Q

[질문] AI 에이전트가 사람의 개입 없이 SaaS 간 데이터를 주고받는 환경에서는 사람 중심의 보안 통제로는 한계가 있습니다. 에이전트의 데이터 접근과 실행을 통제하기 위한 새로운 거버넌스 모델은 어떻게 구성해야 하나요?

비회원 곽원기 2026-07-09 14:42
A

AI 에이전트를 '관리 대상 비인간 ID(Non-Human Identity)'로 정의하고, 사람과 동일한 라이프사이클·최소권한·감사 체계에 편입하는 것입니다. Entra Agent ID로 에이전트에 고유 신원을 부여하고, 상시 자격증명 대신 JIT로 접근 범위·조건을 제한하며, 모든 도구 호출·데이터 접근을 로그로 남겨 감사하는 로직을 구성합니다. 여기에 Purview DLP로 에이전트가 주고받는 데이터 자체에 정책을 적용하고, HITL(Human-in-the-Loop) 승인 게이트를 고위험 실행에 삽입하는 것이 현재 현실적인 모델입니다. 추가 연락주시면 상세한 아키텍쳐 및 구성에 대해 제안드리도록 하겠습니다

씨앤토트 발표자 씨앤토트 발표자 2026-07-09 14:46
Q

[질문] 제로 트러스트를 SaaS 환경에 적용할 때 모든 접근을 검증하려면 사용자 경험이 저하될 수 있습니다. 위험 수준에 따라 인증 강도를 조정하는 적응형 접근 제어는 어떻게 설계하는 것이 효과적인가요?

비회원 곽원기 2026-07-09 14:41
A

모든 접근을 획일적으로 검증하지 않고, 실시간 위험 신호에 따라 인증 강도를 차등 적용(Risk-Based Adaptive Access)하는 것입니다. Entra ID Conditional Access + Identity Protection으로 사용자·로그인 위험을 실시간 산정하고, 저위험은 SSO 통과, 중위험은 MFA·규정준수 기기 요구, 고위험은 차단 또는 비밀번호 재설정을 자동 적용하도록 구성하는 방안을 제안드립니다

씨앤토트 발표자 씨앤토트 발표자 2026-07-09 14:43
A

상세한 답변 감사합니다. 도움 되었습니다.

비회원 곽원기 2026-07-09 14:44
Q

[질문] SaaS 환경에서는 외부 협력사나 파트너와의 데이터 공유가 빈번합니다. 외부 공유 데이터의 노출 위험을 실시간으로 평가하고 통제하기 위한 정책은 어떻게 가져가야 할까요?

비회원 곽원기 2026-07-09 14:39
A

CASB API연동을 지원하는 SaaS의 경우(예:GWS, M365 등), 사외로 공유되는 파일링크가 생성되는 경우, 공유대상도메인, 사용자, DLP정책 별로 공유자체를 제거하거나 공유 대상은 제거하는 정책을 수립할 수 있습니다.

비회원 스카이하이 시큐리티 발표자 2026-07-09 14:50
A

사외 연결 정책에 대한 답변 감사합니다.

비회원 곽원기 2026-07-09 14:51
Q

[질문] 퇴직자나 부서 이동자의 SaaS 접근 권한이 제때 회수되지 않아 발생하는 보안 공백을 자동으로 관리하는 체계는 어떻게 구성하나요?

비회원 정하나 2026-07-09 14:38
A

인사(HR) 시스템과 중앙 ID 관리 시스템(Entra ID)을 연동하고, 표준 프로토콜(SCIM)을 통해 각 SaaS의 계정 관리를 자동화하는 로직을 구성하시고, 인사 정보가 변경되는 즉시 라이프사이클 워크플로가 가동되어, 퇴직이나 부서 이동 발생 시 연동된 모든 SaaS의 권한을 실시간으로 자동 차단하고 회수하도록 구성하는 아키텍쳐를 제안드립니다

씨앤토트 발표자 씨앤토트 발표자 2026-07-09 14:41
Q

데이터 유출을 빠르게 파악하고 효과적으로 해결할 수 있는 최선의 방법에 대해서 질문드립니다 이와 관련하여 지원하시는 기술지원 서비스에 대해서 설명 부탁드립니다

비회원 문주웅 2026-07-09 14:38

아직 답변이 없습니다

Q

[질문] AI가 SaaS 데이터를 학습하거나 참조할 때 민감 정보가 포함될 수 있습니다. 데이터가 AI에 입력되기 전 단계에서 민감 정보를 자동으로 식별하고 차단하기 위한 통제는 어떻게 구현되나요?

비회원 곽원기 2026-07-09 14:38

아직 답변이 없습니다

Q

[질문] SaaS 환경에서 사용자 권한이 과도하게 부여되는 권한 과잉 문제가 자주 발생합니다. 최소 권한 원칙을 유지하면서도 업무 편의성을 해치지 않는 권한 관리 자동화 방안은 어떻게 설계해야 하나요?

비회원 곽원기 2026-07-09 14:36
A

상시 권한을 최소화하는 대신, 필요할 때만 신속한 승인을 통해 한시적으로 권한을 부여하는 JIT(Just-In-Time) 및 PIM(우선 권한 관리) 체계를 도입합니다. 여기에 HR 시스템과 연동된 사용자 라이프사이클 워크플로와 정기적인 자동 권한 검토(Access Review)를 결합하면, 업무 편의성을 유지하면서도 방치된 과잉 권한을 자동으로 회수할 수 있습니다. Entra ID Governace를 이용한 구성을 이용하시면 될 것 같습니다

씨앤토트 발표자 씨앤토트 발표자 2026-07-09 14:39
Q

[질문]Azure뿐 아니라 AWS와 GCP까지 함께 사용하는 기업이 많습니다. AI 워크로드가 멀티클라우드에 분산될 경우 CSPM과 SaaS 보안 정책을 일관되게 유지하기 위한 가장 현실적인 운영 모델은 무엇인지 궁금합니다.

비회원 신유진 2026-07-09 14:36

아직 답변이 없습니다

Q

[질문]AI 서비스를 안전하게 사용하려면 데이터 등급 분류가 선행되어야 합니다. 실제 구축 경험상 개인정보, 소스코드, 내부 문서 등을 자동 분류하기 위해 어떤 방식의 Data Classification 정책이 가장 효과적이었는지 궁금합니다.

비회원 신유진 2026-07-09 14:35

아직 답변이 없습니다

Q

[질문]DLP는 파일 업로드는 통제할 수 있지만 Prompt 자체에 개인정보나 소스코드를 입력하는 경우도 많습니다. Prompt 수준의 데이터 분류나 실시간 정책 적용까지 지원하는 사례가 있는지도 궁금합니다.

비회원 신유진 2026-07-09 14:35
A

Skyhigh Security 의 "Prompt Security" 기능을 통해 프롬프트로 문의되는 내용에 대해 실시간 DLP적용을 통해 기업의 정보 자산이 되는 소스코드 내용만을 업로드 차단시킬수 있습니다. 금융권 및 개발사 적용 사례가 있습니다.

비회원 스카이하이 시큐리티 발표자 2026-07-09 14:56
Q

[질문] AI 도구가 여러 SaaS 데이터를 동시에 참조하면서 답변을 생성하는 환경에서는 데이터가 어디로 흘러가는지 추적하기 어려워집니다. AI 응답까지 포함한 데이터 흐름을 가시화하기 위한 기술적 방법은 무엇인가요?

비회원 곽원기 2026-07-09 14:34

아직 답변이 없습니다

Q

[질문] SaaS마다 제공하는 보안 설정과 로그 수준이 제각각인데요. 여러 SaaS에 걸쳐 일관된 보안 정책을 적용하고 통합 관제하기 위한 아키텍처 관점의 우선순위는 어떻게 잡아야 할까요?

비회원 곽원기 2026-07-09 14:31
A

hadow SaaS는 탐지 → 통제 → 대체의 3단계로 접근하는 것이 현실적입니다. Microsoft 환경이라면 Defender for Cloud Apps(MDCA)로 사용 중인 SaaS를 탐지·분류하고, Entra ID 조건부 접근 + Purview DLP로 미승인 앱의 데이터 업로드를 차단합니다. 다만 차단만으로는 개인기기 우회를 유발하므로, Copilot·Azure OpenAI 등 승인된 대안 제공이 병행되어야 지속가능합니다.

씨앤토트 발표자 씨앤토트 발표자 2026-07-09 14:32
Q

[질문]최근에는 승인되지 않은 ChatGPT나 다양한 AI 서비스를 직원들이 사용하는 Shadow AI 문제가 빠르게 증가하고 있습니다. 실제 고객사에서는 Shadow AI를 어떤 방식으로 식별하고, 단순 차단보다 안전하게 허용하는 거버넌스를 어떻게 구축하고 계신지도 궁금합니다.

비회원 신유진 2026-07-09 14:31
A

고객의 웹 접근 로그를 기반으로, 사용되고 있는 AI 서비스를 인식하여, 각 AI 서비스별로 내재된 위험, 위험도, 필요성을 검토하여, 이후 내부 승인된 AI 서비스만을 "보안을 적용한 상태로" 허용합니다. 필수적으로 적용해야 하는 보안은 사용자별 접근 제어, 접근 위치 제어, AV, 파일 업로드 위치 지정, DLP 정책을 적용합니다. 만약 일반적인 인터넷 접속을 허용해야 하는 고객의 경우, SSE 를 적용하여 모든 SaaS 별 데이터 흐름을 지속적으로 모니터링하는 것으로 가이드 드리고 있습니다.

비회원 스카이하이 시큐리티 발표자 2026-07-09 14:42
Q

[질문] 보안 통제의 강도를 유지하면서도 현업의 AI/SaaS 활용 편의성을 해치지 않도록 조율하는 정책 가이드라인 같은 게 있을까요?

한승민 한승민 2026-07-09 14:29
A

만약 모니터링을 원하는 SaaS/AI가 CASB솔루션과 API로 연동을 지원하는 경우, 사용자 영향이 전혀 없는 상태로 SaaS/AI 서비스에 대한 보안을 강화(AV 적용/DLP/접근 제어/이상행위 탐지)할 수 있습니다.

비회원 스카이하이 시큐리티 발표자 2026-07-09 14:46
Q

[질문] AI사용정책을 수립했지만 실제로 직원들의 민감 데이터 입력을 막지 못하는 상황에서, 섀도우 AI 사용을 어떻게 효율적으로 탐지하고 통제할 수 있으며, 정책이 실제 현장에서 효과적으로 작동하도록 할 수 있는 좋은 방법은 무엇이 있을까요?

비회원 박선희 2026-07-09 14:28
A

스카이하이 시큐리티 발표 내용중 DLP 에 대한 내용입니다. 사용을 허용하는 AI 서비스가 지정된 이후, 개인정보/기밀 정보 에 대한 DLP를 적용하고, 기존 방식으로 지원한지 않는 웹 접속은 Browser control 기술을 통해 탐지할 수 있습니다.

비회원 스카이하이 시큐리티 발표자 2026-07-09 14:53
Q

[질문] 기업 내에서 사용되는 SaaS가 계속 늘어나면서 IT 부서가 인지하지 못한 채 사용되는 Shadow SaaS가 증가하고 있습니다. 이런 미승인 SaaS를 자동으로 발견하고 위험도를 평가하기 위한 접근 방식은 무엇인가요?

비회원 곽원기 2026-07-09 14:27
A

지금 나오는 설명이 도움이 될 것 같습니다 .

비회원 스카이하이 시큐리티 발표자 2026-07-09 14:29
Q

[질문] 텍스트뿐 아니라 이미지, 음성, 코드 파일까지 포함한 AI 입력 데이터에 대해 DLP를 적용할 수 있나요?

김홍식 김홍식 2026-07-09 14:27
A

250 MB 까지 DLP 검사가 가능하며, 이미지에 대한 OCR 적용이 가능합니다. 기본적으로 제공되는 850 여개의 파일 타입을 탐지하며, 그 외의 특정 고객만이 사용하는 파일의 경우, 파일의 유닉한 지문을 읽어내어 파일 타입을 탐지할 수 있습니다. 국산 DRM 등으로 암호화된 경우 안호화된 파일내의 정보는 읽어내지 못합니다. MS MIP등 일부 DRM 의 경우는 내부 내용을 읽어 DLP적용이 가능합니다.

비회원 스카이하이 시큐리티 발표자 2026-07-09 14:32
Q

[질문] 최근 금융권의 망분리 규제 완화 흐름과 맞물려 AI/SaaS 도입 요구가 많습니다. 이번에 소개해주신 금융권 고객사례 가이드라인이 전자금융감독규정이나 망분리 대체 통제 요건을 충족하는 데 있어서 어느 정도의 기술적 수준까지 커버가 가능한지 궁금합니다.

비회원 배성민 2026-07-09 14:26
A

금융권의 경우, 업무망은 여전히 CSP 안정성 평가등을 받은 SaaS 만 사용이 가능합니다. 다만, 연구/개발망의 경우 SaaS 사용이 가능한데, 이런 경우 저희의 보안 POP을 통해서 접근제어,AV, DLP 및 통합 모니터링 기능을 제공하여 현재 금융권에도 "고객의 자체 CSP 안정성 평가"를 확득하여 적용한 사례가 있습니다.

비회원 스카이하이 시큐리티 발표자 2026-07-09 14:29