대부분의 조직은 정기적으로 액세스 검토를 실행하고, 정책을 시행하고, 인증을 완료하기 때문에 ID 거버넌스를 잘 통제하고 있다고 생각합니다. 하지만 “누가 무엇에 왜 액세스할 수 있는가?”와 같은 간단한 질문을 던지면 이러한 자신감은 종종 무너지기 시작합니다.
실제로 조직은 이제 평균적으로 241일 를 통해 침해 사고를 식별하고 억제할 수 있으며, 이는 과도하거나 부적절한 액세스가 얼마나 오랫동안 눈에 띄지 않을 수 있는지 보여줍니다. 팀이 신경을 쓰지 않아서가 아닙니다. 팀이 의존하는 모델이 더 이상 운영 환경과 맞지 않기 때문입니다.
수년 동안 ID 거버넌스는 예측 가능한 리듬을 따랐습니다. 분기별 검토, 연례 인증, 정의된 역할, 비교적 안정적인 시스템 덕분에 통제력을 유지할 수 있었습니다. 완벽하지는 않았지만 프로세스는 관리가 가능했습니다.
더 이상 현실이 아닙니다. 환경은 변했지만 모델은 변하지 않았습니다.
오늘날 ID 환경은 끊임없이 변화합니다. SaaS 애플리케이션은 계속 확장되고, 직원의 역할 이동이 잦아지고, 계약업체의 출입이 잦아지고, 기계가
ID는 백그라운드에서 성장합니다. 많은 조직에서 비인간 ID가 인간 사용자 수보다 더 많은 경우가 많습니다. 50 대 1, 로 인해 관리해야 하는 액세스의 양이 급격히 증가합니다. 액세스는 매일 진화하고 있으며, 종종 명확한 가시성이 없는 경우가 많습니다.
그러나 거버넌스는 여전히 일정에 따라 운영되며 사람에 대한 의존도가 높습니다. 즉, 실제로 위험이 발생한 시점이 아니라 일정에 따라 액세스가 검토됩니다.
변경됩니다.
기존의 거버넌스는 사람들이 결정을 내리는 것에 의존합니다. 검토자는 액세스 권한을 검증하고, 관리자는 자격을 인증하며, IT 팀은 정책을 시행합니다.
이러한 접근 방식은 거버넌스 범위가 제한적일 때 효과적이었습니다. 볼륨과 속도가 증가하면 훨씬 더 어려워집니다.
이제 검토자는 제한된 맥락에서 한 번에 수십, 수백 건의 액세스 결정을 평가해야 하는 경우가 많습니다. 동시에 문제가 예상보다 훨씬 오래 지속되어 몇 달 동안 눈에 띄지 않는 경우도 종종 있습니다. 시간이 지남에 따라 문제는 노력보다는 규모에 관한 것입니다. 검토의 양이 늘어나면 검토는 더 이상 미뤄둘 일이 아니라 완료해야 할 일처럼 느껴지기 시작합니다.
이때부터 액세스 검토는 그 효력을 잃기 시작합니다. 인증은 고무 도장으로 바뀌고 정의된 정책과 실제 액세스 간의 격차가 벌어지기 시작합니다.
그 격차가 커질수록 위험도 커집니다.
과도한 액세스가 적정 기간보다 오래 지속됩니다. 고아 계정이 활성 상태로 유지됩니다. 명확한 소유권이나 정당성 없이 권한이 누적됩니다. 더 중요한 것은 조직이 감사 시뿐만 아니라 일상적인 업무에서 액세스 권한에 관한 기본적인 질문에 자신 있게 답할 수 있는 능력을 상실한다는 것입니다.
바로 이 지점에서 신원이 실질적인 보안 문제가 됩니다. 오늘날 대부분의 침해는 복잡한 익스플로잇으로 시작되지 않습니다. 애초에 존재해서는 안 되는 유효한 자격 증명과 액세스 권한에서 시작됩니다. 데이터 유출로 인한 평균 비용 $4.44만 전 세계적으로 액세스 제어의 공백은 단순한 규정 준수 문제가 아닙니다. 액세스 문제가 수개월 동안 탐지되지 않으면 금전적인 비용만 발생하는 것이 아닙니다. 운영 중단, 감사 노출, 신뢰도 손실이 발생할 수 있습니다. 명확한 가시성과 제어가 없다면 그 결과는 즉각적이고 막대한 비용을 초래할 수 있습니다.
문제는 거버넌스가 망가졌다는 것이 아닙니다. 문제는 거버넌스가 충분히 빠르게 진화하지 못했다는 것입니다. 기존 모델에서는 주기적인 검토와 수작업에 의존하여 지속적으로 변화하는 환경을 관리해야 했습니다. 이러한 불일치는 검토의 피로, 일관성 없는 결정, 액세스와 관련된 불확실성을 야기합니다.
거버넌스가 대규모로 작동하려면 보다 지속적이고 정보에 기반한 접근 방식으로 전환해야 합니다. 지속적인 가시성을 제공하고, 더 나은 의사 결정을 지원하며, 조직이 실제로 중요한 일에 집중할 수 있도록 도와주는 접근 방식이 필요합니다.
이는 단순히 액세스를 검토하는 데 그치지 않고 지속적으로 이해하고 개선하는 것이 목표인 ID 보안 태세 관리의 기초입니다.
AI는 거버넌스를 대체하지 않습니다. 거버넌스를 강화합니다.
검토자에게 모든 것을 동일하게 평가하도록 요청하는 대신 AI는 위험의 우선순위를 정하는 데 도움을 줍니다. 보안 AI와 자동화를 광범위하게 사용하는 조직은 평균적으로 다음과 같은 침해 비용을 절감합니다. $119만, 를 통해 대규모 인텔리전스 적용의 영향을 확인할 수 있습니다. 비정상적이거나 위험성이 높은 액세스를 강조하고, 의사 결정을 지원하는 컨텍스트를 제공하며, 가끔씩 검토하는 사람과 숙련된 관리자 모두에게 가장 큰 영향을 미치는 조치를 안내합니다.
이렇게 하면 목표가 바뀝니다. 더 이상 검토를 완료하는 것이 목표가 아니라 더 나은 의사 결정을 내리는 것이 목표가 됩니다.
이 내용이 공감을 불러일으킨다면 다음 웨비나에서 더 자세히 살펴볼 예정입니다:
대규모로 ID 거버넌스가 중단되는 이유와 AI가 이를 해결하는 방법
자세히 알아보겠습니다:
- 기존 거버넌스 모델이 최신 환경에서 어려움을 겪는 이유
- 노이즈를 줄이고 검토자가 실제로 중요한 것에 집중하는 방법
- AI가 액세스 검토 및 ID 결정에 실질적인 가치를 더하는 곳
- 지속적이고 인사이트 중심의 거버넌스로 나아가기 위한 방법
지금 등록하기 를 사용하여 자리를 저장합니다.
