용어 사전
NHI 보안 용어 25가지
사람 신원이 아닌 기계 신원 관점에서 정의합니다. 각 용어는 1~2 문단, 관련 글과 연결해 두었습니다.
신원과 접근
Non-Human Identity
동의어: NHI · Machine Identity
- 사람이 직접 키보드에서 인증하지 않고 시스템이 자체적으로 인증·권한을 행사하는 모든 신원. API 키, 서비스 계정, OAuth 토큰, 서명 키, SSH 키, 워크로드 신원, CI 러너 자격증명 등을 포함합니다. 현대 인프라에서 NHI 수는 보통 사람 신원의 10~50배입니다.
IAM
동의어: Identity and Access Management
- 디지털 신원(사람+비인간)을 관리하고 각 신원이 무엇을 할 수 있는지 통제하는 분야. 클라우드 맥락(AWS IAM, GCP IAM)에서는 리소스 접근을 관장하는 정책·역할 체계를 지칭합니다.
Least Privilege
- 모든 신원이 자신의 업무에 필요한 최소 권한만 가져야 한다는 보안 원칙. NHI에서 가장 흔한 실패는, 하나의 버킷만 읽으면 되는 API 키가 전체 관리자 권한을 쥐고 있는 경우입니다.
Zero Trust
- 네트워크 위치와 무관하게 모든 요청을 기본 비신뢰로 간주하고, 호출마다 신원과 권한을 검증하는 아키텍처 패턴. NHI에서는 "한 번 발급되면 영원히 신뢰" 대신 지속적 검증을 의미합니다.
Service Account
- 애플리케이션, 스크립트, 클라우드 워크로드가 다른 서비스에 인증할 때 쓰는 비인간 계정. 장기 생존, 넓은 권한, 감사 부재가 흔하며, 높은 가치의 공격 대상이자 흔한 NHI 실패 지점입니다.
Workload Identity Federation
동의어: WIF
- 한 환경(예: GitHub Actions)의 워크로드가 단기 토큰 교환으로 다른 환경(GCP 또는 AWS)의 신원을 assume하는 메커니즘. 장기 서비스 계정 키가 불필요해지므로, 가장 흔히 유출되는 NHI를 제거합니다.
PAM
동의어: Privileged Access Management
- 특권 사람 접근을 통제·모니터링·감사하는 시스템과 프로세스. PAM은 일반적으로 NHI를 커버하지 않으며, 기계 신원에는 별도의 수명 주기 도구가 필요합니다. Cremit Argus가 그 부분에 집중합니다.
인증 프로토콜
SAML
동의어: Security Assertion Markup Language · SAML 2.0
- ID 제공자(IdP)와 서비스 제공자(SP) 간 인증·권한 어설션을 XML로 교환하는 개방형 표준. 엔터프라이즈 싱글 사인온에서 널리 사용됩니다. Cremit Argus는 Okta, Azure AD, Google Workspace, Ping, JumpCloud 등 모든 SAML 2.0 호환 IdP를 지원합니다.
SSO
동의어: Single Sign-On
- 한 번 로그인으로 여러 애플리케이션에 재인증 없이 접근하게 하는 인증 방식. 보통 SAML 2.0 또는 OIDC로 구현됩니다. NHI 맥락에서 SSO는 관리 도구에 대한 사람 접근에만 적용되고, 기계 간 인증은 서비스 계정을 씁니다.
SCIM
동의어: System for Cross-domain Identity Management · SCIM 2.0
- ID 시스템 간 사용자·그룹을 자동 프로비저닝·디프로비저닝하기 위한 개방 표준. IdP에서 직원이 suspend되면 SCIM이 하위 앱들로 변경을 실시간 전파해, 티켓 없이 접근이 회수됩니다.
OAuth
동의어: OAuth 2.0
- 사용자가 비밀번호를 공유하지 않고 제3자 앱에 자신의 데이터 접근을 위임하는 프로토콜. OAuth가 발급하는 액세스 토큰·리프레시 토큰 자체가 NHI이므로 로테이션, 스코프 검토, 유출 탐지 대상이 됩니다.
OIDC
동의어: OpenID Connect
- OAuth 2.0 위에 인증 계층(사용자가 누구인가)을 추가한 ID 레이어. XML이 아닌 JSON과 HTTP를 사용하므로 현대 웹·모바일 SSO에서 SAML보다 선호됩니다.
JWT
동의어: JSON Web Token
- 당사자 간 신원과 권한 클레임을 전송하는 서명된 compact 토큰 포맷. 서명된 JWT는 변조 감지가 가능하지만, 유출된 JWT는 만료되거나 블랙리스트되기 전까지 사용 가능하므로 짧은 만료 시간이 중요합니다.
시크릿
Secret Sprawl
- 자격증명, API 키, 토큰이 코드 리포, CI 시스템, 환경 변수 저장소, 채팅, 위키, 문서에 흩어져 있고 단일 인벤토리나 소유권 기록이 없는 상태. 복사본이 몇 개 있는지 파악이 안 되어 하나의 값을 교체하는 데도 비용이 크게 듭니다.
위협 패턴
NHI Kill Chain
- 비인간 신원을 공격 경로로 바꿔 놓는 반복적 실패 패턴 분류. Ghost(주인 없는), Shadow(미문서화), Aged(미교체), Over-shared(과다 공유), Zombie(삭제 후에도 유효), Drifted, Over-privileged, Public, Unattributed 9가지를 다룹니다.
Shadow IT
- 보안팀이 모르는 상태에서 직원이 도입한 도구·서비스·통합. NHI 세계에서 shadow IT는 인벤토리에 올라오지 않는 shadow 서비스 계정, shadow API 키, shadow OAuth grant를 만들어 냅니다.
Ghost Key
- 소유자가 퇴사했거나 식별 불가능해졌지만 여전히 유효한 API 키 또는 자격증명. NHI Kill Chain의 한 항목입니다.
Aged Key
- 수개월에서 수년간 교체되지 않은 장기 자격증명. 시간이 피해를 키웁니다. 유출될 기회가 충분했고, 공격자는 계속 유효할 거라는 예측 가능성 위에서 공격을 계획할 수 있습니다.
Zombie Key
- 그 용도였던 서비스나 통합이 삭제·폐기됐는데도 여전히 인증되는 자격증명. 키는 살아 있지만 시스템은 죽었다고 간주하는 상태입니다.
Out of Scope Loophole
- 자격증명 노출이 버그 바운티 범위나 시크릿 매니저 인벤토리에 포함되지 않아, 보안 프로그램이 있는데도 문제가 지속되는 패턴. Notion, Jira, Slack에 붙여넣어진 SaaS 자격증명에서 흔합니다.
Blast Radius
- 하나의 자격증명이 침해됐을 때 도달 가능해지는 시스템·데이터·행위의 범위. 공유된 DB 패스워드의 경우, 블라스트 레이디어스는 그 값을 쥐고 있는 모든 환경입니다.
운영
Credential Rotation
동의어: Key Rotation · Secret Rotation
- 새 자격증명을 발급하고, 그것을 쓰는 모든 시스템을 업데이트하며, 옛 값을 폐기하는 과정. 어려운 지점은 새 키 발급이 아니라 옛 값이 어디에 몇 개 있는지 찾는 일입니다.
AI·에이전트
MCP
동의어: Model Context Protocol
- LLM 기반 도구가 외부 데이터 소스와 액션에 구조화된 방식으로 연결되도록 하는 프로토콜. NHI 관점에서 각 MCP 연결은 새로운 신뢰 경계이며, 도구는 이를 연결한 사람의 신원과 자격증명을 상속받습니다.
A2A
동의어: Agent-to-Agent Protocol
- AI 에이전트가 서로 직접 통신하고 조율하기 위한 프로토콜. 모든 A2A 호출은 자격증명 행위이며, 에이전트 신원 인벤토리는 사람 신원 인벤토리만큼 중요해집니다.