AI 에이전트가 확산됨에 따라 1Password의 새로운 도구는 증가하는 보안 위협을 해결합니다.

AI 에이전트 확산에 따라 1Password, 통합 자격 증명 보안 플랫폼 도입

David Gewirtz / 엘리제 베터스 피카로 / ZDNET

ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.


ZDNET의 주요 시사점

  • AI 에이전트에는 자격 증명이 필요하므로 기업 위험이 증가합니다.
  • 1Password는 인간과 AI 비밀을 관리하는 통합 액세스를 출시합니다.
  • 플랫폼은 환경 전체에서 자격 증명을 검색, 보호 및 감사합니다.

AI 에이전트에 대해 잠시 이야기해 보겠습니다. 특정 업무를 수행하는 디지털 가상 직원이라고 생각할 수 있습니다. 실제로 네트워크 주변에서 실행되는 AI 에이전트와 인간 작업자를 상당히 잘 비유할 수 있습니다.

Zoom 이전에는 출장을 많이 다녔습니다. 그 당시 나에게는 새미(Sammy)라는 고양이가 있었다. 나는 이런 여행을 갈 때마다 그녀의 집을 떠나야 했습니다. 애견에서의 첫 경험 이후 (잘 안됐지만) 나는 다시는 애견에 여행을 가지 않겠다고 다짐했습니다.

또한: AI 에이전트가 보안 위험에 노출되어 있나요? NanoClaw는 이를 가상 케이지에 넣고 싶어합니다.

대신, 나는 친구의 친구를 고용하여 하루에 몇 번씩 내 아파트에 와서 그녀에게 먹이를 주고 함께 놀아주며 함께 지내도록 했습니다. 이런 연습이 필요함에도 불구하고 나에게는 늘 큰 고민이 있었다. 첫째, 새미는 외부 고양이가 아니었습니다. 고양이를 돌보는 사람이 고양이를 내보내면 어떻게 되나요? 고양이를 돌보는 사람이 내 물건을 가지고 장난치기로 결정했다면 어떻게 될까요?

집에 오면 항상 고양이 관찰자에게 열쇠를 돌려받았는데, 복사해 두었나요? 여행 후에 자물쇠를 바꿔야 하나요? 한동안 나는 매달 비행기를 탔습니다. 매달 자물쇠를 바꿔야 하나요? 다행히 아무 일도 일어나지 않았습니다. 하지만 걱정은 거기까지였다.

이것이 AI 에이전트와 관련하여 직면하기 시작한 문제 유형입니다(훨씬 더 나쁜 경우는 제외). 상담원이 업무를 수행하려면 많은 주요 시스템과 데이터 세트에 액세스할 수 있어야 합니다. 로그인할 수 있어야 합니다. 액세스 키, 비밀번호, API 키 및 모든 종류의 자격 증명이 필요합니다.

문제의 가장 큰 문제는 상담원 액세스를 관리하기 위한 통합 시스템이 없다는 것입니다. 대신 개발자들은 API 키를 코드에 바로 붙여넣고, 비밀번호를 텍스트 파일에 넣고, 때로는 전체 자격 증명 시퀀스를 AI 프롬프트에 붙여넣기도 했습니다.

1Password, 다수의 에이전트

한밤중에 식은땀을 흘리며 깨어나서 이것의 영향을 걱정하는 사람은 나뿐만이 아니다.

1Password 직원들은 꽤 오랫동안 이 문제에 대해 고민해 왔습니다. 오늘, AI 에이전트 군대가 도입하는 액세스 제어 문제를 조직이 안전하게 관리할 수 있도록 설계된 AI 에이전트 자격 증명 관리 도구인 통합 액세스(Unified Access)를 발표합니다.

또한: MIT 연구에 따르면 AI 에이전트는 빠르고 느슨하며 통제 불능입니다.

현재 통합 액세스 서비스를 사용할 수 있습니다(곧 제공될 감사 기능 제외). 이는 인간과 AI ID 모두에서 네트워크 액세스를 검색하고 보호하며 최종적으로 감사하는 도구를 제공합니다.

이것이 지난 주에 발표된 Microsoft의 Agent 365 ID 관리 제품과 유사하다고 생각한다면 틀린 것이 아닙니다. 나는 우리가 더 많이 보게 될 것이라고 예측합니다. 회사가 에이전트를 광범위하게 배포하기 시작하자 ID 관리 문제가 즉시 명백해졌습니다.

최근 한 가지 추세를 발견했습니다. AI는 매우 빠르게 움직이고 기업은 새로운 문제를 수용하고 해결하기 위해 매우 빠르게 엔지니어링하고 있어 평행 진화의 사례가 정기적으로 나타나고 있습니다. 이전 혁신으로 인해 새로운 문제가 발생하면 여러 회사가 새로운 문제를 해결하기 위해 고안된 솔루션을 동시에 발표합니다. 이제 에이전트 자격 증명 관리의 경우가 그렇습니다.

1Password의 접근 방식은 Agent 365보다 훨씬 덜 Microsoft 중심적이지만 AI 시스템이 엔터프라이즈 환경 전반에서 작업을 수행하기 시작할 때 자격 증명, 비밀 및 컴퓨터 ID를 보호하는 데에도 중점을 둡니다.

AI 에이전트로 인해 새로운 신원 및 자격 증명 위험이 발생함

DigitalOcean의 보안 이사인 Heather Cannon은 “AI 채택은 우리의 위협 모델을 재편하고 있습니다.”라고 말했습니다. 그 일곱 단어를 생각해 보세요. 정말 와우군요. 1Password의 CEO인 David Faugno는 “에이전트가 이제 실제 생산 환경 내에서 운영되고 있습니다”라고 말하면서 이러한 생각을 증폭시켰습니다.

그것이 바로 도전입니다. AI 도구는 실험적인 호기심에서 생산 환경의 완전한 권한을 부여받은 가상 작업자로 빠르게 이동하고 있습니다. 사용자를 대신하여 API를 호출하고, 워크플로를 실행하고, 인프라에 액세스합니다. 이러한 자동화 시스템은 개발자가 내부 API, 인프라 및 기업 데이터에 액세스하는 데 사용하는 것과 동일한 자격 증명을 사용하는 경우가 많습니다.

또한: OpenClaw는 보안의 악몽입니다. ​​(너무 늦기 전에) 무시해서는 안되는 5가지 위험 신호입니다.

Cannon은 “DigitalOcean의 경우 더 이상 개인이 자격 증명을 잘못 처리하는 것에 국한되지 않습니다. 우리 환경 전반에서 어떤 AI 시스템이 작동하고 있는지에 대한 명확한 가시성이 필요합니다.”라고 말합니다. 그녀는 1Password의 새로운 솔루션이 소위 섀도우 AI 위험을 줄이고 기업이 안전한 방식으로 AI 채택을 확장한다는 목표로 AI 사용을 더 잘 이해하고 관리하는 데 도움이 될 수 있다고 말합니다.

전사적 차원에서 내재된 위험 발견

혼란스럽게도 1Password는 새로운 제품을 “플랫폼 모델”이라고 부릅니다. 이는 대규모 언어 모델처럼 AI 모델이 아닙니다. 대신 이는 기존 에이전트 및 자격 증명을 검색하고 중앙 집중식 저장소 인프라를 통해 보호하며 액세스 사용 방법을 설명하는 강력한 감사 추적을 제공하는 3단계 패러다임을 사용하는 플랫폼 제품입니다.

검색 구성 요소는 기존 결함, 키와 비밀번호가 이미 배포되어 있고 더 나은 관리 제어가 필요한 장소를 검색하기 위한 것입니다. 플랫폼은 엔드포인트, 브라우저 및 로컬 환경 전반에서 AI 도구와 에이전트 활동을 식별합니다. 보안팀은 1Password에서 제공하는 도구를 사용하여 일반 텍스트 환경 파일 및 암호화되지 않은 SSH 키를 포함하여 노출된 자격 증명을 탐지할 수 있습니다.

또한: 엔터프라이즈 AI 에이전트가 궁극적인 내부자 위협이 될 수 있는 이유

물론, 이 검색 프로세스를 전사적으로 수행하려면 1Password 시스템에 어느 정도 깊은 전사적 액세스 권한을 부여해야 합니다. 지난 몇 년간의 과도한 AI 액세스를 억제하려면 이는 필요할 수 있지만 그 자체로 엄청난 위험이기도 합니다.

중앙 집중식 자격 증명 저장소가 내장된 비밀을 대체합니다.

1Password의 CTO인 Nancy Wang은 이메일 Q&A에서 ZDNET에 “자격 증명을 로컬에 저장하거나 스크립트에 포함시키는 대신 자격 증명을 저장소에서 안전하게 검색하여 필요한 순간에만 사용할 수 있습니다”라고 말했습니다.

플랫폼은 프롬프트, 스크립트 또는 구성 파일에 비밀을 직접 삽입하는 대신 보안 저장소 내부에 자격 증명을 중앙 집중화합니다.

또한: Nvidia는 OpenClaw에 투자하지만 보안 계층을 추가합니다 – NemoClaw 작동 방식

Wang은 “개발자는 비밀을 코드나 환경 변수에 직접 삽입하는 대신 1Password를 통해 참조합니다. 런타임 시 1Password는 참조를 확인하고 정책을 시행하며 조직 정책에 따라 기록된 모든 액세스 이벤트와 함께 필요한 프로세스에만 자격 증명을 전달합니다.”라고 말합니다.

보안 팀은 어떤 자격 증명이 사용되었는지, 어떤 시스템이 이를 요청했는지, 해당 작업에 책임이 있는 신원을 확인할 수 있습니다. 무기한 유효하게 유지되는 API 키와 비밀에 대한 의존도를 줄이는 것이 아이디어입니다.

AI 개발자 및 인프라 플랫폼과의 통합

물론 개발자나 기업이 사용할 수 있는 모든 도구에 액세스하는 것은 큰 일입니다. 많은 도구가 작동하지 않으며 다른 도구와 잘 작동하지 않습니다. 이 문제에 대응하기 위해 1Password는 많은 도구 및 엔터프라이즈 공급업체와 협력하여 제품에 직접 지원을 포함시키고 있습니다.

출시 시 발표된 초기 협업에는 Vercel을 포함한 클라우드 및 개발자 플랫폼과 함께 Cursor 및 GitHub와 같은 AI 개발자 도구가 포함됩니다.

Vercel의 CISO인 Talha Tariq는 “에이전트 코딩 도구가 현대 팀이 소프트웨어를 구축하고 제공하는 방법의 일부가 되면서 보안은 개발자 워크플로에 직접 통합되어야 합니다.”라고 말했습니다. “1Password와의 파트너십을 통해 우리는 개발자가 이미 사용하고 있는 도구와 환경 내에서 안전하게 자격 증명에 더 쉽게 액세스할 수 있도록 하여 건전한 보안 관행을 훼손하지 않고 빠르게 움직일 수 있도록 하고 있습니다.”

또한: 혼돈의 AI 요원? 연구에 따르면 봇과 대화하는 봇이 어떻게 옆으로 빠르게 이동할 수 있는지 보여줍니다.

Cursor와 GitHub는 1Password 제품을 사용하여 IDE, 클라우드 샌드박스, CI/CD 파이프라인 전반에서 개발자 워크플로를 보호합니다. 이제 커서 에이전트 및 GitHub Actions에 대한 확장 기능을 사용할 수 있으며 더 많은 기능이 기대됩니다.

1Password는 또한 AI 인프라, 에이전트 제어 플레인, MCP 게이트웨이 및 AI 브라우저를 제공하는 플레이어와 협력하고 있으며 구현 내용은 곧 발표될 예정입니다.

1Password의 CTO가 우리의 질문에 답변합니다.

1Password에 여러 가지 질문을 했습니다. Wang CTO는 친절하게도 비행기에 있는 동안 답변을 해주었습니다. 우리는 그녀가 문자 그대로 그 이상으로 나아가는 것에 감사드립니다.

1Password 사용자 인터페이스에 대한 질문에 그녀는 “예, 사람들이 알고 좋아하는 것과 동일한 인터페이스입니다. 통합 액세스를 통해 우리는 1Password 확장, CLI, API 등 사람들이 이미 사용하는 인터페이스를 에이전트가 실제로 실행되는 환경으로 확장하고 있습니다.”라고 말했습니다.

나는 상호 작용 경험을 정리하려고 노력했습니다. 자격 증명은 정확히 어디에서 어떻게 관리됩니까? 그녀는 “에이전트가 1Password와 상호 작용하는 방식은 익숙한 경험을 에이전트가 운영되는 환경으로 확장합니다. 높은 수준에서 우리는 에이전트를 사용자나 시스템을 대신하여 작업하기 위해 자격 증명에 대한 보안 액세스가 필요한 새로운 클래스의 ID로 생각합니다.”라고 말했습니다.

또한: 단일 로그인을 잃지 않고 비밀번호 관리자를 전환하는 방법

그녀는 “이 환경에서 1Password는 해당 자격 증명에 대한 신뢰할 수 있는 기록 시스템 역할을 합니다. 프롬프트, 코드 또는 에이전트 메모리에 비밀을 직접 삽입하는 대신 에이전트는 필요할 때 1Password 저장소에서 자격 증명을 검색할 수 있습니다.”라고 말했습니다.

이 접근 방식이 코드에 어떻게 통합될 것인지에 대한 응답으로 “개발자는 비밀을 코드나 환경 변수에 직접 삽입하는 대신 1Password를 통해 참조합니다. 런타임 시 1Password는 참조를 확인하고 정책을 시행하며 조직 정책에 따라 기록된 모든 액세스 이벤트와 함께 필요한 프로세스에만 자격 증명을 전달합니다.”라는 말을 들었습니다.

글의 시작 부분을 돌이켜보면, 고양이의 펫시터와 열쇠를 공유하는 것에 대한 고민을 떠올리면, 여행이 끝나면 자물쇠를 바꿔야 하나 하는 의문에 집착했던 기억이 납니다.

가상세계에서는 그것이 가능해진다. Wang은 “자격증명을 교체해야 하는 경우 저장소에서 수행할 수 있으며 저장소에 액세스할 수 있는 모든 에이전트는 새 자격 증명에 액세스할 수 있으므로 에이전트별로 업데이트할 필요가 없습니다.”라고 말했습니다.

기본적으로 1Password는 에이전트 공간에서 자격 증명에 대한 단일 진실 소스를 구축하고 있습니다. 엄청나게 복잡하지만 요원 요정을 다시 병에 담을 수는 없기 때문에 Unified Access 및 Agent 365와 같은 보안 도구가 너무 빨리 나올 수는 없습니다.

당신은 어때요?

AI 에이전트가 이미 조직의 워크플로 내에서 실행되고 있나요, 아니면 아직 실험 중인가요? 해당 에이전트에 필요한 자격 증명과 액세스 권한을 어떻게 관리하고 있나요? 1Password의 Unified Access 및 Microsoft의 Agent 365와 같은 중앙 집중식 저장소 접근 방식이 올바른 방향으로 나아가고 있다고 생각하십니까?

또한: 1Password의 가격 인상: 무료 또는 저렴한 대안은 다음과 같습니다.

인간 개발자와 동일한 자격 증명을 사용하는 에이전트에 대해 우려하고 있습니까? 아니면 올바른 도구를 사용하여 관리할 수 있다고 생각하십니까? 오늘날 기업이 자동화 시스템이 수행하는 작업에 대해 얼마나 많은 가시성을 갖고 있다고 생각하시나요? 아래 댓글을 통해 알려주세요.


소셜 미디어에서 저의 일상적인 프로젝트 업데이트를 팔로우하실 수 있습니다. 내 주간 업데이트 뉴스레터를 구독하고 Twitter/X에서 나를 팔로우하세요. @DavidGewirtzFacebook(Facebook.com/DavidGewirtz), Instagram(Instagram.com/DavidGewirtz), Bluesky(@DavidGewirtz.com), YouTube(YouTube.com/DavidGewirtzTV).

관련 기사

댓글 남기기