Microsoft Azure, Active Directory에 대해서… (5), 다단계 인증(MFA, Multi-Factor Authentication)

• Microsoft Azure, Active Directory에 대해서… (1)
• Microsoft Azure, Active Directory에 대해서… (2), AAD와 사내 AD와의 연계 첫번째 이야기
• Microsoft Azure, Active Directory에 대해서… (3), AAD와 사내 AD와의 연계 두번째 이야기
• Microsoft Azure, Active Directory에 대해서… (4), AAD 프리미엄(Premium) 기술을 활용한 클라우드 사용자 암호 재설정 

금일 포스팅은 Microsoft Azure AD(AAD)의 프리미엄 버전에서 사용할 수 있는 다단계 인증(Multi Factor Authentication, MFA)에 대한 부분입니다. 앞선 AAD 관련 포스팅에서 살펴보았던 AADP(AAD Premium)에서 사용 가능한 추가적인 기술입니다. (AAD 버전에서는 기본적으로 전역 관리자에게만 다단계 인증을 할 수 있습니다.)

MFA 기술은 말 그대로 인증에 대한 추가적인 인증 작업을 부여하는 것입니다. 우리가 인터넷 환경을 사용할 때, 사용하는 추가적인 보안 기술(OTP, 보안 카드, 핸드폰을 통한 본인 인증)등도 다단계 인증에 연관된 부분입니다. 이런 경우가 있을 수 있습니다. 사내 내부에서 인증을 받을 때는 일반 인증을 받지만, 해당 계정을 외부에서 사용할 경우에는 추가 인증을 받는 형태를 요구할 수 있죠. 이 경우, AADP에서 제공하는 다단계 인증을 활용할 수 있습니다.

AADP에서 제공하는 MFA는 3가지 형태의 추가 인증을 제공합니다.

1. MFA App : Windows Phone, iOS, Android 기반으로 제공되는 앱을 통해, 사용자 로그인시 이를 푸쉬로 알려주기도 하고, 이를 통한 OTP(One-Time Password)를 진행하여 인증을 처리하게 됩니다..
2. 전화 : 자동화된 전화 걸기를 통해 확인을 진행합니다.
3. 문자 : 설정된 휴대폰으로 문자 메시지가 전송되어, 이를 답하거나, 로그인시 입력하도록 처리할 수 있습니다. (제공 국가마다, 답하는 형태 또는 입력으로 나눠져 있습니다. 대한민국은 입력하는 형태로 제공됩니다.)

AADP의 MFA는 2가지 형태로 사용 가능합니다. Microsoft의 클라우드 기술 특성상, Microsoft Azure에서 바로 사용할 수도 있으며, 사내 인프라(Windows Server)와 연계하여, 내부 로그인 처리시, MFA 요청만을 Microsoft Azure로 요청할 수 있도록 서버 모듈을 제공하고 있습니다. 오늘은 Microsoft Azure AD에 구성, 혹은 연계된(ADFS) 형태를 살펴봅니다. (사내 인프라내 MFA 모듈을 설치하여 사용하는 형태는 차후 포스팅에서 다루겠습니다.)

AAD만 사용하거나, AAD와 AD를 연동(AAD에서 인증하는 형태와 ADFS 인증 모두) 후, 디렉터리 서비스에 대한 동기화가 완료되면, Microsoft Azure 포탈에서 다단계 인증을 관리할 수 있습니다.

AAD의 사용자 계정 페이지내 하단에 있는 다단계 인증 관리를 클릭합니다.

다단계 인증 페이지가 나타납니다. 브라우저를 지원하지 않는 앱을 사용할 경우, MFA 적용을 앱 암호 형태를 사용할지에 대해서 결정해야 합니다. 이를 서비스 설정 항목에서 진행할 수 있습니다. (브라우저 기반 인증이 아닌 경우에는 설정이 필요하지 않습니다.)

서비스 설정 항목에서는 기본적으로 앱 암호에 대한 사용 여부, 그리고 MFA에 대한 예외 White List를 설정할 수 있습니다. 더불어, ADFS로 인증을 완료한 경우에 이를 적용할지 여부에 대해서 구성이 가능합니다. 조금 후에 살펴볼 내용이지만, 자세한 보고서나 추가 고급 설정에 대해서는 하단 링크, 포털로 이동을 클릭하면 됩니다. 일단 앱 암호를 사용에 대해 결정하고 저장을 클릭합니다.

사용자 페이지에서 MFA를 사용할 사용자를 선택하고, MFA 사용 링크를 클릭하면 설정은 완료됩니다.

설정을 완료한 사용자가, https://myapps.microsoft.com과 같은 AAD 인증을 사용하는 사이트에 로그인을 시도하면, 최초 로그온시, 보안 설정을 요구받게 됩니다.

다단계 인증의 여러 옵션에 대해서 최초 구성 단계가 진행됩니다. (휴대폰, 사무실 전화, 모바일 앱)

휴대폰을 선택했을 경우, 휴대폰 번호를 입력하고, 문자/또는 전화 걸기를 선택하면 이에 대한 등록 진행이 됩니다.

문자를 확인하고, 이를 본인 인증에 입력합니다.

사무실 전화의 경우에는 자주 사용할 시나리오가 아닌 것 같아서, 별도로 언급하지 않겠습니다. 모바일 앱의 경우가 조금 재미있기도 하고, 보안이 가장 높은 레벨일 수 있습니다. 모바일 앱 형태로 현재 디바이스를 등록하고, 이를 활용하여 로그인에 대한 활동 확인 및 인증 처리를 진행할 수 있습니다.

구성을 클릭하면, 모바일 앱 구성 페이지로 갑니다. 개별 이용 폰에서 Multi Factor Authentication 앱을 설치한 후, 추가 작업을 진행할 수 있습니다.

앱이 실행된 후, 하단 추가 버튼을 클릭하면, 모바일 앱에 대한 구성이 가능합니다. 구성을 쉽게 하고자, 카메라를 이용한 QR 코드 스캐닝도 가능합니다.

이후, MFA 앱에서 6자리 숫자가 뜨면, 구성이 완료된 형태가 됩니다. 해당 인증에 대해, 처리가 되는 것을 확인하기 위해 인증을 클릭하면, 앱이 설치된 디바이스로 푸쉬 알림이 발생하고, 인증 처리를 요구합니다.

인증을 처리하는 형태는 아래와 같습니다. 만약 로그인 처리에 대해서 본인이 아니라면, 바로 MFA 앱을 통해 보고가 가능합니다.

MFA 구성이 등록된 계정을 이제 로그인 시도하게 되면, 암호를 입력 후, 다단계 인증에 대해서 처리되게 됩니다. 모바일 앱을 지정하면, 역시나 푸쉬 메시지가 오게 됩니다.

이를 앱을 통해서 확인하면 로그인이 완료되게 되죠.

기본적인 MFA의 연계 형태에 대해서는 잘 이해가 되실 것입니다. ADFS로 연계된 AAD의 경우에는 ADFS 페이지로 인증이 완료된 후, 다시 AAD 페이지로 돌아와, 다단계 인증을 진행하게 됩니다. 모바일 앱에서 보았던 “취소 및 사기 행위 보고”에서 감을 잡으셨겠지만, 다단계 인증을 사용시 자세한 보고서 형태 및 설정이 있다는 것을 예상하실 것입니다. 다단계 인증의 서비스 설정 페이지 하단에 배치된 추가 설정 링크를 클릭하면, 추가적인 고급 옵션과 보고서 페이지로 연결됩니다.

MFA 고급 설정 페이지에서는 사용자 차단/차단 해제, 그리고 외부에서 일회성 바이패스(예외) 설정을 할 수 있으며, 사용량을 비롯한 각종 보고서 확인이 가능합니다. 구성 설정에서는 MFA 전화 시도시 몇번을 할 것인지를 포함하여, 계정 잠금까지 설정이 가능합니다.

마지막 항목인 서버 다운로드가 MFA 모듈을 제공하여, 사내 인프라와 연계가 가능한 형태입니다. 이 때 Microsoft Azure에서는 MFA 공급자가 필요합니다. (차후 포스팅하겠습니다.)

새로운 형태의 사용자 경험이 많아서, 스크린샷이 많았습니다. AAD 프리미엄에서 제공되는 MFA를 이용하여, 인증에 대한 추가 보안을 높힐 수 있다는 점이 가장 가치있어 보입니다. 더불어, 이에 대한 접근이 단순히 문자 및 전화가 아니라, 모바일 앱을 통해 사용자에게 바로 알려주고, 필요시 손쉽게 MFA 인증을 받을 수 있게 함도 뛰어나보입니다.