AI와 사이버보안 분야가 맞물리면서 디지털 정체성 보안에 새로운 지형이 열리고 있다. 미국의 보안 스타트업 퍼미소 시큐리티(Permiso Security)가 자사의 정체성 보안 플랫폼을 인공지능(AI) 사용자, 개발자, 에이전트로 확대하면서 기업들이 직면한 AI 관련 보안 위협에 대한 통합 방어체계를 내놓았다. 이번 플랫폼 개편은 모든 디지털 정체성을 단일 보안 틀 안에서 관리할 수 있도록 설계됐다는 점에서, AI 생태계가 빠르게 기업 IT 인프라에 편입되고 있는 현상을 반영한다.

퍼미소는 인간 및 비인간 정체성 관리 기능을 이미 제공하고 있었으며, 이번 확장을 통해 AI 사용자의 행동 양상을 실시간으로 분석하고 이상 징후를 감지하는 기능을 포함시켰다. 즉 단순히 AI 사용 여부를 기록하거나 라이선스를 관리하는 수준을 넘어 실제 사용 패턴을 기반으로 실질적인 위협을 식별할 수 있는 구조다. 퍼미소 측은 "라이선스 추적은 실체적 AI 사용의 극히 일부분만 포착할 뿐"이라며 "런타임 환경에서 실시간으로 정보를 분석해야 한다"고 강조했다.

회사 측은 AI 정체성을 세 가지로 분류했다. 생성형 AI 도구를 사용하는 임직원을 포함한 'AI 사용자', AI 모델을 개발·배포하는 'AI 빌더', 그리고 조직 내 자율적으로 작동하는 'AI 에이전트'가 바로 그것이다. 이 모든 정체성과 AI 도구에 대해 퍼미소는 시각화, 행위 분석, 권한 과다 탐지 등 고도화된 감시 기능을 제공한다. 무단 접근자 추적, 과도한 데이터 공유 탐색, 외부 인증 없이 접속한 AI 서비스 식별 등 현실적 위협에 초점을 맞춘 구체적인 기능도 포함됐다.

특히, 조직 내 '섀도 AI'를 사용하는 직원을 탐지하는 기능은 기업 보안팀의 관심을 모은다. 섀도 AI란 기업이 승인하지 않은 AI 서비스를 직원이 개인 계정으로 사용하는 상황을 의미하며, 보안의 사각지대를 만드는 주범이다. 퍼미소는 이 같은 행위를 연계 인증 시스템을 통해 실시간으로 탐지하고 경고할 수 있다는 점을 강조하고 있다.

퍼미소 공동 창업자인 제이슨 마틴(Jason Martin) CEO는 "앞으로 기업들은 수백~수천 개의 AI 에이전트를 동시에 운용하게 될 것"이라며 "AI마다 개별 보안 체계를 둘 것이 아니라 단일 플랫폼에서 모든 정체성과 AI 사용을 종합적으로 감시해야 한다"고 말했다. 그는 또한 "조직은 정체성 기반 위협에 대비해 사각지대를 없애는 것이 최우선 과제"라고 덧붙였다.

이번 플랫폼 업데이트는 퍼미소의 기존 인프라에 통합되는 옵션으로 제공되며, 별도의 설치 없이 즉시 적용 가능하다. CTO 이안 알(Ian Ahl)은 “AI는 새로운 보안 분류가 아니라, 결국 정체성 문제”라며 “퍼미소는 모든 AI 정체성을 찾아내고, 노출 지도를 작성하며, 실시간 활동 분석으로 공격면 확대 없이 AI를 도입할 수 있게 돕는다”고 설명했다.

생성형 AI가 급속도로 확산되면서 기업 내 AI 정체성에 대한 실시간 가시성과 예방 중심 대응은 더욱 중요해질 전망이다. 퍼미소의 이번 조치는 AI도 인간 사용자처럼 다뤄야 할 정체성으로 규정하고 관리해야 한다는 새로운 보안 인식을 반영한 상징적 사례로 평가된다.