단계별: Azure AD에서 MFA(다단계 인증) 구성

2024년 2월 1일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 Azure Active Directory(현재 Microsoft Entra ID)에서 MFA(Multi-Factor Authentication)를 구성하고 구현하도록 안내하는 것을 목표로 합니다. MFA는 사용자가 액세스 권한을 얻기 전에 자신의 신원을 증명하기 위해 두 가지 이상의 확인 형식을 제공하도록 요구하는 필수 보안 계층으로, 계정 손상 위험을 크게 줄입니다[1].

소개

오늘날의 사이버 위협 환경에서는 더 이상 비밀번호만으로는 사용자 계정을 보호하기에 충분하지 않습니다. 피싱 공격, 비밀번호 스프레이, 자격 증명 도용은 공격자가 사용하는 일반적인 전술입니다. MFA(Multi-Factor Authentication)는 사용자가 알고 있는 것(비밀번호), 가지고 있는 것(전화, 하드웨어 토큰) 또는 자신의 신분(지문, 얼굴 인식)을 제공하도록 요구하여 중요한 보안 계층을 추가합니다. MFA 구현은 조직이 Microsoft Entra ID 및 관련 서비스의 리소스를 보호하기 위해 취할 수 있는 가장 효과적인 보안 조치 중 하나입니다[2].

이 방법 가이드에서는 기본 구성부터 보다 세부적인 제어를 위한 조건부 액세스 정책 사용에 이르기까지 다양한 구현 방법에 중점을 두고 Azure AD에서 MFA를 설정하는 단계를 다룹니다. 독자가 자신의 환경에서 MFA를 효과적으로 적용할 수 있도록 단계별 지침, 예제 구성 및 검증 방법이 제공됩니다.

MFA가 왜 중요한가요?

• 위험 감소: 비밀번호가 도난당하더라도 계정이 손상될 가능성을 대폭 줄입니다.
• 규정 준수: 많은 보안 표준 및 규정에서는 민감한 데이터를 보호하기 위해 MFA 구현을 요구합니다.
• 피싱 보호: 공격자에게는 비밀번호뿐만 아니라 두 번째 요소도 필요하므로 피싱 공격에 대한 장벽을 추가합니다.
• 유연성: Azure AD는 Microsoft Authenticator 앱, SMS, 전화 통화, 하드웨어 토큰과 같은 여러 2단계 옵션을 제공하므로 사용자는 가장 편리하고 안전한 방법을 선택할 수 있습니다.

전제조건

Azure AD에서 MFA를 설정하려면 다음 항목이 필요합니다.

1. 라이선스: Azure AD MFA 기능이 포함된 라이선스입니다. 이는 Azure AD Free(보안 기본값 포함), Azure AD Premium P1 또는 P2(조건부 액세스용) 또는 Azure AD Premium[3]을 포함하는 Microsoft 365 라이선스일 수 있습니다.
2. 관리 액세스: Azure Portal(portal.azure.com) 또는 Microsoft Entra 관리 센터(entra.microsoft.com)에서 전역 관리자 또는 인증 관리자 권한이 있는 계정입니다.
3. 테스트 장치: MFA를 구성하고 검증하기 위한 하나 이상의 테스트 사용자 계정과 하나의 장치(스마트폰)입니다.
4. 긴급 액세스 계정: MFA 시스템에 문제가 발생할 경우 잠금을 방지하기 위해 MFA에서 면제되는 비상 계정을 만들고 보호하는 것이 좋습니다[4].

단계별: Azure AD에서 MFA(다단계 인증) 구성

Azure AD에서 MFA를 활성화하는 방법에는 몇 가지가 있습니다. 가장 일반적인 두 가지인 보안 기본값(빠른 기본 구성용)과 조건부 액세스 정책(세부적인 제어용)을 다루겠습니다.

옵션 1: 보안 기본값을 사용하여 MFA 활성화(중소기업에 권장)

보안 기본값은 모든 사용자 및 관리자에게 MFA 요구를 포함하여 Microsoft에서 권장하는 기본 보안 정책 집합을 제공합니다. 보안을 신속하게 강화할 수 있는 간단하고 효과적인 방법입니다.

1. 마이크로소프트 엔트라 관리센터 https://entra.microsoft.com에 접속합니다.
2. 왼쪽 탐색 창에서 보호 > 보안 개요로 이동합니다.
3. 보안 기본값 활성화 섹션에서 보안 기본값 관리를 클릭합니다.
4. 보안 기본값 창에서 보안 기본값 활성화 옵션을 예로 설정합니다.
5. 저장을 클릭합니다.

참고: 보안 기본값을 활성화하면 모든 사용자는 다음 로그인 시 MFA를 구성해야 합니다. Microsoft Authenticator 앱을 등록하라는 메시지가 표시됩니다. 보안 기본값은 보안 기본값이 없는 조직에 이상적입니다.m Azure AD Premium P1 또는 P2 라이선스가 있으며 빠르고 표준화된 MFA 구현이 필요합니다. 조건부 액세스와 보안 기본값을 동시에 사용할 수는 없습니다. 하나는 다른 하나를 비활성화합니다.

옵션 2: 조건부 액세스 정책을 사용하여 MFA 활성화(세밀한 제어 및 대규모 기업에 권장)

조건부 액세스(CA) 정책을 사용하면 MFA가 필요한 특정 조건을 정의할 수 있어 보안 기본값보다 훨씬 더 많은 유연성을 제공합니다. 이 옵션에는 Azure AD Premium P1 또는 P2 라이선스가 필요합니다.

2.1. 테스트 사용자 그룹 생성

전체 조직에 배포하기 전에 소규모 사용자 그룹에 대해 조건부 액세스 정책을 테스트하는 것이 좋습니다.

1. Microsoft 로그인 관리 센터에서 ID > 그룹 > 모든 그룹으로 이동합니다.
2. 새 그룹을 클릭합니다.
3. 세부정보를 입력하세요.
   • 그룹 유형: 보안
   • 그룹 이름: MFA_Users_Test
   • Azure AD 역할을 그룹에 할당할 수 있음: 아니요
   • 회원 유형: 지정됨
4. 테스트 사용자를 구성원으로 추가하고 만들기를 클릭합니다.

2.2. MFA를 요구하는 조건부 액세스 정책 만들기

1. Microsoft 로그인 관리 센터에서 보호 > 조건부 액세스로 이동합니다.
2. 새 정책 > 새 정책 만들기를 클릭합니다.
3. 이름: '모든 사용자에게 MFA 필요'(또는 테스트하는 경우 '테스트 그룹에 MFA 필요').
4. 책임:
   • ID 사용자 또는 워크로드: 모든 사용자(또는 테스트를 위해 MFA_Users_Test 그룹)를 선택합니다.
   • 삭제: 차단을 방지하려면 여기에서 긴급 액세스 계정을 삭제하는 것이 중요합니다. 또한 MFA를 사용할 수 없는 서비스 계정을 추가하세요.
5. 클라우드 리소스 또는 작업: 모든 클라우드 애플리케이션을 선택합니다.
6. 조건(선택사항, 추가 세부사항):
   • 위치, 장치, 클라이언트 애플리케이션 등에 따라 조건을 구성할 수 있습니다. 예를 들어 회사 네트워크 외부에서 액세스하는 경우에만 MFA가 필요합니다.
7. 지원:
   • 액세스 권한 부여를 선택합니다.
   • 다단계 인증 필요를 선택하세요.
   • 선택을 클릭하세요.
8. 세션(선택 사항):
   • 로그인 빈도 제어 또는 세션 지속성을 구성할 수 있습니다.
9. 정책 활성화: 적용하기 전에 영향을 테스트하려면 보고 전용으로 설정하고 즉시 적용하려면 켜짐으로 설정합니다.
10. 만들기를 클릭합니다.

2.3. 인증 방법 구성

사용자가 사용할 수 있는 MFA 방법을 정의하는 것이 중요합니다.

1. Microsoft 로그인 관리 센터에서 보호 > 인증 방법 > 정책으로 이동합니다.
2. 여기에서 Microsoft Authenticator, SMS, 음성 통화 등과 같은 방법을 활성화하거나 비활성화할 수 있습니다. Microsoft Authenticator 및 SMS를 기본 방법으로 활성화하는 것이 좋습니다.
3. 인증기 등록 모드(비밀번호 또는 푸시 알림 없음) 등 각 방법에 대한 옵션을 구성합니다.

검증 및 테스트

MFA를 구성한 후에는 예상대로 작동하는지 확인하는 것이 중요합니다.

1. 사용자 로그인 테스트

1. 시크릿/비공개 모드로 브라우저 창을 엽니다.
2. MFA 정책이 적용되는 애플리케이션(예: portal.office.com)으로 이동합니다.
3. MFA 정책에 포함된 사용자의 계정으로 로그인합니다.
4. 사용자에게 MFA를 구성(활성화 후 첫 번째 로그인인 경우)하거나 두 번째 요소(예: Microsoft Authenticator에서 알림 승인, SMS 코드 입력)를 제공하라는 메시지가 표시됩니다.

2. MFA 등록 상태 확인

1. Microsoft 로그인 관리 센터에서 ID > 사용자 > 모든 사용자로 이동합니다.
2. 사용자를 클릭한 다음 인증 방법을 클릭합니다.
3. 사용자에게 등록된 인증방식을 확인하세요. 그러면 사용자가 MFA를 성공적으로 설정했음을 확인할 수 있습니다.

3. 보고 전용 모드 사용(조건부 액세스용)

보고 전용 모드에서 조건부 액세스 정책을 구성한 경우 시행하지 않고 결과를 확인할 수 있습니다.

1. Microsoft 로그인 관리 센터에서 보호 > 조건부 액세스로 이동합니다.
2. 생성한 정책을 클릭하고 보고 전용 탭으로 이동합니다.
3. 결과를 분석하여 정책의 영향을 받는 사용자 및 애플리케이션과 MFA가 필요한지 여부를 확인합니다.

보안 팁 및 모범 사례

• 관리자용 MFA 필요: 다른 정책에 관계없이 항상 관리 계정에 대해 MFA가 필요합니다. 이러한 계정은 공격의 주요 대상입니다.
• 사용자 교육: 사용자에게 MFA의 중요성과 MFA를 올바르게 구성하고 사용하는 방법을 교육합니다. MFA 피싱 시도를 식별하고 보고하는 방법을 설명합니다.
• Microsoft Authenticator: 가장 안전하고 쉬운 사용 방법 중 하나로 간주될 뿐만 아니라 일부 유형의 피싱 공격에 저항하는 푸시 알림을 통해 Microsoft Authenticator 앱의 사용을 장려합니다.
• 세밀한 조건부 액세스 정책: 조건부 액세스를 사용하여 MFA가 필요한 시기를 구체화합니다(예: 회사 네트워크 외부, 고위험 애플리케이션의 경우, 권한 있는 역할을 가진 사용자의 경우).
• 정기 검토: MFA 정책 및 사용자 등록 인증 방법을 정기적으로 검토하여 효과적이고 안전한지 확인합니다.
• 긴급 계정: 자격 증명을 안전하게 저장하고 정기적으로 사용을 감사하는 등 긴급 액세스 계정에 대한 엄격한 프로세스를 유지합니다.

일반적인 문제 해결

• 사용자가 MFA를 구성할 수 없습니다: 사용자에게 적절한 라이선스가 있고 원하는 인증 방법이 활성화되어 있는지 확인하십시오. 사용자가 등록 지침을 주의 깊게 따르도록 안내합니다.
• MFA 활성화 후 사용자 차단됨: 사용자가 조건부 액세스 정책에서 제외되었는지 또는 구성된 MFA 방법에 문제가 있는지 확인합니다. 필요한 경우 응급 액세스 계정을 사용하세요.
• MFA가 요청되지 않음: 조건부 액세스 정책이 활성화되어 올바른 사용자 및 애플리케이션에 할당되었는지 확인합니다. 보안 기본값을 사용하는 경우 충돌하는 조건부 액세스 정책이 없는지 확인하세요.
• 인증기 앱 문제: 모바일 장치의 네트워크 연결과 앱에 대한 알림이 활성화되어 있는지 확인하세요. 앱에서 계정을 제거했다가 다시 추가해 보세요.

결론

다단계 인증은 현대 신원 보안의 기본 기둥입니다. 특히 조건부 액세스 정책을 통해 Azure AD에서 MFA를 구성하면 무단 액세스에 대한 강력한 방어가 제공됩니다. 이 문서의 지침을 따르면 조직은 사용자 ID와 중요한 리소스를 보호하고 위험을 완화하며 전반적인 보안 태세를 강화할 수 있는 역량을 강화할 수 있습니다. 보안은 지속적인 적응과 개선이 필요한 지속적인 프로세스라는 점을 기억하십시오.

참고자료:

[1] 마이크로소프트 런. 다단계 인증이란 무엇입니까?. 사용 가능: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-howitworks [2] 마이크로소프트 런. Microsoft Entra 다단계 인증 배포를 계획합니다. 사용 가능: https://learn.microsoft.com/pt-br/entra/identity/authentication/howto-mfa-getstarted [3] 마이크로소프트 런. Microsoft Entra 다단계 인증 라이선스. 사용 가능: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-licensing [4] 마이크로소프트 런. Microsoft Entra ID에 긴급 액세스 계정을 만듭니다. 사용 가능: https://learn.microsoft.com/pt-br/entra/identity/role-based-access-control/security-emergency-access-accounts