Usar a Identidade do AppPool para um servidor SQL remoto essencialmente significa que você está concedendo à conta do computador do AD o acesso do servidor da Web ao banco de dados SQL. Por causa disso, qualquer outra coisa em execução no servidor da web no contexto da conta do computador também tem acesso ao servidor SQL. Você poderia fazer muito pior em termos de segurança, mas uma conta de domínio explicitamente definida é definitivamente melhor, já que você pode ter certeza de que o único código que a utiliza é o seu site.
Se o gerenciamento de uma conta baseada em domínio (e sua senha exigida) for muito trabalhoso e seu servidor da Web estiver sendo executado no 2008 R2 ou Win7, talvez você possa usar um Conta de Serviço Gerenciado que basicamente oferece os benefícios de gerenciamento da Identidade do AppPool com a segurança de uma conta de domínio.
Eu ainda não tive a chance de jogar com contas de serviço gerenciadas ainda. Portanto, não tenho certeza se a documentação do TechNet apresenta lacunas ou limitações. Mas vale a pena tentar se você tiver tempo e seu ambiente atender a todos os requisitos. Eles definitivamente não funcionarão na sua caixa do IIS6.