2026.06.27 기술 가이드

비인간 ID(NHI)란? API 키·봇·AI 에이전트 보안

비인간 ID(NHI)는 사람 로그인 없이 인증하는 API 키·서비스 계정·봇·AI 에이전트 자격증명입니다. 사람보다 45~100배 많고 관리 사각지대 70%, 핵심을 정리합니다.

45–100× 사람 계정 대비 NHI 수

70% 관리 사각지대 비중

200일+ 탈취 후 평균 잔존

비인간 ID(NHI)가 갑자기 보안 화두가 된 이유

비인간 ID, 즉 NHI(Non-Human Identity)는 사람이 키보드 앞에 없는 상태에서 시스템에 인증하는 모든 신원을 말합니다. API 키, 서비스 계정, OAuth 토큰, SSH 키, 인증서, CI/CD 러너 자격증명, 그리고 최근 폭증한 AI 에이전트 자격증명이 모두 여기에 들어갑니다. 사람 계정은 입사·퇴사 절차와 다단계 인증(MFA)으로 비교적 촘촘히 관리되지만, NHI는 그렇지 않다는 점이 문제의 핵심입니다.

규모부터 다릅니다. 클라우드 보안 연합(CSA) 자료를 인용한 업계 분석에 따르면 기업 환경에서 NHI는 사람 계정보다 45배에서 100배 이상 많습니다. 그런데 대다수 조직은 자사 NHI의 약 30%만 파악하고 있고, 나머지 70%는 관리 사각지대에 방치돼 있습니다. 2025~2026년 들어 AI 에이전트가 하루에도 수천 개의 자격증명을 새로 발급하면서, NHI는 거버넌스가 가장 안 되는 가장 빠르게 늘어나는 공격 표면으로 꼽히고 있습니다.

NHI가 위험한 구체적 이유

NHI는 사람용 보안 절차가 통하지 않습니다. 다단계 인증을 붙일 수 없고, 한 번 발급되면 만료 없이 계속 살아 있으며, 시간이 지날수록 권한이 누적됩니다. 코드 저장소·CI 로그·컨테이너 이미지·채팅 기록에 평문으로 흘리는 사고도 잦습니다. 한 분석은 NHI가 탈취된 뒤 평균 잔존 기간(dwell time)이 200일을 넘어 사람 계정 침해의 3배가 넘는다고 지적합니다. 오래 살고, 권한이 세고, 아무도 안 본다는 세 조건이 겹치는 셈입니다.

시장이 빠르게 재편되는 중

대응은 크게 두 갈래입니다. 첫째는 흩어진 자격증명을 발견·정리하는 NHI 관리/거버넌스(Astrix, Entro, Oasis 등), 둘째는 시크릿을 한 곳에 보관하고 자동 교체하는 시크릿 관리(HashiCorp Vault, AWS Secrets Manager 등)입니다. 인수합병도 활발합니다. 2026년 2월 팔로알토 네트웍스가 CyberArk를 약 250억 달러에 인수했고, SailPoint는 NHI 기업 Entro 인수를 추진했습니다. 국내에서는 크레밋(Cremit)이 NHI·시크릿 스캐닝 영역에서 활동하고 있습니다.

무엇부터 해야 하나 (직답)

처음 손대는 조직이라면 "정적 키 제거 + 발견 + 교체"가 출발점입니다. 코드와 로그에 박힌 장기 키를 시크릿 매니저로 옮기고, 어디에 어떤 NHI가 있는지 인벤토리를 만들고, 최소 권한과 자동 교체·만료를 적용하는 순서입니다. AI 에이전트는 별도 신원으로 식별하고 행위를 모니터링하는 것이 2026년 기준 권고되는 방향입니다.

비인간 ID(NHI) 보안 시작하기

정적·장기 키 색출

코드 저장소, CI/CD 로그, 컨테이너 이미지, 환경 변수, 사내 문서와 채팅에 평문으로 박힌 API 키·토큰·SSH 키를 시크릿 스캐닝으로 찾아냅니다.
NHI 인벤토리 작성

어떤 서비스 계정·봇·AI 에이전트·머신 자격증명이 어디서 무엇에 접근하는지 목록화합니다. 발견되지 않은 70%를 가시화하는 단계입니다.
시크릿 중앙 보관소로 이전

흩어진 시크릿을 HashiCorp Vault, AWS Secrets Manager 같은 중앙 보관소로 옮겨 코드와 분리하고 암호화 저장합니다.
최소 권한 적용

각 NHI가 실제로 필요한 자원에만 접근하도록 권한을 좁히고, 누적된 과도한 권한을 회수합니다.
자동 교체·만료 설정

장기 정적 키 대신 짧은 수명의 동적 자격증명을 쓰고, 자동 교체(rotation)와 만료를 걸어 탈취 시 잔존 기간을 줄입니다.
AI 에이전트 별도 식별

AI 에이전트와 MCP 연동을 사람·일반 봇과 구분되는 별도 신원으로 등록하고 행위 기반으로 추적합니다.
이상 행위 모니터링·소유자 지정

비정상 접근과 권한 남용을 탐지하고, 각 NHI에 책임 소유자를 지정해 폐기 시점을 관리합니다.

주요 NHI·시크릿 관리 솔루션

Astrix Security
SaaS-to-SaaS 연동, OAuth 권한 부여, API 키 확산을 중심으로 AI 에이전트·MCP 서버를 포함한 NHI를 실시간 인벤토리화하고 이상 행위를 탐지하는 NHI 보안 플랫폼.
열기 ↗
Entro Security
HashiCorp Vault·AWS Secrets Manager·CyberArk Conjur 등 시크릿 보관소 내부와 보관소 밖 시크릿, 코드 저장소까지 함께 가시화. 2026년 SailPoint가 인수 추진.
열기 ↗
Aembit
기존 자격증명을 발견·관리하는 대신 정책 기반 신원 브로커로 워크로드 간 인증을 대체해 장기 시크릿 자체를 없애는 접근.
열기 ↗
Akeyless
분산 조각 암호화(DFC)로 마스터 키 조각을 여러 지역에 분산하는 SaaS 네이티브 제로지식 시크릿 관리 플랫폼.
열기 ↗
CyberArk (Conjur)
특권 접근 관리(PAM)와 Conjur 시크릿 관리를 제공. 2026년 2월 팔로알토 네트웍스가 약 250억 달러에 인수하며 머신 아이덴티티 영역과 통합.
열기 ↗
HashiCorp Vault
시크릿 관리·암호화 서비스·동적 자격증명 발급을 제공하는 대표 솔루션. IBM 인수 후 IBM Verify와 결합해 거버넌스로 확장 중.
열기 ↗
GitGuardian
코드 저장소·CI 로그 등에 노출된 시크릿을 스캐닝하고 Vault·Conjur·AWS Secrets Manager 등 보관소와 연동해 NHI 가시성을 제공.
열기 ↗
Cremit (크레밋)
NHI·시크릿 스캐닝 영역에서 활동하는 국내 보안 기업으로, NHI 보안 용어 사전과 산업별 가이드를 제공.
열기 ↗

자주 묻는 질문

비인간 ID(NHI)는 사람 계정과 무엇이 다른가요?

사람 계정은 로그인·다단계 인증·입퇴사 절차로 관리되지만, NHI는 사람 개입 없이 인증하는 API 키·서비스 계정·봇·AI 에이전트 자격증명입니다. 다단계 인증을 붙이기 어렵고 만료 없이 권한이 누적돼 별도 관리 체계가 필요합니다.

NHI는 사람 계정보다 얼마나 많나요?

업계 분석에 따르면 기업 환경에서 NHI는 사람 계정보다 약 45배에서 100배 이상 많습니다. 그런데 조직 대부분은 자사 NHI의 약 30%만 파악하고 있어 나머지 70%가 관리 사각지대에 놓여 있습니다.

AI 에이전트도 비인간 ID인가요?

네. AI 에이전트는 NHI 가운데 가장 빠르게 늘어나는 범주로, 스스로 다른 시스템에 접근하기 위해 자격증명을 발급·사용합니다. 사람·일반 봇과 구분되는 별도 신원으로 등록하고 행위를 모니터링하는 것이 권고됩니다.

NHI 보안은 무엇부터 시작해야 하나요?

코드와 로그에 박힌 장기 정적 키를 찾아 시크릿 보관소로 옮기고, NHI 인벤토리를 만든 뒤 최소 권한과 자동 교체·만료를 적용하는 순서가 출발점입니다. 흩어진 시크릿을 제거하고 가시성을 확보하는 것이 핵심입니다.

← 전체 주제