KGA는 어떤 IT 서비스를 제공하나요?

KGA는 소프트웨어 설치·설정, SaaS 시스템 유지보수, 애플리케이션 설정 대행, 기술 지원, 디지털 컨설팅(웹사이트 제작 포함), 보안 서비스, 데이터 관리·백업 등 종합적인 IT 지원 서비스를 제공합니다.

서비스 지역은 어디인가요?

시즈오카현 코사이시를 거점으로 일본 전국에 원격 지원을 제공합니다. 방문 지원은 도카이 지역을 중심으로 대응합니다.

계약 전에 상담이 가능한가요?

네, 초기 상담과 견적은 완전히 무료입니다. 고객의 IT 과제를 듣고 최적의 솔루션을 제안합니다.

긴급 지원이 가능한가요?

네, 프리미엄 플랜은 24시간 긴급 대응이 가능합니다. 스탠다드 플랜도 영업시간 내 우선 대응을 제공합니다.

해외 TV 앱 설정도 가능한가요?

네, 해외 TV 애플리케이션 및 미디어 플레이어의 설치·설정을 지원합니다. 합법적인 해외 콘텐츠 접근 환경을 구축해 드립니다.

다국어 지원이 가능한가요?

일본어, 영어, 포르투갈어, 한국어, 중국어, 말레이어, 필리핀어, 베트남어, 스페인어의 9개 언어로 지원을 제공합니다.

초기 비용이나 숨겨진 요금이 있나요?

없습니다. 표시된 모든 가격은 세금이 포함된 최종 금액입니다. 초기 비용, 숨겨진 요금, 예상치 못한 청구가 일절 발생하지 않습니다. 표시된 그대로 결제하시면 됩니다.

나중에 플랜을 변경할 수 있나요?

네, 언제든지 업그레이드, 다운그레이드, 해지하실 수 있습니다. 업그레이드는 즉시 적용되며 차액은 일할 계산됩니다. 다운그레이드는 다음 갱신 주기부터 적용됩니다.

이용 가능한 결제 수단은 무엇인가요?

Komoju를 통해 주요 신용카드(Visa, Mastercard, JCB, American Express)를 이용하실 수 있으며, 일본 내 계좌이체 및 편의점 결제도 지원합니다. 비즈니스 IT 플랜 고객에게는 세금계산서 발행도 가능합니다.

환불이 가능한가요?

네. 모든 연간 플랜에 대해 14일 전액 환불 보장을 제공하며, 사유를 묻지 않습니다. 월 정기 비즈니스 IT 플랜은 언제든지 해지 가능하며 미사용 기간에 대해 일할 환불됩니다.

연간 플랜과 비즈니스 IT 플랜의 차이는 무엇인가요?

연간 플랜은 개인 및 소규모 팀을 위한 앱 설정과 지원을 제공합니다. 비즈니스 IT 플랜은 웹사이트 개발, 시스템 운영, 자동화, 보안, 전담 계정 매니저까지 포함된 기업용 종합 월 구독 서비스입니다.

한국어로도 지원되나요?

네. 일본어, 영어, 포르투갈어, 한국어, 중국어, 말레이어, 필리핀어, 베트남어, 스페인어 9개 언어로 이메일, 채팅, 화상 회의를 통해 완벽하게 지원해 드립니다.

시크릿 관리와 워크로드 신원 2026: Vault·SPIFFE·AI 에이전트 NHI 통합 — KGA Tech Blog

'영구 키 제로'가 현실적인 목표가 된 2026년

년, 클라우드 네이티브 환경에서 영구 API 키를 보유하는 것은 '레거시 운용'으로 간주되는 단계에 접어들었습니다. 영구 키는 파일이나 환경 변수에 장기 보존되어 코드 오커밋, CI 로그 노출, 퇴직자의 개인 백업 잔류 등 다양한 유출 경로가 존재합니다. GitGuardian과 Truffle Security의 2025년 말 공동 조사에 따르면, GitHub 공개 저장소에 존재하는 유효한 API 키 수가 연간 1,300만 건을 초과하였으며, AWS Access Key만으로도 210만 건이 검출되었습니다.

이 상황을 구조적으로 개선하는 것이 시크릿 관리 플랫폼과 Workload Identity의 조합입니다. 시크릿 관리는 '필요할 때 단기 토큰을 동적으로 발급하고, 사용 후 만료시키는' 운용을 가능하게 하며, Workload Identity는 '영구 키 없이 클라우드 API를 호출하는' 설계를 실현합니다. 양자의 통합으로 '장수명 키는 어디에도 존재하지 않는' 목표가 전사 규모에서 달성 가능하게 되었습니다.

시크릿 관리 플랫폼 비교

HashiCorp Vault는 엔터프라이즈 사실상의 표준으로 계속 자리를 지키고 있습니다. 강점은 동적 시크릿 기능으로, 데이터베이스·클라우드 API·SSH·PKI에 대해 '요청 시점에 새로운 인증 정보를 생성하고 TTL 경과 후 자동 만료'하는 체계를 네이티브로 제공합니다. PostgreSQL이라면 '애플리케이션이 로그인할 때마다 단기 사용자를 생성하고 5분 후 삭제'하는 것을 정책 몇 줄로 실현할 수 있습니다. 약점은 운용 비용으로, HA 구성·감사 로그·Auto-unseal의 유지에 전담 플랫폼 팀이 필요합니다. HCP Vault 채용이 2026년에는 증가 추세입니다.

AWS Secrets Manager는 AWS 네이티브 환경에서는 첫 번째 선택지입니다. IAM 역할로 세밀한 읽기 권한을 제어할 수 있으며, RDS·DocumentDB·Redshift와의 교체(rotation) 통합이 표준 제공됩니다. 약점은 멀티 클라우드로, GCP·Azure의 인증 정보를 일원 관리하려면 취입 파이프라인을 자체 개발해야 합니다.

Doppler는 개발자 경험을 중시하는 SaaS로, 스타트업과 중견 기업에서 빠르게 점유율을 늘리고 있습니다. CLI 한 번으로 로컬·CI·실서비스의 시크릿을 동기하며, GitHub Actions·Vercel·Heroku와의 통합이 간단한 설정으로 완료됩니다. 단점은 동적 시크릿 기능의 약함으로, 진정한 단기 토큰 발급 기반으로는 Vault에 미치지 못합니다. 2026년에는 '개발 환경은 Doppler, 실서비스는 Vault' 병용 구성도 적지 않습니다. Infisical, 1Password Secrets Automation, Bitwarden Secrets Manager도 무시할 수 없는 존재가 되었습니다.

SPIFFE/SPIRE: Workload Identity의 표준

Workload Identity 분야에서는 SPIFFE와 SPIRE가 표준 규격·참조 구현으로 지위를 확고히 했습니다. SPIFFE의 핵심은 '모든 워크로드에 SVID(SPIFFE Verifiable Identity Document)라는 X.509 인증서 기반의 고유 ID를 부여하고, 그 ID로 상호 인증과 단기 키 발급을 수행한다'는 사상입니다.

SPIRE는 Kubernetes 네이티브 구현으로, Server(인증 기관)와 Agent(각 노드 상주) 구성으로 동작합니다. Agent는 Pod의 런타임 속성(Service Account, Namespace, Image Hash)을 검사하여, 일치하는 Registration Entry가 있으면 Pod에 SPIFFE ID가 포함된 SVID를 발급합니다. 애플리케이션은 Workload API를 통해 SVID를 취득하여 다른 서비스와의 mTLS 통신이나 JWT-SVID에 활용합니다. SPIFFE의 가치는 '클라우드·온프레미스·하이브리드를 넘나드는 공통 ID 레이어'를 만들 수 있다는 점에 있으며, 복수 클라우드나 엣지 혼재 환경에서 채용이 진행되고 있습니다.

Workload Identity Federation

GCP의 WIF는 OIDC/SAML Assertion을 받아 대응하는 Service Account로의 토큰 교환을 수행합니다. GitHub Actions에서 GCP를 조작할 때, 종래에는 서비스 계정 키 JSON을 GitHub Secrets에 보관하였지만, WIF를 사용하면 OIDC 토큰을 GCP 측에서 직접 검증하여 임시 Access Token을 취득할 수 있습니다. 영구 키가 저장소 운용에서 사라지는, 제로 트러스트의 전형적인 사례입니다. Azure Workload Identity는 AKS 워크로드에 Entra ID로부터의 Federated Credential을 발급하고, AWS는 IAM Roles Anywhere와 IAM OIDC Provider로 WIF에 준하는 것을 실현합니다.

WIF 설계의 핵심은 '신뢰 경계의 기술(記述)'입니다. `repo:my-org/*:ref:refs/heads/*`처럼 넓은 매칭을 허용하면, 포크된 저장소에서의 악용이나 브랜치 생성 권한을 가진 공격자의 권한 상승 경로가 됩니다. 조직명 + 저장소명 + 환경명 + 브랜치명 모두를 조건에 포함하는 운용이 권장됩니다.

Secretless Broker: 애플리케이션에서 키를 완전히 숨기다

CyberArk의 Conjur Secretless Broker는 애플리케이션 프로세스에서 '키의 존재 자체'를 숨기는 설계를 제공합니다. 종래에는 애플리케이션이 Vault 클라이언트로 키를 취득하여 메모리에 보유한 상태에서 데이터베이스에 접속하였으나, 이 기간에 코어 덤프로 노출될 수 있습니다. Secretless Broker는 애플리케이션과 데이터베이스·API 사이의 로컬 프록시로, 애플리케이션은 `localhost:5432`에 평문 접속합니다. 프록시가 SPIFFE ID로 자신을 인증하고, Vault에서 키를 취득하여 하류에 접속과 인증을 대행합니다. Kubernetes Sidecar 패턴과 친화성이 높으며, Istio·Linkerd와 연동한 구현이 2026년에는 늘어나고 있습니다.

인공지능 에이전트 시대의 NHI

년, 시크릿 관리와 Workload Identity의 새로운 주요 고객으로 인공지능 에이전트가 급부상하였습니다. LangChain·AutoGen·CrewAI·Anthropic MCP 서버를 통해 Slack·Jira·GitHub·사내 API를 횡단 조작합니다. 단순한 구현에서는 개발자 개인의 PAT를 환경 변수에 기재하는 운용이 되기 쉬우며, NHI(Non-Human Identity) 원칙에서 벗어나 감사 불가·과도한 권한·퇴직 시 박탈 누락의 3가지 문제가 겹칩니다.

표준 아키텍처는 다음과 같습니다. 에이전트 실체(Pod/Serverless)는 SPIFFE ID를 수령하여 Vault에 자신을 인증합니다. Vault는 동적 시크릿 엔진을 통해 연동 SaaS의 단기 토큰을 발급하고, 작업 완료 시 만료시킵니다. 감사 로그에는 '어떤 SPIFFE ID가, 어떤 시크릿을 통해, 어떤 자원을 조작했는가'가 기록됩니다.

핵심이 되는 것이 'OAuth for Agents' 규격의 움직임입니다. 2026년 IETF에서 논의 중인 초안에서는 에이전트가 사용자를 대리(on-behalf-of)하여 동작할 때의 인가 흐름, 범위 표현, 감사 필드가 표준화되려 하고 있습니다. Okta, Auth0, Cloudflare는 선행 구현을 제공하여 `actor` 클레임과 `on_behalf_of` 클레임을 포함하는 토큰 발급에 대응하고 있습니다. MCP 서버를 사내에서 운용하는 경우, MCP 서버별로 NHI를 발급하고 SPIFFE ID로 식별하는 운용이 바람직합니다.

구현의 우선순위와 이행 절차

우선순위는 '유출 시의 영향도 × 노출 기회의 많음'으로 결정합니다. 1단계에서 CI/CD의 영구 키를 WIF로 교체합니다. GitHub Actions → AWS/GCP/Azure를 OIDC 기반으로 전환하는 것만으로 CI Secrets의 대부분을 없앨 수 있습니다. 2단계에서 애플리케이션 데이터베이스 접속을 동적 시크릿으로 이행합니다. 3단계에서 SPIFFE/SPIRE를 도입하여 마이크로서비스 간 통신을 SVID 기반 mTLS로 전환합니다. 4단계에서 인공지능 에이전트 NHI를 설계하고, 에이전트 운용 기반을 위 모든 것의 혜택을 받는 형태로 통합합니다.

Vault 장애는 특히 영향이 크며, HA 구성이 필수이고, 더불어 'Vault 완전 정지 시의 비상 탈출(Break Glass) 경로'도 문서화합니다. 제로 트러스트는 '제로 가용성'을 의미해서는 안 되며, 장애 시에 업무를 멈추지 않는 예외 경로 설계야말로 성숙의 증거입니다. 영구 키 제로는 기술적으로 달성 가능한 시대에 접어들었습니다. 달성을 가로막는 것은 기술의 결여가 아니라, 운용 조직의 설계, 개발 프로세스로의 통합, 경영층과의 합의 형성 이 3가지입니다.

시크릿 관리와 워크로드 신원 2026: Vault·SPIFFE·AI 에이전트 NHI 통합