한국어
  • 가장
  • 인공지능
  • 인증
  • 인가

사이버 보안 및 아이덴티티 관리에서의 가장(假裝)이란 무엇인가? AI 에이전트가 이를 어떻게 사용할 수 있는가?

사이버 보안 및 아이덴티티 관리에서 가장이 어떻게 사용되는지, 그리고 AI 에이전트가 이 기능을 어떻게 사용할 수 있는지 알아봅니다.

Guamian
Guamian
Product & Design

사용자 인증에 몇 주를 낭비하지 마세요
Logto로 더 빠르게 안전한 앱을 출시하세요. 몇 분 만에 사용자 인증을 통합하고 핵심 제품에 집중하세요.
시작하기
Product screenshot

가장은 Logto의 내장 기능이며, 이 기사에서는 그것이 무엇인지 그리고 언제 사용할 수 있는지 설명합니다. 2025년에는 AI 에이전트가 점점 더 흔해지면서 사이버 보안 및 아이덴티티 관리에서 가장과 관련된 사용 사례가 증가하고 있습니다.

인증 및 인가에서의 가장이란 무엇인가?

인증 및 인가 분야에서의 가장은 시스템이나 사용자가 다른 사용자의 신원을 일시적으로 대신하여 그들의 이름으로 행동을 수행하는 것을 의미합니다. 이는 일반적으로 적절한 권한으로 수행되며, 신원 도용이나 악의적인 가장과는 다릅니다.

일반적인 예로는 계정에 문제가 있을 때 고객 서비스 팀에 이메일을 보내서 도움을 받는 상황을 들 수 있습니다. 그들은 문제를 해결하기 위해 사용자를 대신하여 계정을 확인합니다.

가장이 작동하는 방식

가장 흐름에는 몇 가지 전형적인 단계가 있습니다.

  1. 권한 요청: 가정자(예: 관리자 또는 AI 에이전트)가 사용자를 대신하여 행동하기 위한 권한을 요청합니다.
  2. 토큰 교환: 시스템은 요청을 검사하고 토큰을 교환하여 필수 권한을 가진 가정자에게 접근을 허용합니다.
  3. 사용자 대신 행동: 가정자는 마치 사용자인 것처럼 행동합니다 (예: 설정 업데이트, 문제 해결).

가정자는 이렇게 함으로써 사용자가 사용했던 것과 같은 자원 접근이나 행동을 수행할 수 있게 됩니다.

가장의 타당한 사용 사례는 무엇인가?

고객 지원

앞서 언급한 것처럼, 고객 지원 시나리오에서는 가정이 지원 에이전트나 관리자가 사용자의 자격 증명을 요구하지 않고도 그들의 계정에 접근하여 문제를 진단하고 해결할 수 있게 해줍니다.

몇 가지 예시는 다음과 같습니다:

  1. 문제 해결: 관리자가 사용자를 가장하여 보고된 문제를 재현하고 그 상황을 이해합니다.
  2. 계정 복구: 관리자가 사용자를 대신하여 프로필을 업데이트하거나 설정을 재설정합니다.
  3. 구독 관리: 청구 지원 에이전트가 사용자의 계정에 직접 접근하여 구독 오류를 수정합니다.

AI 에이전트

AI 에이전트는 사용자를 대신하여 행동하거나 워크플로를 돕는데 있어 가장을 활용할 수 있습니다. AI가 비즈니스 프로세스에 더욱 관여하게 되면서 가장은 자율적인 활동을 가능하게 하면서도 아이덴티티 보안과 접근 제어를 보장하는 데 중요한 역할을 합니다.

여기 몇 가지 예시가 있습니다:

  1. 가상 비서: AI 에이전트가 사용자를 대신하여 회의를 예약하고 캘린더 초대를 보냅니다.
  2. 자동 응답: AI 채팅봇이 고객 문의에 응답하고 지원 에이전트의 프로필을 사용하여 문제를 직접 해결합니다.
  3. 작업 자동화: AI 비서가 프로젝트 관리 보드를 업데이트하거나 사용자를 대신하여 보고서를 제출합니다. 예를 들어, 티켓 상태 업데이트 ("진행 중"에서 "완료"로), 매니저의 프로필로 코멘트나 피드백 보상.

감사 및 테스트

가장은 또한 감사, 테스트 및 품질 보증 목적으로 자주 사용됩니다. 관리자나 테스터가 서로 다른 역할을 가장함으로써 사용자 경험, 워크플로, 권한을 확인하여 시스템 성능 및 품질을 보장할 수 있습니다.

몇 가지 예시:

  1. 역할 테스트: 관리자가 서로 다른 사용자 역할 (예: 매니저, 직원, 손님)을 가장하여 접근 제어를 확인하고 각 역할이 적절한 권한을 가지고 올바른 리소스에 접근할 수 있는지 확인합니다.
  2. 워크플로 테스트: QA 엔지니어가 다양한 사용자 프로필에서 트랜잭션을 시뮬레이션하여 시스템 동작을 테스트합니다.
  3. 보안 감사: 감사자는 사용자를 가장하여 민감한 행동이 적절한 경고를 촉발하거나 다중 요소 인증 (MFA)을 요구하는지 확인합니다.

대리 접근

대리 접근은 하나의 사용자가 다른 사람을 대신하여 행동을 수행할 수 있도록 허용하며, 이는 주로 기업 및 팀 협업 환경에서 볼 수 있습니다. 이 사용 사례는 일반적인 가장과 다르게 행위자와 위임자의 신분이 유지됩니다.

몇 가지 예시:

  1. 관리자 승인: 관리자가 팀원의 근무 시간표나 경비 보고서를 제출합니다.
  2. 팀 협업: 비서가 임원의 계정에서 회의를 예약하거나 이메일을 보냅니다.
  3. 기업 워크플로: HR 담당자가 직원 기록을 업데이트하며, 그들의 비밀번호가 필요하지 않습니다.

가장을 구현함에 있어 보안 고려 사항은 무엇인가?

가장은 사용자로 하여금 시스템 내에서 다른 사람을 대신하여 일시적으로 행동할 수 있도록 하여, 상당한 권한과 통제를 제공합니다. 그렇기 때문에 남용을 막기 위해 여러 보안 고려사항을 처리하는 것이 필요합니다.

자세한 감사 로깅

모든 가장 행동을 로그화하여 누가 그것을 수행했는지, 무엇을 했는지, 언제 발생했는지, 어디서 발생했는지를 기록하세요. 로그에는 가정자와 가정된 사용자가 모두 나타나도록 하세요. 로그를 안전하게 저장하고 합리적인 보존 기간을 설정하며, 비정상적인 활동에 대한 경보를 활성화하세요.

역할 기반 접근 제어 (RBAC)

인증된 역할 (예: 지원 에이전트)만이 가장할 수 있도록 허용하세요. 가장 범위를 제한하세요 (예: 지원 에이전트는 고객만을 가장할 수 있고, 관리자를 못함). 최소 권한 원칙을 따르며, 정기적으로 권한을 검토하여 보안을 유지하세요.

동의와 알림

때로는 흐름에 동의와 알림이 포함될 수 있습니다. 예를 들어:

  1. 가장 전에: 민감한 행동에 대해 사용자 승인을 요청하세요.
  2. 가장 후에: 수행된 행동의 세부 내역을 사용자에게 알리세요.
  3. 민감한 산업 (예: 의료, 금융)에서는 동의가 필수입니다.

인증 및 인가에서 AI 에이전트의 가장 사용 사례

AI 에이전트가 2025년에 더욱 보편화됨에 따라 가정은 에이전트가 사용자를 대신하여 행동하면서도 보안과 책임성을 유지할 수 있게 도와주는 데 점점 더 많이 사용되고 있습니다.

몇 가지 실제 사용 사례는 다음과 같습니다:

AI 고객 지원 에이전트

시나리오: 사용자가 채팅을 통해 계정 문제로 지원을 요청합니다. AI 에이전트는 사용자의 비밀번호 없이 그들의 계정에 접근하여 행동을 수행합니다.

어떻게 작동하고, 어떻게 설계되었는가?

  1. OIDC/OAuth 흐름: AI 에이전트가 사용자의 정보를 업데이트하기 위해 사용자를 가장할 권한을 요청합니다. 교환된 토큰을 사용하여 사용자의 프로필에 접근하고 변경사항을 만듭니다.
  2. 로깅: 행동은 사용자 하에 로그되지만, AI 에이전트에 의해 수행된 것으로 태그됩니다.
  3. 제한된 범위: 에이전트의 권한은 특정 행동 (예: 비밀번호 재설정, 민감한 결제 정보 보기 금지)으로 제한됩니다.

Diagram 1.png

AI 보안 에이전트의 계정 모니터링

시나리오: AI 에이전트가 사용자 세션을 모니터링하고 자동으로 손상된 계정을 잠급니다.

어떻게 작동하고, 어떻게 설계되었는가?

  1. 에이전트는 의심스러운 세션을 검토하고 종료하기 위한 “관리자 가장” 권한을 가집니다.
  2. 위험이 감지되면 보안 팀을 가장하여 계정을 잠그고 사용자에게 알립니다.
  3. 모든 행동은 감사 목적으로 에이전트의 신원 하에 기록됩니다.

Diagram 2.png

팀을 위한 AI 워크플로 자동화

시나리오: 프로젝트 관리 도구에서 AI 에이전트가 자동으로 팀원들을 대신하여 작업을 할당하고 상태를 업데이트합니다.

어떻게 작동하고, 어떻게 설계되었는가?

  1. AI 자동화 워크플로는 프로젝트 관리자를 가장하여 올바른 사용자의 이름으로 티켓을 업데이트할 수 있습니다.
  2. 에이전트는 엄격한 RBAC로 인해 비인가 영역 (예: 비공개 보드)에 접근할 수 없습니다.

Diagram 3.png

가장을 구축하기 위한 보안 모범 사례

위의 시나리오를 토대로 목표를 달성하기 위해 디자인된 몇 가지 원칙이 있습니다:

  1. 토큰 스코핑: 제한된 범위를 사용하세요. 액세스 토큰이 승인할 수 있는 행동이나 리소스를 정의하고 제한하세요.
  2. 커스텀 클레임: 이유나 관련 지원 티켓과 같은 가장 과정에 추가적인 컨텍스트나 메타데이터를 추가하는 데 유용할 수 있습니다.
  3. 역할 기반 접근 제어 (RBAC): 특정 역할 (예: 지원 에이전트)만 사용자를 가장할 수 있도록 하고, 역할의 필요에 따라 범위를 제한하세요.
  4. 자세한 로깅: 책임성과 추적성을 보장하기 위해 모든 가장 행동을 기록하고 누가 수행했으며 무엇이 수행되었는지를 기록하세요.
  5. 동의 관리: 가장이 발생할 때 사용자를 알리고, 승인 또는 접근 철회를 선택할 수 있게 하세요.

Logto는 가장을 어떻게 구현하는가?

Logto는 관리 API를 통해 가장을 지원합니다.

자세한 내용은 이 가이드 - 사용자 가장을 확인하세요. Logto는 또한 현실적인 제품 시나리오를 지원하기 위해 가장을 통합하는 추가 기능을 제공합니다.

기능설명문서 링크
역할 기반 접근 제어사용자에게 역할에 따라 권한을 할당합니다https://docs.logto.io/authorization/role-based-access-control
사용자 정의 토큰 클레임액세스 토큰 내에 사용자 정의 클레임을 추가합니다.https://docs.logto.io/developers/custom-token-claims
감사 로그사용자 활동 및 이벤트를 쉽게 모니터링합니다.https://docs.logto.io/developers/audit-logs