MFA(Multi-Factor Authentication)을 활성화한 경우 보호를 위해 충분한 조치를 취했다고 생각할 수 있다. 하지만 오피스 365 이행의 레거시 인증을 비활성화하지 않는 한 여전히 위험에 처해 있는 것이다. 기본 인증은 비활성화하지 않는 한 모든 오피스 365 이행에서 기본으로 활성화된다.
우선 오피스 365가 여전히 기본 인증을 지원하고 있는지 어떻게 알 수 있을까. 마이크로소프트 아웃룩을 열고 비밀번호를 묻기 위해 팝업되는 인증 창을 보자. 수년 동안 보아온 전통적인 인증 창처럼 보인다면 기본 인증이 여전히 활성화되어 있는 것이다.
참고로, 모든 화면은 2019년 6월에 촬영했다. 오피스 365와 애저는 유동적인 플랫폼이기 때문에 이후에 업데이트될 수 있다.
기본 인증을 비활성화하기 전에 어떤 애플리케이션이 사용하고 있는지 검토한다. 많은 애플리케이션이 기본 인증에 의존하고 있으며 현대적인 인증으로 제한될 준비가 되어 있지 않다. 애저 포털(Azure Portal)의 애저 액티브 디렉터리(Azure Active Directory)로 이동하고 로그인을 검토한다.
"열(Columns)"을 클릭하고 보기에 클라이언트 로그인을 추가한 후 "확인"을 클릭한다. 오래된 레거시 인증을 사용해 로그인하는 애플리케이션을 검토한다.
오피스 365와 연계된 서드파티 애플리케이션이 여전히 기본 인증을 사용할 수 있다. 예를 들어, 네이티브 아이폰 메일 애플리케이션은 여전히 기본 인증에 의존하고 있다. 기본 인증을 비활성화하면 MFA가 활성화된 후 아이폰 익스체인지 메일 프로필을 설정해야 할 수도 있다. 이를 설정하기 위해 아이폰 익스체인지 프로필을 삭제하고 프로필을 다시 설정할 사용자 계정을 다시 추가한 후 "창 표시 시 로그인"를 선택한다. 그러면 적절한 인증 과정을 시작할 적절한 현대적인 인증 창이 표시된다.
직면할 수 있는 문제를 제한하려면 UEAS(Unsupported Exchange ActiveSync)를 사용하는 클라이언트 애플리케이션과 기타 클라이언트의 카테고리에 집중한다. IMAP, MAPI, 오래된 오피스 클라이언트, POP, SMTP 등의 구형 애플리케이션은 오피스와 애저 액티브 디렉터리를 비밀번호 분무 공격(password spray attacks)에 노출시킨다.
불필요한 인증을 비활성화하는 것은 손쉬운 과정이다. MAP(Microsoft Admin Portal)로 이동한다. 사용자를 선택하고 메일로 이동한 후 "이메일 앱 관리"로 이동한다.
필요없는 인증 과정을 비활성화한다. 특히 IMAP과 POP는 비밀번호 분무 공격의 표적이 되기 때문에 반드시 비활성화한다.
분명, 한 번에 하나의 받은 편지함에서 IMAP과 POP를 비활성화하는 것은 실행 가능한 방법이 아니다. 여기에서 파워쉘 명령이 도움이 된다.
Get-Mailbox | Set-CasMailbox -PopEnabled $false -ImapEnabled $false
또한 SMTP를 비활성화할 수도 있겠지만 다른 애플리케이션에 따라 달라질 수 있다. 이 3가지를 모두 비활성화할 수 있다면 이 파워쉘 명령을 사용한다.
Get-Mailbox | Set-CasMailbox -PopEnabled $false -ImapEnabled $false
-SmtpClientAuthenticationDisabled $true
앞으로 새 계정에서 기본적으로 IMAP과 POP가 비활성화되도록 하려면 인증을 사전에 비활성화할 수도 있다. 이 파워쉘 명령을 사용해 새 계정에서 IMAP과 POP를 비활성화한다.
Get-CASMailboxPlan | Set-CASMailboxPlan -ImapEnabled $false -PopEnabled $false
시간을 갖고 여전히 오피스 365 이행에서 레거시 인증이 필요한지 검토한다. 공급업체가 이를 요구하는 경우 계획이 무엇인지 묻는다. 차라리 오래 전에 레거시 인증을 포기했어야 할 수도 있다. 이제 IMAP과 POP라는 용어는 잊어버리자. editor@itworld.co.kr