만으로는 충분하지 않습니다. 사용자들은 반복되는 인증 프롬프트에 불편을 느끼고, 이러한 표준 방어 수단도 정교한 ID 기반 공격을 막기에는 역부족일 수 있습니다.최근 Okta 공식 블로그에서 이러한 SSO 보안 취약점에 대응하는 새로운 솔루션을 소개했습니다. Okta가 새롭게 선보이는 'Device-Bound SSO'는 세션 재생 공격을 방어하면서도 로그인 절차를 간소화하는 솔루션입니다. 디바이스 로그인 시점부터 하드웨어로 보호되는 SSO 세션을 시작하여, 보안과 생산성을 동시에 확보할 수 있습니다.🔷Work safer and faster with 'Device-Bound Single Sign-On'직원들은 어디에 있든, 언제든 업무에 필요한 앱과 도구에 안전하고 원활하게 접근할 수 있기를 기대합니다. 하지만 한 가지 분명한 사실은 기존의 SSO(Single Sign-On)와 MFA(Multi-Factor Authentication)만으로는 충분하지 않다는 것입니다. 사용자들은 반복되는 인증 프롬프트에 불만을 느낄 뿐만 아니라, 이러한 표준 방어 수단도 더욱 정교한 ID 기반 공격을 막는 데는 실패할 수 있습니다.SSO의 광범위한 도입이 인력 생산성과 사용자 경험을 크게 향상시킨 것은 사실이지만, 동시에 MFA를 우회하는 데 악용될 수 있는 단일 고가치 자산, 즉 지속적인 세션 토큰이나 쿠키를 만들어냈습니다. 2025 SpyCloud Identity Exposure Report에 따르면, 2024년에 약 173억 개의 세션 쿠키가 악성코드에 감염된 디바이스에서 탈취되었습니다. 조직은 어떻게 세션 재생 공격을 방어하면서 직원들의 로그인 불편을 줄일 수 있을까요?Okta는 ID 보안이 생산성이나 민첩성을 해치지 않으면서 모든 로그인 접점을 보호할 수 있도록 IT 및 보안 팀에 권한을 부여해야 한다고 믿습니다. 이것이 Okta가 주요 플랫폼과의 가장 깊은 디바이스 통합을 제공하고 디바이스 액세스에 의미 있는 투자를 해온 이유입니다.이제 Okta는 Okta Device Access의 차세대 진화를 발표하게 되어 기쁩니다. 디바이스를 활용하여 애플리케이션 보호 방식을 재정의하는 새로운 방법을 소개합니다. Device-Bound SSO는 세션 재생 보호와 간소화된 로그인 경험을 제공하여 사용자가 안전하게 필요한 곳으로 이동할 수 있도록 돕습니다.하드웨어로 보호되는 SSO로 안전한 시작Okta Device Access의 새로운 기능인 Device-Bound SSO는 디바이스 로그인 후 다운스트림 앱에 원활하게 액세스할 수 있도록 하드웨어로 보호되는 SSO 세션을 시작합니다. 기존 SSO와 달리 이 기능은 인증 프롬프트를 줄이면서 Okta SSO 세션 재생 위험을 최소화합니다. 신뢰할 수 있는 사용자 및 디바이스 ID와 애플리케이션 액세스를 연결하는 심층 방어 보안을 확보할 수 있습니다.Device-Bound SSO를 사용하면 디바이스 로그인 시 처음 인증받을 때 SSO가 시작되며, 보안이 가장 초기 액세스 지점으로 이동하여 디바이스 자체에서 신뢰가 시작되도록 보장합니다. 즉, Okta Device Access로 성공적으로 완료된 디바이스 로그인을 활용하여 동일한 수준의 보안 보증이 필요한 다운스트림 리소스에 액세스할 수 있습니다. 이는 인증 요청 빈도를 줄여 위협 행위자의 진입점을 감소시킬 뿐만 아니라, 하드웨어로 보호되고 암호화 방식으로 안전한 세션을 시작하여 ID 기반 공격을 훨씬 어렵게 만듭니다. 액세스가 사용자뿐만 아니라 그들의 디바이스에도 연결되기 때문에, 위협 행위자가 활성 Okta SSO 세션을 탈취하더라도 다른 디바이스에서 이를 활용할 수 없습니다.Okta Device Access는 Windows 및 macOS 컴퓨터의 디바이스 로그인 시점에 Okta의 간편하고 안전한 인증 경험을 제공합니다. 이제 Device-Bound SSO를 통해 사용자는 Okta에 연결된 디바이스에 로그인하기만 하면 업무 리소스에 안전하게 액세스할 수 있어, 더 안전하고 빠르게 업무를 시작할 수 있습니다.Okta에 연결되도록 기기를 구성하세요.Device-Bound SSO는 모든 Okta 연결 디바이스에서 사용할 수 있습니다. 디바이스를 Okta에 연결하면 디바이스에서 앱까지 현대적이고 통합된 인증 경험을 활용할 수 있습니다.Okta 연결 디바이스란 단순히 Okta에 직접 등록되어 조직의 신뢰할 수 있는 ID 보안 체계의 일부가 된 디바이스를 말합니다. 디바이스는 더 이상 단순한 하드웨어가 아닙니다. 일급 ID로 인식되고 보호됩니다. 즉, Okta는 디바이스 관리 솔루션 및 도구 생태계와 협력하여 해당 디바이스에서 사용자 및 디바이스 ID에 대한 통합 인증 레이어 및 디렉터리로서 액세스 관리 요구사항을 처리합니다.직원 입장에서는 업무 시작이 더욱 원활해집니다. 디바이스에 한 번 로그인하면 Okta로 보호되는 앱에 원활하게 액세스할 수 있습니다. IT 및 보안 팀 입장에서는 각 로그인이 사용자, 디바이스, 조직 간의 신뢰 핸드셰이크가 되어, 디바이스 자체를 보안 태세에 바인딩하여 분산된 ID의 격차를 해소하는 동시에 데이터를 보호하고 직원들이 계속 업무를 수행할 수 있도록 만듭니다.조직은 이미 Active Directory 또는 Entra ID에 연결된 디바이스를 Okta에 연결하여 하이브리드 Okta 연결 상태로 만들 수 있습니다. 어느 경우든 조직은 다음과 같은 주요 ID 보안 결과를 통해 안전하고 현대적인 경험을 얻습니다.· 디바이스가 Okta Universal Directory에 등록되며, 운영 체제(OS) 프로필을 기본 Okta 사용자에게 연결할 수 있습니다.· 디바이스에서의 인증은 하드웨어로 보호되는 디바이스 세션으로 보호됩니다(즉, Device-Bound SSO를 활성화하려면 디바이스가 Okta에 연결되어 있어야 합니다).· 인증 시 Okta는 사용자가 Okta 연결 디바이스에서 보호된 리소스에 액세스하고 있음을 증명합니다.Okta Device Access가 추가 기능을 계속 도입함에 따라, Okta 연결 디바이스는 첫 로그인부터 시작되는 보호를 활용하여 디바이스를 신뢰할 수 있는 게이트웨이로 전환하는 데 가장 유리한 위치에 있게 될 것입니다.자세히 알아보기Okta Device Access는 Okta 연결 디바이스에서 현대적이고 통합된 인증 경험을 제공하여 사람들이 더 안전하고 빠르게 업무를 시작할 수 있도록 돕습니다. 첫 로그인부터 신뢰를 검증함으로써 디바이스 자체에서 보안이 시작되어 다운스트림 리소스로의 경로를 간소화하면서 보호를 강화합니다. Device-Bound SSO는 현재 셀프 서비스 얼리 액세스로 제공되며, Windows 및 macOS 디바이스 모두 지원됩니다. Device-Bound Single Sign-On과 Okta, Auth0 플랫폼에 대한 도입 상담 및 문의사항은 공식 파트너사인 클라우드네트웍스로 연락 부탁드립니다. ▶ 옥타(Okta) 자세히보기 ▶ Device-Bound Single Sign-On 자세히보기

2025년 상반기, 국내 통신사에서 역대 국내 침해사고 중 최대 규모의 정보 유출 사고가 발생했습니다. 과학기술정보통신부와 한국인터넷진흥원(KISA)의 민관합동조사 결과에 따르면, 서버 계정정보가 암호화되지 않은 채 평문으로 저장되어 있었고, 공격자는 이를 활용해 내부망의 다른 서버들로 침투할 수 있었습니다. 서버 계정 관리 부실과 주요 정보 암호화 미흡, 그리고 전사적으로 작동하지 못한 정보보호 거버넌스 체계가 복합적인 원인으로 지목되었습니다.이처럼 서버 패스워드 관리는 단순한 운영 편의성의 문제가 아닌, 기업의 핵심 정보 자산을 지키는 보안의 첫 관문입니다. 이글루코퍼레이션의 2025년 사이버 보안 위협 보고서에서도 관리 서버 해킹 및 초기 관리자 패스워드 노출 등 접근 통제 취약점을 악용한 공격이 지속적으로 증가하고 있다고 경고했습니다.☑️주기적인 패스워드 변경, 왜 필요하지만 어려울까?패스워드가 유출된 경우 패스워드가 변경되기 전까지 공격자의 행위에 대한 대처가 어렵습니다. 주기적인 패스워드 변경을 통해 이러한 위협을 최소화할 수 있지만, 일반적인 수동 방법으로는 합리적 운영에 한계가 있습니다.주기적인 패스워드 변경이 필요한 이유는 명확합니다. 패스워드 유출 시 즉각적인 확인이 어렵고, 접근 권한이 종료된 계정에 대한 통제가 어려우며, 고정된 패스워드 사용 시 공격에 노출될 확률이 높아집니다. 또한 내부자의 위협에 노출되기 쉽고, 각종 컴플라이언스 준수를 위해서도 필수적입니다. 그러나 수동 변경에는 여러 한계가 있습니다. 서버 수량에 따라 수많은 인력 투입이 필요하며, 동일하거나 유사한 패스워드를 재사용할 가능성이 높습니다. 변경된 패스워드를 공유하기 위해 메신저나 메모를 사용하면 노출 가능성이 향상되고, 패스워드 변경으로 인한 서비스 장애 및 운영 리스크가 증가합니다. 무엇보다 로그와 이력이 부재하여 감사의 신뢰성이 부족하다는 점이 가장 큰 문제입니다.보안뉴스의 2025년 시스템 접근제어·계정관리·패스워드 관리 리포트에 따르면, 수작업 기반의 사용자 계정관리 프로세스는 시간이 오래 걸리고 인력 소모가 커서 결과적으로 기업에 상당한 비용을 발생시킵니다. 또한 복잡한 비밀번호 정책이나 다중인증(MFA) 사용을 불편해하는 사용자가 많아 비밀번호 재사용이나 취약한 비밀번호 설정 등 잘못된 보안 습관이 만들어지는 문제도 발생하고 있습니다.☑️HashiCorp Vault를 활용한 서버 패스워드 관리하시코프 볼트(HashiCorp Vault)는 이러한 문제를 해결할 수 있는 강력한 시크릿 관리 솔루션입니다. HashiCorp Vault는 API keys, passwords, certificates 등 모든 시크릿에 대한 통합 인터페이스를 제공하며, 엄격한 접근 통제와 상세한 감사 로그를 기록합니다.Vault를 활용하면 서버, 클라우드, 데이터베이스에 대한 시크릿 관리를 중앙화하고 암호화하여 안전하게 관리할 수 있습니다. 애플리케이션과 사용자는 API, UI, CLI, SDK를 통해 Vault에 접근하며, Vault는 인증 과정을 거친 후 키, 패스워드, 토큰을 안전하게 관리합니다.HashiCorp Vault는 데이터를 저장 백엔드에 보내기 전에 암호화합니다. 저장 백엔드는 보안 경계 외부에 있기 때문에 신뢰할 수 없는 것으로 간주되므로, 공격자가 저장소에 접근하더라도 Vault가 복호화하기 전까지는 데이터를 읽을 수 없습니다.방안 1: SSH CA - 비밀번호 없는 안전한 인증SSH CA(Certificate Authority)는 패스워드 노출 없이 단기 인증서 발급을 통한 안전한 사용자 인증 방식입니다.  SSH CA 방식은 서버 접근 시 비밀번호 대신 단기 유효한 인증서를 발급하여 사용자를 인증합니다. 이는 패스워드리스(passwordless) 방식으로 계정 공유, 장기 비밀번호 노출 등의 보안 리스크를 해소합니다. 패스워드 관리 없이 사용자 단위의 접근 통제와 자동 만료 기반의 안전한 서버 접근이 가능하다는 것이 가장 큰 장점입니다.SSH CA 작동 방식은 다음과 같습니다. 먼저 사용자가 개인 SSH 키 쌍을 생성합니다. 그 다음 Vault에 인증하여 토큰을 받고, SSH 공개키를 Vault에 전송하여 서명을 요청합니다. Vault는 설정된 역할에 따라 SSH 키에 서명하여 인증서를 반환하고, 사용자는 이 서명된 인증서를 사용하여 SSH 연결을 시도합니다. 원격 호스트는 클라이언트 SSH 인증서가 신뢰할 수 있는 SSH CA에 의해 서명되었는지 확인하고 연결을 허용합니다.이 방식의 특징은 모든 인증서 서명 요청에 인증이 필요하다는 점입니다. 이를 통해 기업은 중앙 아이덴티티 프로바이더를 사용하여 서버에 대한 승인된 SSH 접근을 관리할 수 있습니다. 또한 호스트 측에서는 최소한의 변경만 필요하며, SSH CA 공개 인증서만 있으면 되므로 호스트가 Vault에 직접 연결할 필요가 없습니다. SSH CA의 개인 키는 보호되어 Vault 외부로 절대 나가지 않으며, 모든 Vault 인증 시도와 키 서명 요청은 감사 추적에 기록됩니다.방안 2: SSH OTP - 일회성 비밀번호로 노출 위험 최소화SSH OTP(One-Time Password)는 일회성 비밀번호 발급으로 단기 인증을 수행하여 패스워드 노출 위험을 최소화하는 방식입니다. HashiCorp는 Vault가 클라이언트의 SSH 연결 요청 시마다 일회성 비밀번호를 발급합니다. 이 방식은 기존 비밀번호 기반 접근 구조를 유지하면서도, 장기 비밀번호 사용으로 인한 보안 리스크를 줄일 수 있습니다. 별도 키 관리 없이 일회성 비밀번호를 통해 접근 이력을 명확히 추적할 수 있다는 것이 특징입니다.SSH OTP 작동 방식은 다음과 같습니다. 인증된 클라이언트가 Vault 서버에 OTP를 요청하고, 승인된 경우 Vault가 OTP를 발급합니다. 클라이언트가 SSH 인증 중 이 OTP를 사용하면, Vault helper가 OTP를 받아 Vault 서버로 검증을 요청합니다. Vault 서버는 OTP를 검증한 후 삭제하여 단 한 번만 사용되도록 보장합니다.SSH 연결 설정 시 Vault 서버에 접촉하기 때문에 모든 로그인 시도와 관련된 리스 정보가 감사 장치에 기록됩니다. 이를 위해서는 원격 호스트에 vault-ssh-helper를 설치해야 합니다. vault-ssh-helper는 SSH 백엔드의 OTP 타입 역할에 속하는 모든 원격 호스트에 설치되어야 합니다.☑️마치며서버 패스워드 관리는 더 이상 선택이 아닌 필수입니다. SK쉴더스의 2025 보안 위협 전망 보고서와 엑소스피어의 2025년 보안 이슈 분석에 따르면, 2026년에도 서버 접근 통제 취약점을 악용한 공격과 랜섬웨어 공격이 지속적으로 증가할 것으로 예상됩니다.HashiCorp Vault의 SSH CA와 SSH OTP 방식은 각각의 장점을 가지고 있습니다. SSH CA는 완전히 passwordless 환경을 구축할 수 있고, SSH OTP는 기존 인프라를 크게 변경하지 않으면서도 보안을 강화할 수 있습니다. 조직의 상황과 요구사항에 따라 적절한 방식을 선택하거나 두 가지를 조합하여 사용할 수 있습니다. 서버 패스워드 관리의 자동화와 중앙화, 그리고 감사 추적 가능성은 현대적인 보안 아키텍처의 필수 요소입니다. 지금부터라도 조직의 서버 접근 통제 방식을 점검하고 개선할 때입니다.클라우드네트웍스는 HashiCorp 공식 파트너로서 Vault를 포함한 HashiCorp 제품군의 도입부터 구축, 운영까지 전 과정을 지원하고 있습니다. 조직의 현재 인프라 환경과 보안 요구사항을 분석하여 최적의 시크릿 관리 아키텍처를 제안해드립니다. 서버 접근 통제 방식 개선이나 HashiCorp Vault 도입에 대해 궁금하신 점이 있으시다면, 클라우드네트웍스로 연락 부탁드립니다. ▶하시코프 볼트(HashiCorp Vault) 자세히보기

AI 시대, 새로운 보안 과제에 직면한 기업들기업의 AI 도입이 가속화되면서 보안 담당자들은 새로운 딜레마에 직면하고 있습니다. 서드파티 AI 애플리케이션을 사용하든, 자체 AI를 개발하든, 속도를 위해 안전과 보안을 희생할 수는 없습니다. 하지만 기존의 보안 솔루션만으로는 AI 특유의 위험을 충분히 방어하기 어려운 것이 현실입니다.멀티 클라우드, 멀티 모델 환경에서 기업들이 직면하는 AI 보안 과제는 복잡합니다. 조직 전반에서 사용되는 서드파티 AI 애플리케이션의 가시성을 확보해야 하고, 프롬프트 인젝션, 데이터 유출 등 AI 특화 위협으로부터 보호해야합니다. 분산된 클라우드 환경 전반의 AI 자산과 데이터를 관리하고, 빠르게 진화하는 AI 위협에 실시간으로 대응해야 합니다. Cisco AI Defense는 이러한 과제를 해결하기 위해 설계된 엔터프라이즈급 AI 보안 솔루션입니다.Cisco AI Defense: 엔터프라이즈가 선택한 AI 보안 솔루션Cisco AI Defense는 AI를 구축하고, 사용하고, 혁신하는 기업을 위한 엔드투엔드 보호 솔루션입니다.Gartner의 'Market Guide for AI Trust, Risk and Security Management'는 Cisco AI Defense를 AI TRiSM 시장의 주요 솔루션으로 소개하며 다음과 같이 평가했습니다."Cisco AI Defense는 엔터프라이즈 애플리케이션의 개발 및 배포와 서드파티 AI 앱의 직원 사용을 보호합니다. 이 제품은 Robust Intelligence 인수를 통해 얻은 알고리즘 취약성 테스트 및 런타임 가드레일을 기반으로 하며, Cisco의 네트워크 계층 가시성과 보안 실행을 활용하여 분산 환경 전반의 AI 자산과 워크로드를 보호합니다."Cisco는 2024년 AI 보안 스타트업 Robust Intelligence를 인수하며 AI 보안 역량을 대폭 강화했습니다. 이를 통해 알고리즘 기반의 정교한 취약성 테스트와 런타임 보호 기능을 자사의 네트워크 및 보안 인프라와 통합할 수 있게 되었습니다.Cisco AI Defense: AI 사용과 개발, 두 가지 시나리오 모두 보호· AI 사용 환경 보호 : 조직 전반에서 사용되는 서드파티 AI 애플리케이션을 자동으로 파악합니다. 직원의 액세스를 관리하고, 위협으로부터 보호하며, 민감한 데이터 손실을 방지하는 정책을 정의할 수 있습니다.· AI 개발 환경 보호 : 환경 전반의 AI 자산을 탐지하고, 알고리즘 방식으로 모델을 평가하여 취약점을 식별합니다. 이후 AI 앱과 고객을 실시간으로 보호하는 가드레일을 배포합니다.Cisco AI Defense의 핵심 구성 요소Cisco AI Defense는 포괄적인 AI 보안을 위한 다섯 가지 핵심 구성 요소로 이루어져 있습니다.1. AI Model and Application Validation (AI 모델 및 애플리케이션 검증) : 대규모로 모델 전반의 안전성 및 보안 취약점을 식별합니다. 알고리즘 레드 팀 기술을 통해 불과 몇 초 만에 AI 위험을 평가할 수 있습니다.2. AI Runtime Protection (AI 런타임 보호) : 네트워크에 내장된 가드레일로 프로덕션 AI 애플리케이션을 보호합니다. 적대적 공격과 유해한 응답을 실시간으로 차단합니다.3. AI Cloud Visibility (AI 클라우드 가시성) : 분산 환경 전반의 AI 모델과 연결된 데이터 소스를 자동으로 인벤토리화하여 사용 현황을 파악하고 위험을 측정합니다.4. AI Access (AI 액세스) : 서드파티 AI 애플리케이션에 대한 액세스를 모니터링하고 관리합니다. 민감한 데이터 노출을 제한하고 외부 위협으로부터 보호하는 정책을 실행합니다.5. AI Supply Chain Risk Management (AI 공급망 위험 관리) : AI 모델 및 파일에 대한 거버넌스와 보안을 보장하는 AI 공급망 위험 관리를 제공합니다.Cisco만의 차별화된 AI 보안 접근 방식· 네트워크 계층 데이터 인사이트 : Cisco는 분산 환경 전반에서 실행되는 데이터를 확인할 수 있어, AI 트래픽 및 관련 위험에 대한 완전한 가시성을 제공합니다.· 네트워크 패브릭에 융합된 보안 : Cisco는 에이전트나 라이브러리 없이 네트워크 수준에서 AI 보안을 실행하여, AI 개발과 보안을 분리합니다.· 고급 탐지 기능 : AI Defense 가드레일은 프롬프트 인젝션 및 악성 URL 탐지를 넘어 모델 서비스 거부(DoS), 코드 탐지, 오프 토픽 공격 등 최신 위협으로부터 보호합니다.· 우수한 위협 인텔리전스 : Cisco는 AI 연구소와 Talos의 최신 위협 인텔리전스를 활용하여 탐지 기능을 개선하고, 신규 공격으로부터 보호하기 위한 즉각적인 플랫폼 업데이트를 제공합니다. Splunk 고객은 추가 인사이트를 위해 Splunk 데이터를 활용할 수 있습니다.· AI 보안 표준을 선도하는 Cisco : Cisco는 AI 보안 표준 기구와 초기부터 협력해 왔으며, 현재도 적극적으로 기여하고 있습니다. AI Defense는 단일 통합으로 NIST, MITRE ATLAS, OWASP LLM Top 10을 포함한 표준과의 정렬을 지원합니다.AI TRiSM 프레임워크와 Cisco AI DefenseGartner가 제시한 AI TRiSM(AI Trust, Risk and Security Management) 프레임워크는 기업의 안전한 AI 도입을 위한 4개 계층으로 구성됩니다. Cisco AI Defense는 이 중 가장 중요한 상위 2개 계층을 포괄적으로 지원합니다.AI 거버넌스 계층· AI Cloud Visibility를 통해 조직의 모든 AI 자산을 자동으로 인벤토리화하고 위험을 평가합니다.· AI Model and Application Validation으로 알고리즘 기반의 취약성 테스트를 수행합니다.· 지속적인 보안 테스트와 평가를 통해 AI 시스템의 신뢰성을 보장합니다.AI 런타임 검사 및 실행 계층· 프롬프트 인젝션, 데이터 유출, 모델 DoS 등 AI 특화 위협을 실시간으로 탐지하고 차단합니다.· 민감한 데이터의 노출을 방지하고 액세스 제어를 실행합니다.· 입력 및 출력에 대한 실시간 검사를 통해 정책 위반을 방지합니다.Cisco의 네트워크 계층 가시성과 보안 실행 능력은 에이전트 설치 없이도 분산 환경 전반의 AI 워크로드를 효과적으로 보호합니다. 이는 AI 개발 속도를 저해하지 않으면서도 강력한 보안을 제공하는 Cisco만의 차별화된 접근 방식입니다.안전한 AI 혁신을 위한 파트너, 클라우드네트웍스기업의 AI 도입이 가속화될수록 체계적인 보안 전략은 더욱 중요해집니다. Cisco AI Defense는 AI 사용과 개발 전반에 걸쳐 포괄적인 보호를 제공하며, AI TRiSM 프레임워크를 실현하는 엔터프라이즈급 솔루션입니다. 클라우드네트웍스는 Cisco의 공식 파트너로서 기업의 AI 보안 전략 수립부터 Cisco AI Defense 도입, 운영, 최적화까지 검증된 전문성으로 지원합니다. Cisco AI Defense는 Splunk 데이터와의 연계를 통해 추가적인 인사이트 확보가 가능하며, 클라우드네트웍스는 Cisco와 Splunk 솔루션 모두에 대한 깊이 있는 경험을 보유하고 있습니다.▶ Cisco AI Defense 자세히보기▶ Splunk 자세히보기AI 거버넌스 구축과 AI 보안 강화에 대해 궁금하신 점이 있으시다면, 언제든 클라우드네트웍스로 문의해 주세요.

⏰TLS/SSL 인증서 유효기간, 계속 짧아지고 있습니다여러분의 조직에서는 SSL/TLS 인증서를 얼마나 자주 갱신하고 계신가요? 아마 대부분 1년에 한 번, 혹은 길게는 2년에 한 번 정도 갱신하고 계실 겁니다. 그런데 이 주기가 곧 대폭 짧아질 예정입니다.2024년 10월, CA/Browser Forum에서 Apple이 제안한 TLS 인증서 유효기간 단축 일정이 확정되었습니다. 현재 398일인 최대 유효기간은 2026년 3월 15일부터 200일로 줄어듭니다. 즉, 약 6개월 반마다 인증서를 새로 발급받아야 한다는 의미입니다. 여기서 끝이 아닙니다. 2027년 3월에는 100일로, 그리고 2029년 3월에는 47일로 더욱 짧아집니다. 47일이면 한 달 반 정도밖에 안 됩니다​이는 제안이 아닌 확정된 일정입니다. 2026년 3월부터는 200일 이상의 유효기간을 가진 인증서를 발급받을 수 없게 됩니다.왜 인증서 유효기간을 단축할까요?인증서 유효기간 단축은 단순히 보안 업계의 변덕이 아닙니다. 명확한 보안상의 이유가 있습니다.첫째, 보안 침해에 대한 대응 시간을 단축할 수 있습니다. 인증서가 유출되거나 키가 노출되었을 때, 유효기간이 길면 그만큼 오랜 시간 동안 악용될 수 있습니다. 유효기간을 단축하면 잠재적 피해 기간이 줄어듭니다.둘째, 암호화 표준을 더 빠르게 적용할 수 있습니다. 암호화 기술은 지속적으로 발전합니다. 특히 양자컴퓨팅 시대를 앞두고 있는 지금, PQC(Post Quantum Cryptography)로의 전환이 시급합니다. 짧은 유효기간은 새로운 암호화 표준을 더 빠르게 적용할 수 있게 합니다.셋째, 컴플라이언스를 강화할 수 있습니다. 실제로 2011년 이후 주요 브라우저로부터 신뢰를 잃은 14개 인증기관 중 68%가 컴플라이언스 미준수 문제로 퇴출되었습니다. 짧은 유효기간은 더 엄격한 검증 주기를 의미하고, 이는 곧 더 높은 보안 수준으로 이어집니다.문제는 '관리'입니다유효기간 단축의 보안적 이점은 명확합니다. 하지만 현실적인 문제가 있습니다. 사람이 수작업으로 관리하기에는 너무 짧은 주기라는 점입니다.현재도 많은 기업들이 인증서 만료로 인한 서비스 장애를 경험하고 있습니다. 47일마다 인증서를 갱신해야 한다면 어떻게 될까요? 연간 7~8회 갱신이 필요하다는 의미입니다. 수백, 수천 개의 인증서를 관리하는 대기업이라면 거의 매일 어딘가의 인증서를 갱신해야 하는 상황이 됩니다.기존의 수동 관리 방식을 생각해보면 문제가 더 명확해집니다. 서버팀에서 CSR을 생성하는 데 하루, 파트너사에 이메일로 전달하고 확인하는 데 하루, 관리자 승인을 기다리는 데 하루, DigiCert에서 검증하고 발급하는 데 하루, 그리고 인증서를 수령해서 설치하는 데 또 하루가 걸립니다. 총 4~5일이 소요되는 셈입니다. 47일 유효기간에서 5일은 10% 이상입니다. 게다가 여러 시스템에서 동시에 인증서가 만료된다면? 상상만 해도 끔찍합니다. 엑셀로 인증서 목록을 관리하거나, 만료 알림 이메일에 의존하는 방식으로는 도저히 감당할 수 없는 업무량입니다.'자동화'가 답입니다업계에서는 이미 이 변화를 예상하고 있었습니다. 해결책은 명확합니다. '자동화'입니다.ACME, EST, SCEP 같은 인증서 자동화 프로토콜은 이미 표준으로 자리잡았습니다. 이제 필요한 것은 이러한 표준을 기업 환경에서 실제로 구현하고 관리할 수 있는 솔루션입니다. 사람의 개입 없이 인증서가 만료되기 전에 자동으로 갱신되고, 서버에 배포되고, 설치까지 완료되는 시스템 말이죠.💡'디지서트 TLM(DigiCert Trust Lifecycle Manager)'DigiCert TLM은 바로 이 문제를 해결하기 위한 솔루션입니다. 단순한 인증서 관리 도구가 아닙니다. 다가올 인증서 유효기간 단축 시대를 대비한 종합 플랫폼입니다.TLM이 기존 인증서 관리 도구와 다른 점은 무엇일까요? 가장 큰 차이는 '통합'입니다. 공개 인증서와 사설 인증서를 함께 관리할 수 있습니다. DigiCert 같은 공인 CA에서 발급받은 인증서뿐만 아니라, 기업 내부에서 운영하는 Private CA의 인증서까지 하나의 플랫폼에서 다룰 수 있습니다. 더 이상 여러 시스템을 오가며 인증서를 관리할 필요가 없습니다. 또한 TLM은 확장성이 뛰어납니다. 수십 개의 인증서를 관리하든, 수만 개의 인증서를 관리하든 동일한 방식으로 작동합니다. 47일마다 갱신해야 하는 짧은 유효기간에도 문제없이 대응할 수 있는 구조입니다. 바로 이런 특징들이 다가오는 인증서 유효기간 단축 시대를 대비할 수 있게 만듭니다.· 중앙 집중형 인벤토리 : 수백에서 수천 개의 공개 인증서와 사설 인증서를 단일 대시보드에서 관리할 수 있습니다. 더 이상 여기저기 흩어진 엑셀 파일을 뒤적일 필요가 없습니다. 어디에 어떤 인증서가 있는지, 언제 만료되는지를 실시간으로 명확하게 파악할 수 있습니다.· 광범위한 자동화 : 에이전트가 자동으로 CSR을 생성하고, DigiCert에 자동으로 전송하며, 발급받은 인증서를 서버에 자동으로 설치합니다. 사전 검증이 완료된 경우라면 실시간으로 발급이 가능합니다. 기존에 4~5일 걸리던 작업이 몇 분에서 하루 이내로 단축되는 겁니다.· 정책 기반 거버넌스 : 인증서 전반에 걸쳐 규정 준수를 확인하고, 정책 위반이나 설정 오류를 빠르게 식별할 수 있습니다. 승인 워크플로우도 설정할 수 있어서, 필요한 경우 관리자 승인을 거치도록 할 수도 있습니다.· 알림 및 리포팅 : 만료 예정 인증서에 대한 자동 알림은 물론, 갑작스러운 인증서 폐기나 CA의 Distrust 같은 변화에도 즉각적으로 대응할 수 있습니다. 야간에 긴급 호출을 받거나, 만료로 인한 서비스 장애를 걱정할 필요가 없어집니다.· 폭넓은 통합 지원 : TLM은 다양한 환경과 원활하게 연동됩니다: 서버 & 인프라(로드밸런서, Active Directory, 네트워크 장비 등 에이전트 기반 및 에이전트리스 관리 모두 지원), 사용자 & 디바이스(Microsoft Intune, Jamf, VMware 등 UEM 솔루션과 통합되어 제로 트러스트 및 VPN/WiFi 접근 제어, 보안 이메일 구현 가능), 클라우드 워크로드(컨테이너, VM, IaC 도구, Vault 솔루션 등 하이브리드 및 멀티클라우드 환경 지원)과 통합 방식으로 SCEP, EST, ACME 같은 표준 프로토콜은 물론 REST API를 통한 커스텀 통합도 가능합니다. 기존 인프라를 크게 변경하지 않고도 도입할 수 있습니다.실제 기업들은 어떻게 사용하고 있을까요?글로벌 호텔 및 게임 기업의 사례를 보면 TLM의 효과가 명확히 드러납니다. 이 회사는 외부 사이버 공격으로 수일간 운영이 중단되는 심각한 피해를 입었습니다. 재발 방지를 위해 50만 개 이상의 인증서를 인프라와 사용자 디바이스에 배포해야 했는데, 기존 인증서 관리 솔루션으로는 확장성이 부족해 불가능했습니다. TLM을 도입한 후에는 모든 인증서를 통합 관리하고, Microsoft Intune 및 로드밸런서와 원활하게 연동할 수 있었습니다. 결과적으로 강력한 인증 기반의 제로 트러스트 접근 방식을 구현해 보안 리스크를 대폭 줄일 수 있었습니다.아시아의 한 대형 금융기관 사례도 흥미롭습니다. 이 금융기관은 인증서 유효기간 단축과 PQC 대응, 암호 민첩성 요구로 인증서 관리 복잡도가 크게 증가했습니다. 기존의 OTP 방식은 보안에 한계가 있었고, 피싱 이메일 위협도 계속 증가했습니다. 내부와 외부 시스템 접근 제어를 위해 디바이스 인증과 제로 트러스트 적용이 필요한 상황이었죠. TLM을 도입한 후에는 인증서 자동화 및 통합 관리가 가능해졌고, S/MIME과 Mark Certificate로 이메일 위협에도 대응할 수 있게 되었습니다. MDM과 Active Directory를 연동해 사용자 및 디바이스 기반 인증을 구현하면서 강력한 제로 트러스트 환경을 구축했습니다.지금 준비해야 합니다2026년 3월까지 약 1년 남짓 남았습니다. 200일 유효기간도 곧 시작이고, 결국 47일까지 단축됩니다. 자동화 없이는 불가능한 미래입니다.DigiCert는 단순히 인증서를 발급하는 CA가 아닙니다. 디지털 신뢰의 리더로서 변화하는 보안 환경에 대응할 수 있는 플랫폼을 제공합니다. 99.99%의 가용성 SLA를 보장하고, 2,600개 이상의 글로벌 루트 인증서를 보유하고 있으며, 연간 25회 이상의 엄격한 감사를 수행합니다. 24시간 365일 world-class 기술 지원을 제공하고, CA/B Forum, NIST, ETSI 등 글로벌 보안 표준을 주도하고 있습니다. 특히 DigiCert는 ASC X9로부터 금융 산업에 특화된 PKI 운영기관으로 선정되어, 금융권의 높은 보안 요구사항도 충족합니다. 브라우저 중심 PKI에서 독립성을 확보하고, 은행과 ATM 제조사, 이해관계자 간 상호 운용성을 보장하며, 기존 알고리즘과 PQC를 모두 지원해 미래 전환에도 대비할 수 있습니다.인증서 유효기간 단축은 선택이 아닌 필수입니다. 2026년 3월부터 200일, 2027년 100일, 2029년 47일로 계속 짧아집니다. 자동화 없이는 불가능한 시대입니다. 여러분의 조직은 준비되어 있나요? DigiCert 공식 파트너 클라우드네트웍스와 함께 준비하세요.인증서 유효기간 단축은 선택이 아닌 필수입니다. 2026년 3월부터 200일, 2027년 100일, 2029년 47일로 계속 짧아집니다. 자동화 없이는 불가능한 시대입니다. 여러분의 조직은 준비되어 있나요? DigiCert 공식 파트너 클라우드네트웍스와 함께 준비하세요▶ 디지서트(DigiCert) TLM 자세히보기