작성자: 더스틴 호프(Dustin Hoff), KeyData Cyber CEO

 

작성자: Dustin Hoff

보도일자: 2025년 12월 1일

출처: Biometricupdate.com

 

미국 국립표준기술연구소(NIST)의 최신 디지털 신원 가이드라인 개정판 NIST SP 800-63-4는 오늘과 미래의 ‘우수한 신원 체계(good identity)’의 기준을 새롭게 정의합니다. 이번 업데이트는 조직이 사용자를 인증하고, 리스크를 관리하며, 디지털 시장에서 경쟁하는 방식에 있어 전략적 전화점이 됩니다. 이 변화를 진지하게 받아들인다면, 신원(identity)은 성장의 엔진으로서 잠재력을 온전히 발휘할 수 있을 것입니다.

 

무엇이 실제로 변화했는가

업데이트된 가이드라인은 최신 연구 기반의 IAM 인사이트를 제공하며, 기존 레거시 관행이 이미 비즈니스에 어떤 피해를 주고 있는지를 명확히 보여줍니다. 개정안은 리스크 기반 신원 보증 모델을 더욱 강화하여,

• 신원 확인(IAL: Identity Assurance Level),
• 인증 강도(AAL: Authentication Assurance Level),
• 연합 신뢰도(FAL: Federation Assurance Level)

를 명확히 분리함으로써, 조직이 일률적인 규제가 아니라 실제 비즈니스 영향에 기반해 통제를 조정할 수 있도록 합니다. 이번 개정은 또한 신원 관련 위협의 정의를 확장하여, 딥페이크 기반 사기, 합성 신원(synthetic identities), 사용자 신뢰를 악용하는 새로운 공격 기법을 명시적으로 포함하고 있습니다.

 

가장 눈에 띄는 변화는 피싱 저항 인증(phishing-resistant authentication) 강화를 강력히 권고한다는 점입니다. 여기에는 패스키(passkey), 하드웨어 기반 인증키, 디바이스 바인딩(device binding)과 같은 방식이 포함됩니다. 이 방식들은 자격 증명이 특정 웹사이트에 암호학적으로 묶여(remote attack 무력화) 있기 때문에 필수적입니다. 이는 기존의 피싱에 취약한 MFA(SMS 인증번호, 보안 질문, 이메일 OTP)가 더 이상 충분하지 않다는 신호입니다. 이러한 방식은 MITM 공격이나 SIM 스와핑 같은 사회공학 공격에 쉽게 뚫리기 때문입니다. 업데이트된 가이드라인은 사용성, 프라이버시, 접근성을 보안과 동등한 핵심 요소로 격상하여, 신원 프로그램은 인간의 행동 패턴에 맞춰 설계되지 않으면 실패한다는 점을 분명히 하고 있습니다. 또한 지속적 모니터링 및 성능 지표의 도입을 요구하며, 신원 시스템은 위협과 사용자 기대 수준에 따라 지속적으로 진화해야 한다는 점을 강조합니다.

 

이 모든 변화를 종합하면, 이번 개정은 공식적으로 “MFA만 추가하면 된다”는 단순한 접근을 폐기하고, 신원(identity)을 지속적으로 최적화해야 하는 동적(dynamically optimized) 전문 분야로 재정의합니다.

 

기업들이 주의 깊게 지켜봐야 할 변화

이번 변화는 기회와 위험을 동시에 가져옵니다. 특히 변화에 적응하지 못하는 조직에게는 리스크가 더 커집니다. 가장 큰 문제는 레거시 인증 방식입니다. 여전히 많은 기업들이 구식 통제 시스템에 묶여 있으며, 이를 교체하려면 예산, 운영 계획, 경영진의 우선순위 지정이 필수적입니다.

 

동일하게 중요한 요소는 신원의 ‘인간적 측면’입니다. 사용자가 불편하면 온보딩 과정에서 이탈하거나 통제를 우회하게 되며, 이는 보안 리스크와 매출 손실을 동시에 초래합니다. 한편, ID 지갑(identity wallets)과 연합 신뢰 모델(federated trust model)의 확장은 복잡한 새로운 거버넌스 문제를 만들고 있습니다.

• 누가 검증하는가?
• 누가 자격을 취소하는가?
• 신원 신뢰가 깨졌을 때 누가 책임지는가?

 

그리고 무엇보다 가장 중요한 점은, “지속적 운영 성숙도(operational maturity)”와 “신원 지표(identity metrics)” 기반의 전환이 이루어지면서, 여전히 신원을 일회성 프로젝트로 취급하는 기업들은 큰 도전에 직면하게 될 것입니다. 신원(identity)은 이제 살아 있는 비즈니스 기능(living business function)이며, 이를 무시하면 공격자와 경쟁사가 당신보다 먼저 취약점을 발견하게 될 것입니다.

 

레거시 취약성에서 지속적 신원 보증 체계로의 전환

새로운 NIST 표준으로 전환하기 위해서는 CISO가 단계적(Phased) 접근 방식을 취하는 것이 가장 효과적입니다.

 

1 단계: 인벤토리 및 리스크 평가(Inventory & Risk Scoring)

• 모든 애플리케이션과 현재 사용 중인 인증 방식을 목록화합니다.
• 애플리케이션 데이터와 현재 AAL/FAL 성숙도를 기준으로 Low/Medium/High의 리스크 점수를 부여합니다.
• 가장 위험도가 높은 애플리케이션을 우선순위로 설정하여 즉각적인 개선 대상으로 지정합니다.

 

2 단계: 파일럿 실행 및 계획 수립(Pilot and Plan)

• 개발자, 임원 접근 계정 등 가치가 높고 리스크가 높은 사용자 그룹 1~2개를 선정해 피싱 저항 인증(예: Passkey, FIDO2)을 파일럿 적용합니다.
• 사용자 경험(UX), 교육, 지원 비용을 포함한 종합적 변화 관리(Change Management) 계획을 수립하고, 이를 통해 ROI(투자 대비 효과)를 명확히 입증합니다.

 

3 단계: 전사 확산 및 레거시 시스템 폐기(Broad Deployment & Decommissioning)

• 피싱 저항 인증 방식을 조직 전체(enterprise-wide)에 확대 적용합니다.
• 공격 표면을 최소화하고 새로운 표준을 강제하기 위해 레거시 MFA(SMS이메일 OTP 등) 폐기 일정을 명확히 수립합니다.

 

4 단계: 지속적 신원 보증 체계 구현(Implement Continuous Assurance)

• 실시간으로 신원 성능 지표(identity performance metrics)를 추적하기 위해 지속적 모니터링 도구를 통합합니다.
• 이 지표를 활용하여 적응형 인증 정책(adaptive authentication)을 운영함으로써, 신원 시스템이 사용자 요구와 위협 환경 변화에 맞춰 지속적으로 진화하도록 보장합니다.

 

긍정적 효과: 비즈니스 성장을 견인하는 신원 체계

모든 전략적 이니셔티브 – 디지털 서비스 출시, 원격 사용자 지원, 글로벌 파트너 네트워크 확장, 환자·고객 접근 채널 현대화 등 – 는 사용자를 지연시키지 않으면서도 신원을 인증하고 신뢰할 수 있는 능력에 기반합니다. 이 현실은 신원(identity)이 기업의 가장 강력한 경쟁 지렛대 중 하나임을 보여줍니다.

 

인증과 신원 확인(identity proofing)이 실제 비즈니스 리스크와 가치에 정렬되면, 조직은

• 더 빠른 고객 확보,
• 마찰 없는(frictionless) 사용자 경험,
• 새로운 시장생태계로의 안전한 확장

을 실현할 수 있습니다. 현대적 신원 솔루션은 성능과 회복력(Resilience)을 최대로 조정할 수 있으며, 이를 통해 이탈률과 지원 비용을 크게 줄일 수 있고, 연합 신뢰(Federation) 또한 생태계 확장을 가속화하는 강력한 모델로 발전합니다.

 

이번 업데이트에서 NIST는 신원을 매출 성장을 촉진하는 비즈니스 핵심 자산(Business Enabler)로 공식 인정했습니다. 선제적으로 대응하는 기업에게 이는 신원 보안이 명확한 차별화 요소가 되며, 사용자 경험을 향상시키는 동시에 기업이

• 더 신뢰받고,
• 더 효율적이며,
• 더 경쟁력 있는 방향

으로 나아가도록 이끄는 역할을 한다는 의미입니다.

 

저자 소개

더스틴 호프(Dustin Hoff)는 KeyData Cyber의 최고경영자(CEO)이자, 글로벌 기업에서 20년 이상 대규모 보안 전환(Security Transformation)을 주도해 온 신원·사이버보안 분야의 베테랑 리더입니다. 그는 IBM, Accenture, KPMG 등에서 고위직을 역임하며, 전략적 비전·기술적 전문성·거버넌스 역량을 모두 갖춘 드문 인재로 평가받고 있으며, 빠르게 변화하는 Identity-Frist Security(신원 중심 보안) 분야에서 탁월한 통찰력을 제시해 왔습니다. 경력 전반에 걸쳐 더스틴은 고규제 산업군의 포춘 500 기업들을 대상으로 대규모 IAM 현대화 프로젝트를 이끌었으며, 이를 통해 조직들이

• 제로트러스트(Zero Trust) 도입,
• 규제 준수 강화,
• 자격 증명 기반 리스크 감소,
• AI 기반 운영 체계 대비

등을 성공적으로 수행하도록 지원해 왔습니다. CEO로서 그는 KeyData Cyber가 인간과 기계의 신원을 모두 보호할 수 있도록,

• 지능형 접근 제어(Intelligent Access),
• 지속적 모니터링(Continuous Monitoring),
• 현대화된 신원 아키텍처

를 기반으로 한 기업 미션을 이끌고 있습니다.