보안 / 애플리케이션

마이크로소프트 네트워크를 위한 '다중인증' 도입 베스트 프랙티스

Susan Bradley | CSO 2022.06.09
마이크로소프트가 마이크로소프트 365 보안 기본값을 변경해 MFA(Multi-Factor Authentication) 의무화를 기존 고객까지 확장한다. 마이크로소프트는 “해킹된 계정을 조사한 결과, 99.9%는 MFA 인증을 거치지 않아 비밀번호 스프레이 공격, 피싱, 비밀번호 재사용에 취약한 것으로 나타났다. 사용 패턴에 따라 보안 기본값에 적합한 조직에서 MFA 의무화를 시작한다. 특히 조건부 액세스를 사용하지 않거나 과거에 보안 기본값을 사용한 적 없고 레거시 인증 클라이언트를 적극적으로 사용하지 않는 고객부터 시작할 예정이다”라고 말했다. 
 
ⓒ Getty Images Bank

마이크로소프트는 글로벌 관리자에게 이메일로 적합한 테넌트를 통지할 예정이다. 마이크로소프트는 “보안 기본값이 활성화되면 테넌트의 모든 사용자는 MFA 등록 요청을 받는다. 등록 유예 기간은 14일이다. 사용자는 마이크로소프트 어센티케이터(Microsoft Authenticator) 앱으로 등록해야 하며 글로벌 관리자는 추가로 전화번호를 입력해야 한다”라고 설명했다. 따라서 아직 MFA를 배포하지 않은 기업은 지금이 적기다. 사이버 공격자는 피싱 공격을 사용해 보호되지 않는 계정을 추적하므로 MFA는 계정 액세스를 보호하는 핵심적인 방법이다.

물론 위험을 감수하기로 한 경우에는 MFA를 비활성화할 수 있다. 그러나 이는 피싱 캠페인의 가장 쉬운 표적이 될 것이라는 의미이기도 하다. 사용자 계정과 로그인은 수많은 네트워크 공격에 대한 새로운 진입점이다.  


MFA 프로세스 선택하기

MFA 배포는 곧 지원하는 인증 프로세스를 선택하는 것이다. 여러 연구원은 SMS 메시지가 안전하지 않다고 주장한다. 수년 전 리버스 프록시 컴포넌트를 사용해 SMS 기반 MFA를 우회한 공격 사례가 있었다. 실제로 MFA는 충분히 안전하기만 하면 그만이다.

많은 보안 관련 결정과 마찬가지로 기업은 가장 우수하고 충분한 보안을 필요로 하는 인력에 대해 위험 분석을 수행해야 한다. 예컨대 직원 중 일부만 MFA 애플리케이션 사용 대상이 될 때에는 유비키(Yubikeys)와 같은 기기를 사용하는 것이다. 물론 사용자와 컨설턴트는 MFA도 안전하지 않다고 지적할 수 있다. MFA도 사이버 공격을 받거나 도용당할 위험이 있다. 그러나 MFA는 도메인 혹은 클라우드를 다시 배포하는 것보다 조금 더 나은 상황을 만들기 위함이다. 


조건부 액세스 규칙 사용하기

애저 액티브 디렉토리 P1 라이선스(마이크로소프트 365 비즈니스 프리미엄 구독에 포함됨)를 사용할 경우 조건부 액세스 규칙을 추가해 허용 위치 목록을 지정할 수 있다. 제공하는 조건부 액세스 규칙을 추가할 수 있다. 따라서 원격 사용자에 대해서만 MFA를 설정해 원격 이메일 액세스를 보호할 수 있다. 이런 조건부 액세스 정책은 사용자가 MFA 요구사항의 균형을 유지하면서 리소스를 사용할 수 있도록 더 세분화할 수도 있다. 예를 들면 다음과 같다.
 
  • 관리자 역할을 보유한 사용자에게만 MFA 요청
  • 애저 관리 작업 시 MFA 요청
  • 기존 인증 프로토콜을 사용하려는 사용자에 대한 로그인 차단
  • 신뢰하는 위치에서만 액티브 디렉토리 MFA 요청
  • 특정 위치에서 접근 시 액세스 차단 또는 권한 부여
  • 위험한 로그인 동작 차단
  • 특정 애플리케이션에 대해서 조직에서 관리하는 기기 사용 요구


하드웨어 요구사항 평가하기

MFA를 배포할 때 필요한 하드웨어를 고려해야 한다. 직원들이 MFA 애플리케이션을 사용하도록 휴대폰을 제공해야 할 수도 있다. 휴대폰을 제공하지 않고 MFA를 의무화한다면 직원들은 자신의 개인 휴대폰을 사용해야 하는데, 이때 기업은 개인 자산을 합리적으로 사용한 것에 대해 직원들에게 변상해야 할 수 있다. 미국 캘리포니아, 일리노이, 아이오와, 매사추세츠, 미네소타, 몬태나, 뉴햄프셔, 뉴욕, 펜실베니아, 콜롬비아 특별구와 같은 주는 직원들이 개인 휴대폰으로 MFA를 진행할 경우 고용주가 업무 관련 비용을 보상하도록 하는 법을 통과시켰다. 혹은 애저 AD를 사용한 인증을 지원하는 유비키와 같은 토큰을 배포하는 것도 방법이다.


백업 및 재배포 요구사항 고려하기

기기 또는 토큰을 결정할 때는 백업 및 재배포 상황까지 고려해야 한다. 예컨대 사용자당 최소 2개의 유비키를 보유하는 것이 좋다. 일부 배포 상황에서는 사용자 계정에 이런 토큰을 3개 이상 지원한다. 마이크로소프트 어센티케이터 앱을 사용하는 경우에는 로컬 마이크로소프트 계정을 사용해 백업할 수 있다.

또한 아이폰과 안드로이드 간 마이그레이션은 직접적인 백업 및 복원 프로세스가 아니다. 백업은 iOS용 아이클라우드와 안드로이드용 마이크로소프트 클라우드 저장소에 보관된다. 즉, 안드로이드와 iOS 기기 간 전환 시에는 백업을 사용할 수 없다. 운영체제가 다른 기기로 변경해야 한다면 마이크로소프트 어센티케이터 앱에서 수동으로 계정을 재생성해야 한다. 따라서 사용자가 이런 배포 문제를 파악하고 대처할 수 있도록 사전에 교육해야 한다.

마이크로소프트는 사용자 인증을 보호하기 위한 요건을 계속해서 밀어붙이고 있다. 더 이상 사용자 이름과 비밀번호만으로는 충분하지 않다. 기업은 사용자 보호를 올해 보안 우선순위로 두어야 한다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.