Microsoft Entra ID 인증 방법 살펴보기
중견 의료 기술 회사인 Contoso의 보안 엔지니어라고 상상해 보세요. 지난 1년 동안 팀은 손상된 사용자 자격 증명과 관련된 세 가지 개별 인시던트에 대응했습니다. 각 인시던트가 피싱 공격 또는 자격 증명 스터핑 캠페인으로 추적되었습니다. 관리자는 Contoso의 현재 인증 전략을 평가하고 암호 관련 위반을 제거하는 경로를 권장하도록 요청합니다. 이를 효과적으로 수행하려면 Microsoft Entra ID에서 사용할 수 있는 인증 방법의 전체 스펙트럼과 보안 및 사용자 환경 측면에서 비교하는 방법을 이해해야 합니다.
인증 방법 환경
Microsoft Entra ID는 레거시 암호 기반 방법부터 최신 암호 없는 대안에 이르기까지 광범위한 인증 방법을 지원합니다. 이러한 메서드는 사용자가 ID를 증명하기 위해 제공하는 항목에 따라 범주로 분류됩니다.
- 알고 있는 것: 암호 및 PIN
- 가지고 있는 항목: 등록된 디바이스, 보안 키 또는 인증자 앱
- 당신이 누구인가를 나타내는 것: 지문 또는 얼굴 인식과 같은 생체 인식
사용자가 사용자 이름과 암호를 제공하는 암호 기반 인증은 가장 널리 배포된 방법이지만 가장 취약한 방법입니다. 데이터 위반을 통해 암호를 피싱, 추측 또는 도난할 수 있습니다. Contoso와 같은 조직의 경우 암호만으로는 용납할 수 없는 위험을 나타냅니다.
최신 암호 없는 메서드는 암호를 완전히 제거합니다. 사용자는 암호를 입력하는 대신 디바이스 소유와 생체 인식 또는 PIN의 조합을 사용하여 인증합니다. 로그인하는 동안 공유 가능한 비밀이 전송되지 않으므로 FIDO2 보안 키, 비즈니스용 Windows Hello 및 암호와 같은 메서드는 기본적으로 피싱을 방지합니다. Microsoft Authenticator 암호 없는 로그인은 암호보다 개선되었지만 동일한 수준의 피싱 저항을 달성하기 위해 관리되는 디바이스를 적용하는 조건부 액세스 정책이 필요합니다.
다단계 인증을 다리 역할로 하여
암호 없는 것으로 즉시 이동할 수 없는 조직의 경우 MFA(다단계 인증) 는 중요한 중간 보안 계층을 제공합니다. MFA를 사용하려면 사용자가 서로 다른 범주의 두 개 이상의 요인(예: 알고 있는 것(암호)을 가지고 있는 항목(등록된 휴대폰)과 결합된 요소를 사용하여 ID를 확인해야 합니다.
Microsoft Entra ID는 다음과 같은 여러 MFA 메서드를 지원합니다.
| 메서드 | 유형 | 보안 수준 |
|---|---|---|
| Microsoft Authenticator 푸시 알림 | 앱 기반 | 높음 |
| Microsoft Authenticator TOTP 코드 | 앱 기반 | 높음 |
| OATH TOTP 하드웨어 토큰 | Hardware | 높음 |
| SMS 일회용 암호 | 휴대폰 | 낮음-중간 |
| 음성 통화 확인 | 휴대폰 | 낮음-중간 |
메모
Microsoft Authenticator의 FIDO2 보안 키 및 패스키는 완전한 비밀번호 무용 및 피싱 저항 방법으로, 비밀번호를 완전히 대체하여 두 번째 인증 요소로 작동하지 않습니다. 다음 섹션의 보안 계층 구조에 표시됩니다.
중요합니다
SMS 및 음성 통화 확인은 레거시 MFA 방법으로 간주됩니다. SIM 교환 공격에 취약합니다. Microsoft는 이러한 방법에서 사용자를 앱 기반 또는 하드웨어 기반 대안으로 마이그레이션하는 것이 좋습니다.
다단계 인증의 다음 단원에서는 사용자 모집단에서 이러한 메서드를 구성하고 적용하는 방법을 살펴봅니다.
인증 강도 및 보안 계층 구조
모든 MFA 메서드가 동일한 수준의 보호를 제공하는 것은 아닙니다. Microsoft Entra ID는 조건부 액세스 정책을 통해 지정된 리소스에 액세스하는 데 필요한 최소 허용 MFA 방법을 지정할 수 있는 인증 강도 개념을 소개합니다.
보안 계층 구조는 최소에서 가장 안전한 계층 구조입니다.
- 암호만(MFA 없음)
- 암호 + SMS 또는 음성 통화
- 암호 + Microsoft Authenticator 앱
- 암호 없는 로그인(비즈니스용 Windows Hello, FIDO2 보안 키, Microsoft Authenticator의 암호, 인증서 기반 인증)
관리 포털 또는 금융 시스템과 같은 중요한 리소스의 경우 인증 강도 정책을 통해 피싱 방지 MFA를 요구할 수 있습니다. Microsoft Entra ID의 기본 제공 피싱 방지 강도는 비즈니스용 Windows Hello, FIDO2 보안 키, Microsoft Authenticator의 암호 및 CBA(인증서 기반 인증)의 네 가지 방법 제품군을 포함합니다. 이러한 구분은 Contoso의 권한 있는 계정에 대한 액세스 정책을 디자인할 때 매우 중요합니다.
팁 (조언)
인증 강도 정책은 애플리케이션별로 적용됩니다. 가장 중요한 시스템에 피싱 방지 MFA를 요구하는 동시에 위험 수준이 낮은 애플리케이션에 대한 표준 MFA를 허용하여 보안과 사용자 환경의 균형을 맞추도록 할 수 있습니다. 이 리소스별 세분성은 제로 트러스트의 "명시적으로 확인" 원칙의 기술적 표현입니다. 모든 액세스 요청은 일괄 조직 전체 설정이 아닌 특정 리소스에 필요한 인증 강도에 대해 평가됩니다.
Microsoft Entra ID 인증 아키텍처
사용자가 로그인하면 요청은 Microsoft Entra ID 뒤에 있는 클라우드 네이티브 인증 엔진인 Microsoft ID 플랫폼을 통해 흐릅니다. 플랫폼은 사용자의 자격 증명을 평가하고, 조건부 액세스 정책을 적용하고, 인증에 성공하면 토큰을 발급합니다.
Microsoft Entra ID에 조인된 디바이스의 경우 첫 번째 로그인에 성공한 후 PRT(기본 새로 고침 토큰) 가 발급됩니다. PRT를 사용하면 다시 인증할 필요 없이 앱 및 서비스에서 SSO(Single Sign-On)를 사용할 수 있습니다. 이는 더 강력한 인증 방법의 보안 향상을 보완하는 사용자 환경의 의미 있는 이득입니다.
이 아키텍처를 이해하면 인증 정책의 변경이 조직 전체의 사용자 및 애플리케이션에 미치는 영향을 예상할 수 있습니다. 중요한 것은 Microsoft 365 및 Azure 관리에 대한 액세스를 제어하는 동일한 인증 정책이 Azure AI Foundry 및 Microsoft 365용 Microsoft Copilot와 같은 AI 기반 서비스에도 적용되므로 강력한 인증이 Contoso의 AI 투자에 대한 첫 번째 방어선이 됩니다. 이 기반을 마련하면 다음 단원에서 다단계 인증을 구성할 준비가 된 것입니다.