Quick Overview with 챗GPT 🤖 마이크로소프트 365 테넌트의 보안을 강화하려면 엔트라 ID에 대한 다중 요소 인증 적용이 필수적이며, 이를 위해서는 조건부 액세스 정책을 활용하는 것이 가장 효과적입니다. 하지만 조건부 액세스 정책을 무리하게 구현하거나 잘못 구성하면 정상적인 접근이 차단되거나 보안이 취약해질 수 있어 신중한 계획과 테스트가 필요합니다. 조건부 액세스 정책은 신중하게 계획하고 충분한 테스트 후 점진적으로 적용하는 것이 효과적입니다. |
마이크로소프트 365(Microsoft 365) 테넌트에 대한 액세스 보호는 테넌트 관리자의 주요 관심사가 되어야 합니다. 이를 고려하면 엔트라 ID(Entra ID) 월별 활성 계정 중 다중 요소 인증(Multi-factor Authentication, MFA)으로 보호되는 계정이 절반도 안 된다는 점은 당혹스러운 사실입니다. 공격자의 마이크로소프트 365 테넌트 침입을 효과적으로 막으려면 어떻게 해야 할까요?
적절히 보호되지 않는 사용자 계정은 마이크로소프트 365 테넌트에 취약성을 발생시키고 이는 테넌트 침해와 데이터 손실로 이어질 수 있습니다. 이런 공격의 대표적인 예는 2024년 초에 마이크로소프트 자체 테넌트를 표적으로 이뤄진 한밤중의 기습적인 공격입니다. 이 공격으로 인해 테스트 테넌트에서 침해된 계정은 최종적으로 마이크로소프트 프로덕션 테넌트까지 이동했습니다. 해당 계정이 MFA로 보호되었다면 공격은 성공하지 못했을 것입니다.
소규모 마이크로소프트 365 테넌트는 보안 기본값(Security Defaults)으로 보호됩니다. 예를 들면 보안 기본값은 MFA를 사용한 로그인 등의 통제 수단을 시행해서 테넌트를 보호하는 사전 구성된 기본적인 사용자 설정 집합입니다. 또한 마이크로소프트는 애저 관리 툴, 예를 들어 엔트라 관리 센터에 대한 모든 액세스에 MFA를 의무화함으로써 더 안전한 보안 프랙티스를 촉진하고 있습니다. MFA에 대한 이 요구사항은 2025년 2월부터 마이크로소프트 365 관리 센터로 확대됩니다.
🛡️조건부 액세스 정책
조건부 액세스(conditional access, CA) 정책은 마이크로소프트 365 테넌트에 대한 인바운드 연결에 다중 요소 인증을 적용하는 데 주로 사용되는 방법입니다. 이전의 사용자별 MFA(오피스 365 E3 및 E5에 번들로 제공됨)도 여전히 작동하지만, 마이크로소프트는 고객이 사용자별 제어에서 벗어나기를 원합니다. CA 정책은 제어할 연결의 종류를 정의하는 측면에서 더 유연하고 강력하며, 개발 리소스가 집중되는 분야이기도 합니다.
CA 정책은 인바운드 조건을 평가해서 연결의 진원지(물리적 위치 또는 IP 주소), 연결에 관련된 계정, 연결에서 사용하고자 하는 앱 또는 리소스를 파악합니다. 연결이 정책에 정의된 조건과 일치하면 엔트라 ID는 정책에 설정된 통제 수단을 적용합니다. SMS 질문에 번호로 응답하는 것과 같은 간단한 MFA가 이런 통제 수단의 한 예입니다. 간단한 질문과 응답은 아무것도 없는 것보다는 낫지만, 가급적이면 마이크로소프트 어센티케이터(Microsoft Authenticator) 앱, 패스키 또는 FIDO2 키(그림 1)와 같이 피싱이나 중간자 공격에 강한 더 강력한 인증 방법을 사용하는 것이 좋습니다. CA 정책은 사람들이 연결에 강력한 인증 방법을 사용하도록 함으로써 이 부분에서 도움이 될 수 있습니다.
<그림 1> CA 정책에 대한 강력한 인증 방법 선택하기
🕸️단순함의 미학
마이크로소프트 365에 대한 CA 정책을 만든다고 하면 표면적으로는 “강력한 MFA로 모든 연결을 보호하라”와 같은 간단한 문장으로 요약되는 단순명료한 작업처럼 들립니다. 필요한 것이 그것뿐이라면 실제로 얻게 되는 정책도 매우 단순할 것입니다. 그러나 겉으로 단순해 보이는 가면 아래에는 부주의한 관리자의 실수를 기다리는 많은 복잡성이 숨어 있습니다.
예를 들어, 모든 마이크로소프트 365 테넌트에는 최소 두 개의 브레이크 글래스(breakglass) 계정이 있어야 합니다. 이런 계정은 일상적인 용도의 계정이 아니라 일반적인 관리 계정을 사용할 수 없는 비상 상황에서 테넌트에 대한 관리 액세스를 허용하기 위한 계정입니다. CA 정책에서 실수로 인해 “일반” 계정이 테넌트에 액세스하지 못하게 되는 상황에서 비상 액세스가 중단되지 않도록 하기 위해서라도 브레이크 글래스 계정은 CA 정책에서 제외되어야 합니다. 이 시나리오에서 관리자는 브레이크 글래스 계정으로 로그인해서 CA 정책을 수정해 일반 액세스를 복원할 수 있습니다.
여기서 문제는 CA 정책이 액세스를 너무 철저히 통제할 수 있다는 점입니다. 즉, 정책 구성에서 발생한 하나의 실수로 인해 모든 사용자의 테넌트 접근이 차단될 수 있습니다. 이 같은 일은 얼핏 불가능하게 들리고 일어날 수 없다고 생각되겠지만, 실제로 일어납니다. 이런 이유로 엔트라 관리 센터에서는 관리자가 CA 정책을 만들고 활성화할 때 주의를 당부합니다. 더 설명이 필요한가요? 그렇다면 5가지 일반적인 CA 정책 구성 오류에 대한 브랜든 콜리의 기사를 읽어보고 어떤 부분에서 테넌트가 잘못될 수 있는지 알아보십시오.
테넌트에 정책이 너무 많은 경우 골칫거리가 될 수 있습니다. 새 CA 정책을 만들 만한 적절한 이유가 있을 수 있고 이 같은 이유가 계속 나와서 더 많은 정책 생성을 정당화할 수도 있지만, 각 정책이 연결 처리의 복잡성을 증가시킨다는 것은 단순명료한 사실입니다. 그림 2는 엔트라 ID가 연결을 수락할지 여부를 결정하기 위해 개별적인 8개 정책의 설정을 평가해야 하는 상황의 예를 보여줍니다.
<그림 2> 사용자 로그인에 대해 여러 CA 정책을 평가할 수 있습니다.
엔트라 ID는 매우 능숙하게 정책 조건을 해석하고 적용하지만, 인간은 여러 CA 정책에서 비롯되는 모든 조건부 처리를 제대로 이해하는 데 그렇게 능숙하지 않습니다. 이 상황에서 사용자 연결 문제를 해결하기란 매우 어려울 수 있습니다. 또한 실수가 발생하기 쉬워 악성 연결을 통과시키거나 정상 연결을 차단할 수 있습니다. 언제든 단순함을 추구하는 것이 복잡성을 추구하는 것보다 더 낫습니다.
⚒️지능적인 조건부 액세스 관리
의도하지 않은 접근 차단의 위험을 고려하면 테넌트 관점에서 조건부 액세스 정책이 무엇을 해야 하는지에 대해 충분히 생각해야 합니다. 즉, 정책 생성과 시행의 길잡이가 되는 계획에서 전체적인 CA 프레임워크에 대한 명확한 목표를 수립할 수 있어야 합니다. 이 작업에서는 기존 메커니즘을 고려해야 합니다. 예를 들어 조건부 액세스 도입 시 발생하는 마찰을 줄이기 위해 마이크로소프트에서 만들어 배포한 사전 정의된 CA 정책을 테넌트가 받은 상황도 있을 것입니다.
조건부 액세스 정책을 만들려면 먼저 다음을 문서화할 수 있어야 합니다.
정책 범위에 포함되는 사용자 집합. 구체적인 처리를 위해 사용자 하위 집합을 식별하는 데 그룹을 사용할 수 있습니다.
보호되는 앱 또는 리소스. 단순히 마이크로소프트 365를 보호하려는 경우도 있습니다.
연결이 허용되는 디바이스 또는 위치.
필요한 예외. 예를 들어 브레이크 글래스 계정이 여기에 해당합니다. 아웃룩 클래식에서 민감도 레이블을 사용하는 경우 권한 관리 앱도 해당할 수 있습니다.
연결을 수락하기 전에 적용할 통제 수단. 원칙적으로 SMS와 같은 약한 인증 방법은 지양하고 처음부터 강력한 인증을 사용하는 것이 좋습니다. 사용자가 앱, 패스키 또는 FIDO2 키로 인증 질문에 답할 수 있도록 하려면 몇 가지 작업이 필요할 수 있습니다. 또한 사용자에게 CA 정책에 대한 엔트라 P1 라이선스가 필요합니다.
계획을 수립하는 데 도움이 되는 몇 가지 툴이 있습니다. CA 계획과 구현에 대한 실용적인 접근 방식을 다루는 폴 로비쇼의 기사를 출발점으로 사용할 수 있습니다. 파워포인트로 CA 정책을 문서화하는 툴을 유지관리하기 위한 커뮤니티 이니셔티브도 있습니다. 슬라이드에 설명된 조건, 제외, 통제 수단을 보는 방식은 생각 이상으로 효과적입니다. 파워셸로 CA 정책 구성 업데이트를 자동화할 수 있는데, 이는 대규모 엔터프라이즈 테넌트에서 유용할 것입니다.
핵심 요약
마이크로소프트는 엔트라 ID에 대한 연결을 MFA로 보호하는 것을 의무화할 새로운 방법을 계속해서 찾을 것으로 보입니다. 보호되는 연결의 비율은 증가하고 있으며 앞으로도 한동안 계속 증가할 것입니다. 조건부 액세스 정책은 연결을 제어하기 위한 최선의 방법이며, 보안을 진지하게 생각하는 마이크로소프트 365 테넌트라면 반드시 구현해야 합니다. 다만 CA 정책에 성급하게 뛰어들지는 마십시오. 계획하고 신중한 접근 방식을 취하고 테스트하고 구현하고 조정하십시오. 이는 그 효과가 검증된 방법입니다.
마이크로소프트 365 테넌트 및 엔트라 ID 관리에 어려움을 겪고 계시거나 솔루션을 찾고 계시다면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.
👉 퀘스트소프트웨어코리아 문의하기
Quick Overview with 챗GPT 🤖
마이크로소프트 365 테넌트의 보안을 강화하려면 엔트라 ID에 대한 다중 요소 인증 적용이 필수적이며, 이를 위해서는 조건부 액세스 정책을 활용하는 것이 가장 효과적입니다. 하지만 조건부 액세스 정책을 무리하게 구현하거나 잘못 구성하면 정상적인 접근이 차단되거나 보안이 취약해질 수 있어 신중한 계획과 테스트가 필요합니다. 조건부 액세스 정책은 신중하게 계획하고 충분한 테스트 후 점진적으로 적용하는 것이 효과적입니다.
마이크로소프트 365(Microsoft 365) 테넌트에 대한 액세스 보호는 테넌트 관리자의 주요 관심사가 되어야 합니다. 이를 고려하면 엔트라 ID(Entra ID) 월별 활성 계정 중 다중 요소 인증(Multi-factor Authentication, MFA)으로 보호되는 계정이 절반도 안 된다는 점은 당혹스러운 사실입니다. 공격자의 마이크로소프트 365 테넌트 침입을 효과적으로 막으려면 어떻게 해야 할까요?
적절히 보호되지 않는 사용자 계정은 마이크로소프트 365 테넌트에 취약성을 발생시키고 이는 테넌트 침해와 데이터 손실로 이어질 수 있습니다. 이런 공격의 대표적인 예는 2024년 초에 마이크로소프트 자체 테넌트를 표적으로 이뤄진 한밤중의 기습적인 공격입니다. 이 공격으로 인해 테스트 테넌트에서 침해된 계정은 최종적으로 마이크로소프트 프로덕션 테넌트까지 이동했습니다. 해당 계정이 MFA로 보호되었다면 공격은 성공하지 못했을 것입니다.
소규모 마이크로소프트 365 테넌트는 보안 기본값(Security Defaults)으로 보호됩니다. 예를 들면 보안 기본값은 MFA를 사용한 로그인 등의 통제 수단을 시행해서 테넌트를 보호하는 사전 구성된 기본적인 사용자 설정 집합입니다. 또한 마이크로소프트는 애저 관리 툴, 예를 들어 엔트라 관리 센터에 대한 모든 액세스에 MFA를 의무화함으로써 더 안전한 보안 프랙티스를 촉진하고 있습니다. MFA에 대한 이 요구사항은 2025년 2월부터 마이크로소프트 365 관리 센터로 확대됩니다.
🛡️조건부 액세스 정책
조건부 액세스(conditional access, CA) 정책은 마이크로소프트 365 테넌트에 대한 인바운드 연결에 다중 요소 인증을 적용하는 데 주로 사용되는 방법입니다. 이전의 사용자별 MFA(오피스 365 E3 및 E5에 번들로 제공됨)도 여전히 작동하지만, 마이크로소프트는 고객이 사용자별 제어에서 벗어나기를 원합니다. CA 정책은 제어할 연결의 종류를 정의하는 측면에서 더 유연하고 강력하며, 개발 리소스가 집중되는 분야이기도 합니다.
CA 정책은 인바운드 조건을 평가해서 연결의 진원지(물리적 위치 또는 IP 주소), 연결에 관련된 계정, 연결에서 사용하고자 하는 앱 또는 리소스를 파악합니다. 연결이 정책에 정의된 조건과 일치하면 엔트라 ID는 정책에 설정된 통제 수단을 적용합니다. SMS 질문에 번호로 응답하는 것과 같은 간단한 MFA가 이런 통제 수단의 한 예입니다. 간단한 질문과 응답은 아무것도 없는 것보다는 낫지만, 가급적이면 마이크로소프트 어센티케이터(Microsoft Authenticator) 앱, 패스키 또는 FIDO2 키(그림 1)와 같이 피싱이나 중간자 공격에 강한 더 강력한 인증 방법을 사용하는 것이 좋습니다. CA 정책은 사람들이 연결에 강력한 인증 방법을 사용하도록 함으로써 이 부분에서 도움이 될 수 있습니다.
<그림 1> CA 정책에 대한 강력한 인증 방법 선택하기
🕸️단순함의 미학
마이크로소프트 365에 대한 CA 정책을 만든다고 하면 표면적으로는 “강력한 MFA로 모든 연결을 보호하라”와 같은 간단한 문장으로 요약되는 단순명료한 작업처럼 들립니다. 필요한 것이 그것뿐이라면 실제로 얻게 되는 정책도 매우 단순할 것입니다. 그러나 겉으로 단순해 보이는 가면 아래에는 부주의한 관리자의 실수를 기다리는 많은 복잡성이 숨어 있습니다.
예를 들어, 모든 마이크로소프트 365 테넌트에는 최소 두 개의 브레이크 글래스(breakglass) 계정이 있어야 합니다. 이런 계정은 일상적인 용도의 계정이 아니라 일반적인 관리 계정을 사용할 수 없는 비상 상황에서 테넌트에 대한 관리 액세스를 허용하기 위한 계정입니다. CA 정책에서 실수로 인해 “일반” 계정이 테넌트에 액세스하지 못하게 되는 상황에서 비상 액세스가 중단되지 않도록 하기 위해서라도 브레이크 글래스 계정은 CA 정책에서 제외되어야 합니다. 이 시나리오에서 관리자는 브레이크 글래스 계정으로 로그인해서 CA 정책을 수정해 일반 액세스를 복원할 수 있습니다.
여기서 문제는 CA 정책이 액세스를 너무 철저히 통제할 수 있다는 점입니다. 즉, 정책 구성에서 발생한 하나의 실수로 인해 모든 사용자의 테넌트 접근이 차단될 수 있습니다. 이 같은 일은 얼핏 불가능하게 들리고 일어날 수 없다고 생각되겠지만, 실제로 일어납니다. 이런 이유로 엔트라 관리 센터에서는 관리자가 CA 정책을 만들고 활성화할 때 주의를 당부합니다. 더 설명이 필요한가요? 그렇다면 5가지 일반적인 CA 정책 구성 오류에 대한 브랜든 콜리의 기사를 읽어보고 어떤 부분에서 테넌트가 잘못될 수 있는지 알아보십시오.
테넌트에 정책이 너무 많은 경우 골칫거리가 될 수 있습니다. 새 CA 정책을 만들 만한 적절한 이유가 있을 수 있고 이 같은 이유가 계속 나와서 더 많은 정책 생성을 정당화할 수도 있지만, 각 정책이 연결 처리의 복잡성을 증가시킨다는 것은 단순명료한 사실입니다. 그림 2는 엔트라 ID가 연결을 수락할지 여부를 결정하기 위해 개별적인 8개 정책의 설정을 평가해야 하는 상황의 예를 보여줍니다.
<그림 2> 사용자 로그인에 대해 여러 CA 정책을 평가할 수 있습니다.
엔트라 ID는 매우 능숙하게 정책 조건을 해석하고 적용하지만, 인간은 여러 CA 정책에서 비롯되는 모든 조건부 처리를 제대로 이해하는 데 그렇게 능숙하지 않습니다. 이 상황에서 사용자 연결 문제를 해결하기란 매우 어려울 수 있습니다. 또한 실수가 발생하기 쉬워 악성 연결을 통과시키거나 정상 연결을 차단할 수 있습니다. 언제든 단순함을 추구하는 것이 복잡성을 추구하는 것보다 더 낫습니다.
⚒️지능적인 조건부 액세스 관리
의도하지 않은 접근 차단의 위험을 고려하면 테넌트 관점에서 조건부 액세스 정책이 무엇을 해야 하는지에 대해 충분히 생각해야 합니다. 즉, 정책 생성과 시행의 길잡이가 되는 계획에서 전체적인 CA 프레임워크에 대한 명확한 목표를 수립할 수 있어야 합니다. 이 작업에서는 기존 메커니즘을 고려해야 합니다. 예를 들어 조건부 액세스 도입 시 발생하는 마찰을 줄이기 위해 마이크로소프트에서 만들어 배포한 사전 정의된 CA 정책을 테넌트가 받은 상황도 있을 것입니다.
조건부 액세스 정책을 만들려면 먼저 다음을 문서화할 수 있어야 합니다.
정책 범위에 포함되는 사용자 집합. 구체적인 처리를 위해 사용자 하위 집합을 식별하는 데 그룹을 사용할 수 있습니다.
보호되는 앱 또는 리소스. 단순히 마이크로소프트 365를 보호하려는 경우도 있습니다.
연결이 허용되는 디바이스 또는 위치.
필요한 예외. 예를 들어 브레이크 글래스 계정이 여기에 해당합니다. 아웃룩 클래식에서 민감도 레이블을 사용하는 경우 권한 관리 앱도 해당할 수 있습니다.
연결을 수락하기 전에 적용할 통제 수단. 원칙적으로 SMS와 같은 약한 인증 방법은 지양하고 처음부터 강력한 인증을 사용하는 것이 좋습니다. 사용자가 앱, 패스키 또는 FIDO2 키로 인증 질문에 답할 수 있도록 하려면 몇 가지 작업이 필요할 수 있습니다. 또한 사용자에게 CA 정책에 대한 엔트라 P1 라이선스가 필요합니다.
계획을 수립하는 데 도움이 되는 몇 가지 툴이 있습니다. CA 계획과 구현에 대한 실용적인 접근 방식을 다루는 폴 로비쇼의 기사를 출발점으로 사용할 수 있습니다. 파워포인트로 CA 정책을 문서화하는 툴을 유지관리하기 위한 커뮤니티 이니셔티브도 있습니다. 슬라이드에 설명된 조건, 제외, 통제 수단을 보는 방식은 생각 이상으로 효과적입니다. 파워셸로 CA 정책 구성 업데이트를 자동화할 수 있는데, 이는 대규모 엔터프라이즈 테넌트에서 유용할 것입니다.
핵심 요약
마이크로소프트는 엔트라 ID에 대한 연결을 MFA로 보호하는 것을 의무화할 새로운 방법을 계속해서 찾을 것으로 보입니다. 보호되는 연결의 비율은 증가하고 있으며 앞으로도 한동안 계속 증가할 것입니다. 조건부 액세스 정책은 연결을 제어하기 위한 최선의 방법이며, 보안을 진지하게 생각하는 마이크로소프트 365 테넌트라면 반드시 구현해야 합니다. 다만 CA 정책에 성급하게 뛰어들지는 마십시오. 계획하고 신중한 접근 방식을 취하고 테스트하고 구현하고 조정하십시오. 이는 그 효과가 검증된 방법입니다.
마이크로소프트 365 테넌트 및 엔트라 ID 관리에 어려움을 겪고 계시거나 솔루션을 찾고 계시다면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.
👉 퀘스트소프트웨어코리아 문의하기