이 문서는 Microsoft Entra ID의 토큰 이해에 대한 연속입니다. 이 문서에서는 Microsoft Entra ID에서 이해 토큰을 읽었다고 가정하고 사용자 환경에서 성공적인 토큰 도난/재생 공격의 위험을 완화하기 위해 수행할 수 있는 구체적인 단계를 제공합니다.
이 문서의 권장 사항은 다양한 라이선스 요구 사항이 있는 여러 Microsoft 기술 솔루션에 걸쳐 있습니다. 다음을 위한 적절한 라이선스가 있는지 확인합니다.
- 조건부 액세스
- Microsoft 서비스를 위한 Microsoft Entra Internet Access
- Microsoft Entra ID 프로텍션
- 토큰 보호
- Microsoft Intune(최소 계획 1)
- 엔드포인트용 Microsoft Defender XDR
토큰 도난에 대한 심층 방어 전략
공격 노출 영역을 줄이고 성공적인 토큰 손상 위험을 줄이기 위해 사용할 수 있는 몇 가지 기능이 있습니다. 다음 섹션에서는 다음 세 가지 범주 중 하나에 속하는 많은 Microsoft 보안 기능을 다룹니다.
- 위험 최소화: 공격 표면을 강화하거나 줄이면 성공적인 토큰 도난이 더 어려워집니다.
- 검색 + 완화: 성공적인 토큰 도난을 감지하고 가능한 경우 자동 완화를 구성합니다.
- 재생으로부터 보호: 재생을 차단하거나 성공적인 토큰 도난의 영향을 줄입니다.
다음은 조직에서 토큰 도난 방지 전략의 일환으로 집중해야 하는 주요 영역을 캡처하는 대략적인 요약입니다.
토큰 도난 – 위험 최소화
처음에 성공적인 토큰 도난 인시던트가 발생하지 않도록 방지하는 것이 조직을 보호하는 가장 효과적인 방법입니다. 조직은 엔드포인트용 Microsoft Defender 및 Microsoft Intune을 사용하여 디바이스 기반 토큰 반출 방법에 대해 디바이스를 강화해야 합니다. 또한 조직은 사용자가 인터넷에서 악의적이거나 위험한 대상에 액세스하지 못하도록 컨트롤을 배포해야 합니다.
디바이스 강화
다음 구성 및 배포를 수행하여 모든 디바이스/엔드포인트를 맬웨어 기반 토큰 도난에 대한 방어의 최전선으로 강화합니다. 시작하기 전에 디바이스가 Intune에 등록되고 엔드포인트용 Microsoft Defender 가 배포되었는지 확인합니다.
| 제어 | Windows 10/11 | macOS | 리눅스 |
|---|---|---|---|
| 실시간 보호, 동작 모니터링 및 추론을 위해 Microsoft Defender 바이러스 백신 상시 보호를 사용하도록 설정하여 알려진 의심스럽고 악의적인 활동을 기반으로 맬웨어를 식별합니다. | X | X | X |
| 엔드포인트 및 네트워크 전체에서 맬웨어로부터 보호하기 위해 Microsoft Defender 바이러스 백신 클라우드 보호를 사용하도록 설정합니다. | X | X | X |
| 엔드포인트용 Microsoft Defender에서 네트워크 보호를 사용하도록 설정 하여 악의적이거나 의심스러운 사이트에 대한 연결을 방지하여 특정 인터넷 기반 이벤트로부터 디바이스를 보호합니다. | X | X | X |
| 엔드포인트용 Microsoft Defender에서 변조 방지를 사용하도록 설정 하여 바이러스 및 위협 방지와 같은 특정 보안 설정이 비활성화되거나 변경되지 않도록 보호합니다. | X | X | - |
| Intune에서 준수를 위해 엔드포인트용 Microsoft Defender의 머신 위험 수준이 낮음 또는 양호로 설정된 디바이스 준수 정책을 만듭니다. | X | X | - |
디바이스 강화 정책이 적용되더라도 조직은 사용자가 규격 디바이스를 사용하여 모든 리소스에 액세스하도록 요구하는 조건부 액세스 정책을 만들어야 합니다. 이렇게 하면 디바이스가 디바이스 강화 구성을 성공적으로 배포했으며 사용자가 관리되지 않거나 안전하지 않은 디바이스에서 애플리케이션 및 리소스에 액세스할 수 없습니다.
Windows용 기타 구성
- 로컬 보안 기관을 격리하도록 Credential Guard를 구성하여 메모리에서 자격 증명 도난을 방지합니다.
- Windows 등록 증명 보고서를 검토합니다. Windows 디바이스가 TPM 요구 사항을 충족하는지 확인합니다. TPM 증명에 실패한 모든 디바이스에서 수정 작업을 수행합니다.
macOS에 대한 기타 구성
- 키 집합에 저장될 수 있는 Entra 토큰의 동기화를 방지하려면 Microsoft Intune과 iCloud 키 집합 동기화를 사용하지 않도록 설정합니다.
- Apple 디바이스용 Microsoft Enterprise SSO 플러그 인을 사용하도록 설정 하여 Enterprise Apps가 인증을 위해 PRT(기본 새로 고침 토큰)를 활용할 수 있도록 합니다.
- 하드웨어 바인딩된 암호화 키를 사용하여 Mac 디바이스에 안전한 피싱 방지 인증을 제공하도록 macOS 디바이스(보안 enclave)용 플랫폼 SSO를 구성합니다.
모바일 디바이스 강화
iOS 및 Android와 같은 모바일 디바이스는 모바일 위협 방어를 사용하여 강화할 수 있습니다. 모바일 위협 방어에는 손상된 디바이스로부터 보호할 수 있는 다양한 기능과 처음부터 맬웨어가 설치되지 않도록 차단하여 킬 체인 초기에 토큰 반출(및 기타 위협)을 방지할 수 있는 웹 위협이 포함됩니다.
Microsoft Defender XDR 공격 중단
AiTM(Adversary-in-the-middle)은 Microsoft Defender XDR 공격 중단에서 다루는 시나리오로, 공격의 킬 체인 초기에 조정된 위협 방어를 제공합니다. 모든 Defender XDR 워크로드(Defender for Identity, Office용 Defender 및 Defender for Cloud Apps)를 배포하고 문서화된 모든 필수 구성 요소 및 구성에 따라 Microsoft Defender XDR에서 공격 중단이 구성되었는지 확인합니다. 공격 중단은 초기 단계에서 AiTM 공격을 감지하고 엔드포인트 및 ID에 보안 제어를 자동으로 완화하여 공격을 방해합니다.
인터넷 위협에 대한 대비 강화
Microsoft Edge를 사용하는 조직은 Microsoft Defender SmartScreen을 사용하도록 설정해야 합니다. Windows Defender SmartScreen은 피싱 공격에 가담하거나 포커스 공격을 통해 맬웨어의 배포를 시도할 수 있는 웹 사이트에 대해 초기 경고 시스템을 제공합니다.
Microsoft Entra Internet Access는 전체 인터넷을 포괄하는 더 많은 보호를 제공합니다. 조직에서는 GSA(Global Secure Access) 클라이언트를 관리되는 디바이스에 배포하여 웹 콘텐츠 필터링을 사용하여 악성 및/또는 권한이 없는 웹 콘텐츠를 차단할 수 있습니다. 이렇게 하면 사용자가 악성 웹 사이트로 이동할 가능성이 줄어들어 맬웨어가 설치되거나 디바이스가 손상될 수 있습니다. 관리자는 최소한 불법 소프트웨어 범주를 차단해야 하지만 모든 책임 웹 범주를 검토하고 차단하는 것도 고려해야 합니다.
디바이스 코드 흐름 사용 제한
디바이스 코드 흐름은 입력 기능이 제한되거나 웹 브라우저가 없는 디바이스에 특히 유용합니다. 그러나 디바이스 코드 흐름은 피싱 공격의 일부로 사용하거나 관리되지 않는 디바이스의 회사 리소스에 액세스할 수 있습니다. 조건부 액세스 정책의 다른 제어와 함께 디바이스 코드 흐름 제어를 구성할 수 있습니다. 예를 들어 Android 기반 회의실 디바이스에 디바이스 코드 흐름을 사용하는 경우 특정 네트워크 위치의 Android 디바이스를 제외한 모든 위치에서 디바이스 코드 흐름을 차단하도록 선택할 수 있습니다.
필요한 경우에만 디바이스 코드 흐름을 허용해야 합니다. Microsoft에서는 가능하면 디바이스 코드 흐름을 차단하는 것이 좋습니다.
토큰 도난 - 검색 및 완화
조직에서는 성공 또는 시도된 토큰 도난 공격을 적극적으로 모니터링해야 합니다. 토큰 도난 또는 계정 손상 가능성을 나타낼 수 있는 다양한 Microsoft 제품에서 생성된 많은 경고가 있습니다. 이러한 탐지에 대한 대략적인 고급 요약은 아래에 나와 있습니다. SIEM을 사용하여 식별된 토큰 도난을 모니터링하고 감지하고 대응하는 방법에 대한 자세한 가이드는 토큰 도난 플레이북을 참조하세요.
조건부 액세스 정책
조직은 다음 조건부 액세스 정책을 구성해야 합니다.
- 중요한 작업에 대한 대화형 재인증 필요(인증 컨텍스트)
- 위험한 로그인에 대한 대화형 인증 필요
- 고위험 사용자 검색 및 수정
이러한 조건부 액세스 정책은 보다 자동화된 토큰 도난 수정을 제공하거나 토큰 기반 공격에 사용할 수 있는 다른 위협 벡터를 해결합니다.
중요한 작업에 대한 대화형 재인증 필요
조직은 인증 컨텍스트를 사용하여 특정 작업을 구성하여 일반 인증 흐름 외부에서 조건부 액세스 정책의 평가를 트리거할 수 있습니다. 예를 들어 관리자가 PIM(Privileged Identity Management)에서 역할을 활성화하거나 사용자가 애플리케이션 내에서 특정 작업을 수행하는 경우를 평가하도록 조건부 액세스 정책을 구성할 수 있습니다. 관리자는 중요한 것으로 간주되는 인증 컨텍스트 작업에 대해 대화형 피싱 방지 인증(매번 로그인 빈도로 설정)이 필요한 조건부 액세스 정책을 구성해야 합니다. 공격자가 다시 인증할 수 없는 경우 액세스가 거부되어 도난당한 로그인 세션이 중요한 작업을 완료하는 데 사용되지 않습니다.
조건부 액세스에서 인증 컨텍스트를 구성하는 방법을 알아봅니다.
애플리케이션에서 인증 컨텍스트를 사용하는 방법을 알아봅니다(개발자 지침).
위험한 로그인에 대한 대화형 인증 필요
Entra ID Identity Protection을 사용하면 Microsoft Defender for Endpoint의 추가 감지 기능을 통해 향상된 Entra ID로 의심스러운 로그인 시도를 실시간으로 탐지할 수 있습니다. 예를 들어 공격자가 새로 고침 토큰을 도용하고 재생하려고 하면 Entra ID ID 보호는 로그인에 익숙하지 않은 속성이 있음을 식별하고 이 이벤트에 대한 로그인 위험 수준을 높일 수 있습니다. 관리자는 중간 이상의 로그인 위험 수준에 대해 대화형 피싱 방지 인증(매번 로그인 빈도로 설정)이 필요한 조건부 액세스 정책을 구성해야 합니다. 공격자가 다시 인증할 수 없는 경우 액세스가 거부되어 도난당한 로그인 세션이 무단 액세스를 얻거나 확장하는 데 사용되지 않습니다.
Risk-Based 조건부 액세스 정책을 구성하는 방법을 알아봅니다.
고위험 사용자 검색 및 수정
엔트라 ID ID 보호는 엔드포인트용 Microsoft Defender의 추가 검색 기능으로 향상되어 모든 계정에 대해 사용자 위험 점수를 생성합니다. 이 점수는 계정이 손상되었는지의 여부를 확인할 확률을 나타냅니다. 엔트라 ID 또는 엔드포인트용 Microsoft Defender가 토큰 도난의 징후를 감지하는 경우 사용자의 위험 점수가 높음으로 설정될 가능성이 높습니다. 이 경우 계정(예: 보안 암호 변경)을 자동으로 차단하거나 수정하여 악의적 사용자가 달성한 무단 액세스를 더 이상 악용하지 않도록 할 수 있습니다.
지속적인 액세스 평가를 지원하는 애플리케이션은 높은 사용자 위험이 감지되면 거의 실시간으로 액세스를 자동으로 해지하고, 재인증 및 재승인을 위해 Entra ID로 리디렉션을 실행합니다.
Risk-Based 조건부 액세스 정책을 구성하는 방법을 알아봅니다.
Microsoft Defender XDR
Defender XDR 워크로드를 배포하여 토큰 도난과 관련된 의심스럽거나 비정상적인 동작을 경고합니다.
- Office 365용 Defender를 사용하여 악성 전자 메일, 링크 및 파일 검색 및 차단
- Microsoft Defender for Cloud Apps 커넥터를 사용하면 Microsoft 365 Defender는 여러 시나리오에서 AiTM 관련 경고를 발생시킵니다. Microsoft Edge를 사용하는 Entra ID 고객의 경우 공격자가 세션 쿠키를 재생하여 클라우드 애플리케이션에 액세스하려는 시도는 Office 365 및 Azure용 Defender for Cloud Apps 커넥터에 의해 검색됩니다.
Defender for Cloud Apps 커넥터 및 엔드포인트용 Defender를 사용하는 경우 Microsoft Defender XDR은 다음과 같은 경고를 발생시킬 수 있습니다.
- 도난당한 세션 쿠키가 사용되었습니다.
- 가능한 AiTM 피싱 시도
기타 탐지
- 비정상적 토큰
- 중간에 있는 공격자
- 일반적이지 않은 로그인 속성
Office 365용 Microsoft Defender 탐지
- 배달 후 제거된 악성 파일이 포함된 전자 메일 메시지
- 배달 후 제거된 캠페인의 전자 메일 메시지
- 잠재적인 악성 URL 클릭이 감지되었습니다.
- 사용자가 잠재적으로 악의적인 URL을 클릭했습니다.
Microsoft Defender for Cloud Apps 이상 탐지
- 불가능한 여행 활동
- 의외의 국가에서의 활동
Microsoft Defender XDR 비즈니스 전자 메일 손상 완화
- BEC(비즈니스 전자 메일 손상) 관련 자격 증명 수집 공격
- BEC 관련 사용자가 보낸 의심스러운 피싱 이메일
토큰 도난 – 재생으로부터 보호
악의적 사용자가 토큰을 성공적으로 도용할 수 있는 경우 조직은 특정 기능을 사용하도록 설정하여 도난당한 토큰의 노출이 재생되지 않도록 자동으로 줄여 공격을 물리칠 수 있습니다. 이러한 기능은 다음과 같습니다.
- 보안 로그인 세션에 조건부 액세스에서 토큰 보호 적용
- 액세스 적용은 보안 네트워크를 통해서만 허용됩니다.
토큰 보호 적용
Entra 기본 새로 고침 토큰
Entra 조인 또는 Entra 등록 디바이스의 경우 Entra ID는 애플리케이션 SSO에 사용되는 다중 애플리케이션 새로 고침 토큰 (PRT(기본 새로 고침 토큰)을 생성합니다.
PRT(기본 새로 고침 토큰)는 PRT와 PRT가 발급된 디바이스(클라이언트 암호) 간의 암호화된 보안 연결로 보호됩니다. Windows 디바이스에서 클라이언트 암호는 TPM(신뢰할 수 있는 플랫폼 모듈)과 같은 플랫폼별 하드웨어에 안전하게 저장됩니다. 현재 비 Windows 디바이스는 비밀을 소프트웨어에 저장합니다.
조건부 액세스의 토큰 보호
조건부 액세스에서 토큰 보호를 적용하면 디바이스에 암호화된 바인딩된 새로 고침 토큰만 사용됩니다. 모든 디바이스에서 사용할 수 있는 전달자 새로 고침 토큰은 자동으로 거부됩니다. 이 메서드는 원래 발급된 디바이스에서만 토큰을 사용할 수 있으므로 로그인 세션을 보호하기 위한 최고 수준의 보안을 제공합니다. 이 게시물이 게시되는 시점에 조건부 액세스의 토큰 보호는 Microsoft Teams, SharePoint 및 Exchange에 연결하는 Windows 네이티브 애플리케이션에 사용할 수 있습니다. 추가 플랫폼, 애플리케이션 및 리소스에 대한 지원을 추가하여 토큰 보호 범위를 확장하기 위해 지속적으로 노력하고 있습니다. 지원되는 앱 및 리소스의 업데이트된 목록은 이 문서를 참조하세요. Microsoft Entra 조건부 액세스의 토큰 보호 - Microsoft Entra ID | Microsoft Learn.
조직은 지원되는 모든 애플리케이션, 디바이스 및 플랫폼에 대해 토큰 보호를 파일럿하고 배포하는 것이 좋습니다. 토큰 보호를 지원하지 않는 애플리케이션은 네트워크 기반 정책과 같은 다른 정책으로 보호되어야 합니다.
자세한 내용을 알아보고 배포 지침을 확인하려면 다음 문서를 참조하세요. 토큰 보호를 구성하는 방법에 대해 알아봅니다.
비고
조건부 액세스에서 토큰 보호를 사용하려면 PRT를 사용해야 합니다. 등록되지 않은 디바이스 사용과 같은 시나리오는 해당 디바이스에 PRT가 없으므로 사용할 수 없습니다.
비고
Entra Token Protection은 디바이스에 로그인한 사용자에게만 적용됩니다. 예를 들어 표준 계정으로 Windows 디바이스의 잠금을 해제한 다음 다른 계정으로 인증하는 리소스에 액세스하는 경우 유효한 PRT를 사용할 수 없으므로 후자의 ID를 Entra Token Protection으로 보호할 수 없습니다.
네트워크 기반 적용 구현
Entra Token Protection은 로그인 세션 토큰을 보호하는 가장 안전한 방법이지만 애플리케이션 적용 범위가 제한되며 디바이스에 로그인한 사용자에게만 적용됩니다. 공격 노출 영역을 더욱 줄이기 위해 조직은 모든 엔터프라이즈 앱을 포괄하는 광범위한 애플리케이션을 포괄할 수 있는 네트워크 기반 적용 정책을 구현할 수 있습니다. 네트워크 기반 정책은 디바이스에 로그인한 사용자 이외의 추가 ID를 포함할 수도 있습니다.
네트워크 기반 정책은 로그인 세션 아티팩트(예: 새로 고침 토큰)가 지정된 네트워크 외부에서 재생되지 않도록 방지하여 조직 경계를 넘어 로그인 세션을 반출하는 토큰 도난 및 재생 공격을 효과적으로 저지합니다. 내부 위협 벡터는 동일한 네트워크에 대한 액세스로 인해 여전히 위험을 초래할 수 있지만, 위협 행위자가 조직 경계 내에서 작동하도록 강요하면 다른 보안 제어를 통해 위협을 감지하고 완화할 가능성이 크게 높아집니다.
또한 지속적인 액세스 평가를 지원하는 애플리케이션과 같은 특정 시나리오에서 이러한 측정값은 액세스 토큰과 같은 애플리케이션 세션 토큰의 토큰 도난 및 재생을 완화하는 효과적인 방법이 될 수도 있습니다.
전역 보안 액세스를 사용하여 로그인 세션 보호
조직은 글로벌 보안 액세스를 배포하여 클라이언트 디바이스와 리소스 간에 보안 네트워크 연결을 설정해야 하며, 이를 준수 네트워크라고도 합니다. 그런 다음 관리자는 엔터타 ID와 통합된 엔터프라이즈 앱에 액세스하기 위해 규정 준수 네트워크를 사용하도록 의무화하는 조건부 액세스 정책을 만들 수 있습니다. 이 측정값은 조직에서 관리하지 않는 디바이스에서 로그인 세션 아티팩트 재생을 방지합니다.
기존 네트워크 컨트롤을 사용하여 로그인 세션 보호
규정 준수 네트워크 검사 대신 조직은 VPN과 같은 기존 네트워크 솔루션을 활용하여 로그인 세션을 보호할 수 있습니다. 그런 다음 관리자는 특정 송신 IP 주소에 대한 인증 시도를 제한하는 위치 기반 조건부 액세스 정책을 만들 수 있습니다. 그러나 조직에서는 회사 네트워크를 통한 트래픽 라우팅과 관련된 성능 영향 및 비용을 고려해야 합니다. 따라서 완전히 안전하고 전역적으로 분산된 Security Service Edge 솔루션인 Global Secure Access를 사용하는 것이 좋습니다.
Entra ID를 사용하여 위치 기반 조건부 액세스 정책을 구성하는 방법을 알아봅니다.
네트워크 기반 적용을 사용하여 앱 세션 보호
조직에서는 특정 송신 IP 주소에 대한 액세스를 제한하는 위치 기반 조건부 액세스 정책을 만들어 일부 앱 세션을 보호할 수도 있습니다. SharePoint Online 및 Exchange Online과 같은 Microsoft 애플리케이션의 하위 집합은 CAE( 지속적인 액세스 평가 ) 프로토콜을 사용합니다. CAE 인식 앱은 네트워크 기반 적용을 평가하고, 거의 실시간으로 신뢰할 수 있는 네트워크 외부에서 재생된 앱 세션 아티팩트를 취소하여 차단합니다. 조직은 CAE 지원 앱의 트래픽이 신뢰할 수 있는 네트워크에서만 액세스할 수 있도록 CAE를 사용하여 엄격한 위치 정책을 구성 하여 IP 기반 네트워크 적용을 더욱 개선할 수 있습니다.
CAE를 사용할 수 없는 애플리케이션의 경우 조직은 애플리케이션 쪽에서 사용할 수 있는 컨트롤을 사용하여 앱 세션을 보호할 수 있습니다. 예를 들어 일부 애플리케이션은 IdP(ID 공급자)에 의해 적용되는 애플리케이션 외에도 애플리케이션 계층에서 IP 기반 적용을 지원합니다. 그런 다음 애플리케이션은 신뢰할 수 있는 네트워크 외부에서 사용되는 앱 세션 아티팩트 사용을 거부합니다. 회사 소유 네트워크를 통한 앱별 트래픽 터널링은 글로벌 보안 액세스를 통한 원본 IP 앵커링뿐만 아니라 VPN과 같은 다른 기존 네트워크 솔루션을 통해 달성할 수 있습니다.
글로벌 보안 액세스를 사용한 원본 IP 앵커링에 대해 알아봅니다.
토큰 보호 전략 요약
요약하자면, Microsoft Entra에서 토큰을 보호하려면 토큰 도난 및 재생 공격으로부터 보호하기 위한 다층 방어 심층 전략이 포함됩니다. 여기에는 맬웨어에 대한 디바이스 강화, 디바이스 기반 및 위험 기반 조건부 액세스 활용, 디바이스 바인딩 토큰 적용 및 네트워크 기반 적용 구현이 포함됩니다. 또한 조직은 피싱 방지 다단계 인증을 배포하고, 의심스러운 로그인 시도를 모니터링하고, 중요한 작업에 대한 재인증을 요구하도록 조건부 액세스 정책을 구성해야 합니다. 이러한 지침에 따라 조직은 무단 액세스의 위험을 크게 줄이고 로그인 세션 및 앱 세션의 보안을 보장할 수 있습니다.