1패스워드 ‘크리덴셜 브로커’ 공개…자격증명 복제 없이 ‘필요할 때만’ 전달

기업용 비밀번호 관리 서비스 업체 1패스워드가 자격증명을 금고 밖으로 복제하지 않고, 요청이 들어온 순간에만 꺼내 전달하는 ‘1패스워드 크리덴셜 브로커’를 출시했다. 사람뿐 아니라 자동화 워크플로, 클라우드 작업, 인공지능(AI) 에이전트까지 자격증명을 대량으로 요청하는 환경에서, 흩어진 비밀정보를 줄이겠다는 전략이다.

이번 제품 출시는 기업 내 인증정보 사용 방식이 빠르게 바뀌고 있다는 점을 반영한다. 그동안 1패스워드는 사용자가 브라우저에 입력하는 로그인 정보를 안전하게 보관하는 데 강점을 보여왔다. 하지만 2026년 들어서는 CI/CD 파이프라인, 서비스 계정, 클라우드 워크로드, AI 에이전트 같은 ‘기계 주체’가 자격증명을 직접 요청하는 일이 크게 늘었다.

문제는 이 과정에서 비밀키나 토큰이 코드 저장소, 설정 파일, 환경 변수 등에 복사돼 장기간 남는 경우가 많다는 점이다. 이런 구조에서는 한 번 유출된 정적 자격증명이 여러 경로로 번질 수 있고, 사용이 끝난 뒤에도 흔적이 남기 쉽다.

1패스워드 크리덴셜 브로커는 이런 구조를 바꾸는 데 초점을 맞췄다. 자격증명은 볼트에 그대로 두고, 먼저 누가 요청했는지 확인한 뒤 권한이 검증된 대상에게 필요한 정보만 넘겨주는 방식이다. 예를 들어 깃허브 액션스(GitHub Actions) 환경에서는 워크플로가 자신의 신원 신호를 1패스워드에 보내고, 시스템이 이를 사전에 설정된 워크로드 신원과 대조한 뒤 해당 자격증명을 전달한다. 이 과정에서도 자격증명 자체는 파이프라인이나 환경 파일로 복사되지 않는다.

복제본이 줄어들면 유출 가능 지점도 함께 줄어든다. 1패스워드는 각 요청과 전달 과정을 기록해 보안팀이 어떤 워크플로 또는 AI 에이전트가 언제 어떤 자격증명을 요청했는지 추적할 수 있다고 설명했다. 단순 저장을 넘어 ‘접근 통제’와 ‘감사 기록’까지 묶은 구조다.

회사는 이 제품이 자사의 ‘제로 지식’ 아키텍처를 기반으로 설계됐다고 강조했다. 고객 비밀정보에 대해 1패스워드 자체 인프라가 지속적으로 접근하지 못하도록 했고, 고객이 직접 관리하는 키 자료를 통해 일방적 접근 가능성도 낮췄다는 설명이다. 여기에 신원 검증 체계를 결합해 누가 자격증명을 회수할 수 있는지 통제한다.

낸시 왕(Nancy Wang) 1패스워드 최고기술책임자(CTO)는 “1패스워드는 오랫동안 기업이 자격증명을 안전하게 보관하는 공간으로 신뢰받아 왔다”며 “다음 단계는 사람이든 워크플로든 AI 에이전트든, 모든 요청 주체가 같은 ‘단일 진실 공급원’에서 자격증명을 받도록 만드는 것”이라고 말했다. 이어 “이번 크리덴셜 브로커는 자격증명이 보호되는 곳과 실제 접근이 이뤄지는 곳 사이의 간극을 줄이는 데 의미가 있다”고 밝혔다.

이번 출시는 1패스워드가 최근 1년간 추진해 온 ‘에이전트 중심’ 전략의 연장선에 있다. 회사는 커서(Cursor), 브라우저베이스, 퍼플렉시티AI의 코멧 브라우저용 ‘적시 자격증명’ 연동 기능을 선보였고, 지난 5월에는 오픈AI의 코덱스 코딩 에이전트에 모델 컨텍스트 프로토콜 서버를 도입했다. 3월에는 사람, 기계, AI 에이전트의 접근을 하나의 신원 모델로 통합 관리하는 ‘유니파이드 액세스’ 플랫폼도 공개했다. 크리덴셜 브로커는 이 플랫폼에서 신뢰가 확인된 요청자에게 실제 비밀정보를 넘겨주는 실행 계층 역할을 맡는다.

1패스워드 크리덴셜 브로커는 이날부터 비공개 베타 형태로 제공되며, 초기 지원 대상은 깃허브 액션스다. 회사는 앞으로 동일한 중개 방식을 사람 사용자, 머신 워크로드, AI 에이전트 전반으로 넓혀 나갈 계획이라고 밝혔다.

현재 1패스워드의 기업용 볼트는 15억개가 넘는 자격증명과 비밀정보를 보호하고 있다. 이용자는 개발자 100만명 이상, 기업 고객은 18만곳 이상이다. 주요 고객사로는 캔바, 커서, 피그마, 깃허브, 허깅페이스, 몽고DB, 노션, 세일즈포스, 스트라이프, 위즈 등이 포함된다.

보안 업계에서는 AI 에이전트와 자동화 도구가 기업 시스템 깊숙이 들어오면서 ‘비밀정보 관리’가 단순 저장 문제를 넘어 런타임 접근 통제 문제로 이동하고 있다고 본다. 1패스워드의 이번 제품은 이 흐름에 맞춰 자격증명의 복제와 잔존 위험을 줄이려는 시도로 해석된다. 기업 입장에서는 개발 속도를 유지하면서도 보안팀의 통제력을 높일 수 있을지가 향후 확산의 핵심 변수가 될 전망이다.