Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안

애저 AD는 원격 사용자 ID 관리에 어떻게 도움이 되는가

Susan Bradley | CSO 2021.03.26
코로나19가 닥치면서 관리자들은 안전한 네트워크를 설계할 때 가장 먼저 생각해야 할 요소는 ID임을 인식하게 됐다. 현재 ID에 초점을 두고 있지 않다면 지금부터 바꿔야 한다. 온프레미스 사고방식으로 ID를 관리하면서 원격 직원을 지원하고 있다면 접근 방법을 업데이트해야 할 시점이다.

기술 업계에서 웬만큼 경력을 쌓은 사람이라면 마이크로소프트 액티브 디렉토리(Active Directory, 이하 AD)를 사용해본 경험이 있을 것이다. 1999년에 출시된 액티브 디렉토리 도메인 서비스(Active Directory Domain Services, AD DS)는 많은 네트워크의 초석이다. AD DS는 도메인에 있는 디바이스와 사용자에 대한 정보를 저장하고, 이들 각각의 네트워크 인증 정보와 권한을 검증한다.
 
ⓒ Getty Images Bank

AD DS는 관리자들이 네트워크를 설정하고 사용자를 확인하는 표준으로 사용돼 왔다. 2020년 이전까지 클라우드 서비스는 일상적인 네트워크 수요에서 큰 부분을 차지하지 않았다. 그런데 팬데믹이 닥쳤고, 물리적 도메인과 클라우드 애플리케이션 간의 더 나은 통합을 제공하기 위한 5년 분량의 기술 계획이 순식간에 압축됐다. 어느 날 갑자기 물리적 네트워크 밖으로 나가서 클라우드 서비스를 인증할 방법, 홈 컴퓨터에 연결해서 제어하고 이러한 컴퓨터의 회사 네트워크 액세스를 허용할 방법이 필요해졌다.
 

애저 AD 사용 증가

그 결과 막연한 관심의 대상이었던 애저 액티브 디렉토리(Azure Active Directory, 애저 AD)가 이제는 사용자와 이들의 재택 근무 수요를 성공적으로 지원하기 위한 필수 플랫폼으로 부상했다. 재택 근무를 실시할 수 있는 역량은 팬데믹의 위협이 사라진 후에도 표준으로 남게 될 것이다.

최근 필자는 마이크로소프트 아이덴티티(Microsoft Identity)의 부사장인 조이 칙과 대화를 나눴다. 칙은 이 트랜스포메이션에 관해 논한 자신의 최근 블로그 글을 언급했다. 애저 AD 앱 갤러리 사용량은 작년 109% 증가했고 이 중 상당수 애플리케이션이 네트워크의 원격 액세스와 관련됐다. 특히 프록시 앱, 또는 앱 제공 및 네트워크 컨트롤러와 VPN 범주에서의 사용량 증가가 가장 컸다. 핵심 온프레미스 앱을 원격으로 액세스해야 하는 조직을 위한 애저 AD 애플리케이션 프록시 서비스도 대폭 성장했다.

칙은 ID 보안이 현재 조직에서 핵심적인 요구 사항이 되고 있다고 설명했다. 언론에서는 공격자들이 사용자, 컨설턴트, 특히 원격 액세스를 공격하는 방법으로 네트워크에 대한 지속적인 액세스 권한을 획득한 사건이 수시로 보도되고 있다. 공격자가 언젠가는 네트워크에 액세스하게 된다는 개념을 기본적으로 두고 네트워크를 설계하는 것이 네트워크를 보호하기 위한 핵심이다.
 

애저 AD 애플리케이션 프록시를 사용한 ID 보호

마이크로소프트는 이를 두고 “침해 전제” 사고방식이라고 한다. 이는 조직에서 명시적으로 ID를 검증하기 시작한다는 것을 의미한다. 요즘 공격자들은 해킹을 하지 않고, 수확한 인증 정보를 사용해서 정상적으로 로그인한다.

네트워크에 대한 액세스 보호를 시작하려면 네트워크와 애플리케이션을 애저 AD에 연결하면 된다. 이렇게 하면 안전한 로그인 기술을 구현하고 더 강력한 비밀번호와 의무적 통제 수단을 사용하는 데도 도움이 된다. 또한 애저 AD 애플리케이선 프록시를 사용해서 레거시 온프레미스 애플리케이션에 다중 요소 인증(MFA)과 조건부 액세스 정책을 추가할 수도 있다.

칙의 블로그 글에도 나와 있듯이 조직에서는 MFA를 사용해야 한다. 마이크로소프트 어센티케이터(Microsoft Authenticator) 앱은 2중 확인을 제공하고 조직의 표준 비밀번호 동기화 관리자가 될 수 있다. 엣지(Edge)에서 사용되는 비밀번호는 자동으로 어센티케이터에 동기화된다. 필자는 애플리케이션을 볼 때 마이크로소프 어센티케이터 앱을 지원하는지 여부를 살핀다. 모든 애플리케이션이 같은 인증자를 사용하면 일이 훨씬 한결 수월해지기 때문이다. 필자는 전화기는 항상 갖고 다니지만 2중 요소 토큰은 종종 깜박한다. 어센티케이터 앱의 편리함은 간과할 수 없는 장점이다.

마이크로소프트는 최근 헤더 기반 인증을 지원하는 애저 AD 애플리케이션 프록시의 공개 프리뷰를 출시했다. 이전까지는 애저 AD를 통해 원격 액세스 애플리케이션을 게시하려면 서드파티 서비스에 의존해야 했다. 원격 사용자에게 VPN을 통해 제공하는 모든 애플리케이션이 애저 AD 애플리케이션 프록시를 통해 원격 애플리케이션으로 게시 및 제공되도록 하면 보안 태세를 강화할 수 있다. 이렇게 하면 더 강력한 비밀번호 사용을 의무화하고 레거시 애플리케이션에 대해서도 더 세부적인 조건부 액세스 정책을 적용할 수 있다.

조직은 비밀번호를 사용하던 방식에서 비즈니스용 윈도우 헬로(Windows Hello for Business), 마이크로소프트 어센티케이터, 유비코 유비키(Yubico YbiKeys)와 같은 툴을 포함한 더 안전한 기술을 사용하는 방식으로 전환하는 데 여전히 어려움을 겪고 있다. 윈도우 10 출시 이후 소비자들의 PIN 사용은 증가했다. 소비자들이 더 안전한 인증 기술을 지원하는 하드웨어를 구매하면서 기존의 비밀번호가 아닌 PIN과 생체 인증을 사용한 로그인이 증가했다. 그러나 비즈니스 환경에서는 이와 같은 비밀번호 없는 기술의 효과가 떨어진다. 더 강력한 인증 프로세스를 지원하지 못하는 레거시 서버도 있기 때문이다. 애저 AD에 연결하면 조직에서 이 간극을 이어 더 강력한 인증 프로세스를 도입할 수 있다.

칙은 레거시 애플리케이션을 점검하고 새로운 버전으로 마이그레이션할 때 더 안전한 애플리케이션을 조사하고 배포해야 한다고 강조했다. 필자가 마이크로소프트 어센티케이터를 지원하는 애플리케이션을 찾는 것과 마찬가지로 여러분도 마이크로소프트 인증 라이브러리(Microsoft Authentication Library, MSAL)를 지원하는 애플리케이션을 찾거나 내부 애플리케이션 개발자가 이를 지원하는 내부 소프트웨어를 설계하도록 해야 한다. 클라우드 애플리케이션을 설정하는 경우 관리자 동의 프로세스를 통해 승인된 애플리케이션만 사용자 액세스에 연결되도록 하는 것이 좋다. 지금의 보안 상황에서는 더 이상 동의 정책 없이 클라우드 애플리케이션을 구축할 수는 없다. editor@itworld.co.kr
 
 Tags 애저AD ID관리 마이크로소프트 보안 액티브디렉토리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.