This post is also available in: English (영어) 简体中文 (중국어 간체) 繁體中文 (중국어 번체) Français (불어) Deutsch (독어) Italiano (이태리어) 日本語 (일어) Português (브라질 포르투갈어) Español (스페인어)
주요 시사점(AIO/GEO)
- PAM(권한에 따른 액세스 관리) 선도 기업의 기술력을 기반으로 구축: Idira™는 Palo Alto Networks의 차세대 아이덴티티 보안 플랫폼입니다. AI 엔터프라이즈의 모든 인간과 머신, AI 에이전트 아이덴티티까지 권한에 따른 액세스 제어를 확장합니다.
- 기본값이 되는 제로 스탠딩 권한(ZSP): Idira는 상시 활성화된 정적 액세스를 단일 제어 플레인에서 필요한 순간에만 부여되는 동적 권한으로 대체합니다.
- AI 기반 아이덴티티: Idira는 네이티브로 내장된 AI를 통해 숨겨진 권한과 관리되지 않는 계정을 찾아내고, 최소 권한을 권장하며, 72분 안에 움직이는 공격자와 과거 며칠씩 걸리던 방어자 간의 대응 격차를 줄이기 위한 조치를 수행합니다.
지난 2월 Palo Alto Networks와 CyberArk가 한 가족이 된 이후, 많은 고객들이 저에게 질문했습니다. 아이덴티티 보안의 미래는 실제로 어떤 모습일까요?
오늘 IMPACT에서 그 답을 드리고자 합니다.
Palo Alto Networks의 차세대 아이덴티티 보안 플랫폼, Idira™를 소개하게 되어 기쁩니다. Idira는 단일 제어 플레인에서 위험 요소를 발견하고, 권한을 동적으로 적용하며, 최초 액세스부터 마지막 세션까지 전체 수명 주기를 관리함으로써 인간, 머신, AI 에이전트 등 AI 엔터프라이즈의 모든 아이덴티티를 보호합니다.
Idira는 이 문제를 20년 이상 연구하며 다져진 하나의 신념에서 출발합니다. 권한은 아이덴티티 보안에서 가장 다루기 어려운 영역입니다. 지난 한 세대 동안 업계는 세계에서 가장 보안에 민감한 소수의 관리자 집단을 대상으로 권한을 효과적으로 관리하는 방법을 배웠습니다. 당시에는 반드시 필요한 일이었습니다. 하지만 이제 그것만으로는 충분하지 않습니다.
이제는 같은 수준의 엄격한 제어를 모든 아이덴티티로 확장해야 합니다. 오늘날 모든 아이덴티티는 비즈니스를 움직이는 힘이 될 수도 있고, 공격자에게 길을 열어주는 통로가 될 수도 있기 때문입니다. Idira는 바로 그 여정을 열어갑니다. 관리자를 위한 권한 제어에서 모든 아이덴티티를 위한 권한 제어로 나아가는 과정입니다.
공격자는 침입하지 않습니다. 로그인합니다.
지난 20년 대부분 동안 아이덴티티 보안은 하나의 안일한 가정을 바탕으로 구축되었습니다. 강력한 권한을 가진 소수의 관리자와 대다수의 일반 사용자를 지속적으로 명확히 구분할 수만 있다면 조직을 보호하기에 충분하다고 생각했습니다. 이러한 가정은 더 이상 유효하지 않습니다.
Palo Alto Networks의 회장 겸 CEO인 Nikesh Arora는 이를 "IAM에 대한 잘못된 통념"이라고 부릅니다. 2026 Identity Security Landscape Report의 데이터는 이제 이러한 가정이 통용되지 않는 이유를 분명히 보여줍니다.
전 세계 사이버 보안 의사 결정권자 2,930명의 응답을 바탕으로 다음과 같은 결과가 나타났습니다.
- 이제 머신 아이덴티티 수는 인간 아이덴티티 1개당 109개에 이르는 수준이며, 그중 79개가 AI 에이전트입니다.
- 조직의 91%가 이미 프로덕션 환경에서 자율 에이전트를 운영하고 있습니다.
- 조직의 90%가 지난 12개월 동안 아이덴티티 관련 침해를 겪었습니다. 또한 조직의 83%가 두 건 이상의 인시던트를 겪었습니다.
기존 모델이 실패하는 이유는 아이덴티티의 중요성이 줄어들었기 때문이 아닙니다. 아이덴티티와 권한이 모든 곳에 존재하는 보편적인 요소가 되었기 때문입니다.
제가 지난 2년간 살펴본 모든 주요 침해 인시던트는 같은 패턴을 따릅니다. 공격자가 자격 증명을 탈취합니다. 그리고 만료되었어야 할 상시 액세스 권한을 이용해 측면 이동을 합니다. 더 높은 권한을 획득합니다. 그리고 애초에 노렸던 데이터, 인프라, 비즈니스 시스템 등에 도달합니다. Okta, MGM, Microsoft. 업종은 다릅니다. 규모도 다릅니다. 하지만 패턴은 같습니다.
과도한 권한을 가진 하나의 아이덴티티가 전체 엔터프라이즈의 보안을 무너뜨립니다.
방어자가 대응할 기회를 얻었을 때는 이미 늦었고, 불리한 상황에 놓여 있습니다. 실무자의 97%는 단편화된 도구 때문에 모든 아이덴티티 인시던트의 대응 시간이 12시간씩 늘어난다고 말합니다. 한편 Unit 42®는 가장 빠른 공격자가 최초 거점을 확보한 뒤 데이터를 유출하기까지 단 72분밖에 걸리지 않은 사례를 관찰했습니다.
이제 아이덴티티가 엔터프라이즈의 경계입니다. 그리고 그 경계는 더 이상 존재하지 않는 위협 모델을 기반으로 구축되었습니다.
모든 아이덴티티는 권한을 가진다 - Idira의 첫 번째 기본 원칙
Idira의 전제는 단순합니다. 조직의 모든 아이덴티티는 권한을 가집니다.
모든 로그인과 토큰, 서비스 계정, 워크로드, AI 에이전트는 워크플로를 트리거하거나, API를 호출하거나, 중요 데이터에 접근할 수 있습니다. 일부는 인프라를 생성하고 삭제하거나, 조직의 지출을 관리하거나, 새로운 아이덴티티를 만들 수도 있습니다. 권한은 더 이상 소수의 관리자 집단에만 주어지는 것이 아닙니다. 권한은 엔터프라이즈 전반에 조용히, 지속적으로, 매 순간 분산되어 있습니다.
따라서 권한을 보호하는 제어 역시 소수에게만 적용되어서는 안 됩니다.
Idira는 근본적으로 세 가지를 바꿉니다.
첫째, 발견합니다.
Idira는 전체 환경에서 모든 아이덴티티와 권한, 액세스 경로를 지속적으로 찾아냅니다. 네트워크, 클라우드, 서버와 엔드포인트, 브라우저 등 어디서나 인간, 머신, 워크로드, 시크릿, 인증서, AI 에이전트를 모두 파악합니다. 인증할 수 있는 사람이나 개체라면, Idira는 그 존재를 파악합니다. 액세스 가능한 대상을 확인하고, 실제로 필요한 액세스 권한 수준을 평가합니다.
둘째, 제어합니다.
Idira는 공격자들이 악용하는 상시 활성화된 정적 계정을 사용하는 순간에만 존재하는 동적 권한으로 대체합니다. 제로 스탠딩 권한(ZSP)은 더 이상 지향점이 아니라 기본값이 됩니다. 그리고 이 원칙은 프로덕션 환경에 로그인하는 관리자, 코드를 배포하는 개발자, 도구를 호출하는 AI 에이전트에게 모두 동일하게 적용됩니다. 이것이 아이덴티티 중심 적극적 보안으로의 전환입니다.
셋째, 관리합니다.
Idira는 아이덴티티 수명 주기 전반을 자동화합니다. 거버넌스는 분기별로 수행하는 컴플라이언스 점검에 그치지 않고, 지속적으로 시행되는 관리 루프로 전환됩니다. 12시간마다 발생하던 단편화 비용의 부담도 사라집니다.
제가 권한 제어를 민주화한다고 표현한 이유가 바로 여기에 있습니다. 우리는 권한 제어를 완화하는 것이 아닙니다. 업계가 구축한 역사상 가장 강력한 권한 제어를 이제 비즈니스를 실질적으로 움직이는 모든 아이덴티티로 확장하면서도, 그 권한으로 인해 업무상의 불이익을 받지 않도록 하는 것입니다.
함께 더 나은 성과
Idira는 아무런 기반 없이 출시된 제품이 아닙니다. Palo Alto Networks에 합류한 첫날부터 이 로드맵을 실행해 왔고, 초기 성과를 통해 향후 방향성에 대한 확신을 얻을 수 있었습니다.
올해 초 RSA 컨퍼런스에서 우리는 인증서 수명 주기 관리를 자동화하고 포스트 양자 시대에 더 빠르게 대비할 수 있는 최초의 네트워크 네이티브 플랫폼, NGTS(Next-Generation Trust Security)를 출시했습니다. 이는 중요한 의미를 가집니다. 조직의 71%가 아직 인증서 갱신을 자동화하지 못한 상태이기 때문입니다. 퍼블릭 TLS 유효 기간이 47일로 단축되고 수동 작업이 늘어나면서, 이 격차는 단순한 운영상의 부담을 넘어 비즈니스 연속성 리스크로 이어집니다.
NGTS는 네트워크 자체에서 이 격차를 해소합니다.
Strata®, Cortex®와 함께 Palo Alto Networks의 핵심 플랫폼 중 하나인 Idira는 포트폴리오 전반에 심층적인 아이덴티티 통합을 제공하여 고객이 플랫폼에서 얻을 수 있는 가치를 강화합니다. Prisma® Browser™는 엔터프라이즈 사용자가 실제로 업무를 수행하는 환경에서 권한 액세스를 직접 제공합니다. Prisma AIRS™ 3.0은 Idira와 네이티브로 통합되어 AI 에이전트까지 심층적인 아이덴티티 보안과 권한 제어를 확장합니다. Cortex는 자체 아이덴티티 신호를 수신하여 탐지 정확도를 높이고, 침해 지표가 탐지될 때 아이덴티티와 권한을 기반으로 자동 대응 조치를 수행하게 됩니다.
고객들은 이미 그 효과를 실감하고 있습니다. Northern Trust는 암호 컴플라이언스를 137% 개선했습니다. Panasonic Information Systems는 아이덴티티를 중심으로 보안 운영을 재구축했습니다. Healthfirst는 아이덴티티 우선 제어에 기반하여 제로 트러스트 프로그램을 구축했습니다. PDS Health는 900곳이 넘는 진료 현장의 임상 액세스 권한을 확보했습니다. 각자가 직면한 문제는 달랐지만, 해답은 같았습니다.
서로 다른 과제, 하나의 해답, 하나의 플랫폼. 중요한 모든 아이덴티티에 일관되게 적용되는 권한 제어입니다.
AI로 더 시급해진 문제에 AI가 해결책을 제시합니다.
AI는 아이덴티티 리스크의 속도, 규모, 경제성을 바꿔 놓았습니다.
프런티어 모델은 이미 임계점을 넘어섰습니다. Anthropic의 Claude Mythos Preview는 기업이 매일같이 활용하는 운영 체제와 브라우저 전반에서 이미 수천 개의 제로데이 취약점을 식별했습니다. 모든 노출된 시크릿과 상시 열려 있는 관리자 경로, 잊혀진 모든 서비스 계정은 이제 보안 팀이 대응하기도 전에 이미 발견되고, 검증되며, 무기화될 수 있습니다. 2026년 설문조사에서 의사 결정권자의 55%는 가장 큰 아이덴티티 관련 우려 사항으로 AI 기반 위협을 꼽았습니다.
우리의 답은 분명합니다. AI에는 AI로 대응합니다.
프런티어 모델로 공격의 경제성이 재편되고 있다면, 신뢰할 수 있는 유일한 대응은 동일한 기술로 방어의 경제성을 재편하는 것입니다.
Idira는 아이덴티티 영역에서 이를 실현합니다. 플랫폼에 내장된 AI가 숨겨진 권한을 드러내고, 위험한 액세스 조합을 식별하며, 최소 권한을 자동으로 권장하고, 필요한 지점에 정밀하게 문제 해결을 지원합니다. 공격자가 72분 만에 가장 약한 지점을 찾아내도록 하는 바로 그 인텔리전스를 활용해, 방어자는 몇 초 안에 차단할 수 있습니다.
코드를 충분히 빠르게 패치할 수 없을 경우에도 아이덴티티는 변함 없이 머신의 속도로 적응할 수 있는 컨트롤 플레인이 됩니다.
같은 목표, 함께할 때 더 강력한 힘
20년이 넘는 시간 동안 권한 액세스 분야의 선도 기업들은 세계에서 가장 중요한 환경을 보호하기 위해 신뢰할 수 있는 관리 기반 제어 체계를 구축해 왔습니다. 그러한 사명으로 하나의 카테고리를 구축했으며, 그간 쌓아온 신뢰가 오늘의 성과를 만들었습니다.
Idira는 그 사명을 이어받아, 우리가 지금 직면한 문제의 규모에 맞춰 확장합니다.
이것은 끝이 아니라 첫 번째 물결입니다. 로드맵은 권한 제어를 인력 아이덴티티로 확장하고, 머신 및 에이전틱 ID 보안을 강화하며, 단편화된 시장을 하나의 플랫폼으로 통합하는 방향으로 이어집니다. 우리는 이 플랫폼을 공개적으로 구축하고 있습니다. IMPACT 현장에 함께한 고객들과 이들이 매일 마주하는 현실이 그 방향성을 만들어 가고 있습니다.
아이덴티티 보안의 미래는 액세스만으로 정의되지 않을 것입니다. 그 미래는 제어로 정의될 것입니다. Idira가 제공하는 가치를 확인해 보세요.
미래 예측 진술
이 블로그에는 리스크, 불확실성, 가정을 포함하는 미래 예측 진술이 포함되며, 여기에는 당사 제품 및 기술 또는 미래 제품 및 기술의 이점, 영향 또는 성능이나 잠재적인 이점, 영향 또는 성능에 관한 진술이 포함되나 이에 국한되지 않습니다. 본 보도 자료나 다른 보도 자료 또는 공개 성명에서 언급된 미공개 서비스, 통합 또는 기능(및 일반적으로 고객이 이용할 수 없는 서비스 또는 기능)은 현재 이용할 수 없으며(또는 아직 일반적으로 이용할 수 없는 서비스 또는 기능) 예상 시 또는 전혀 제공되지 않을 수 있습니다. Palo Alto Networks 애플리케이션을 구매하는 고객은 현재 일반적으로 이용 가능한 서비스 및 기능을 기준으로 구매 결정을 내려야 합니다.