[SC-900] Azure AD와 ID 보안의 핵심: ID 및 액세스 관리 도입

2025.06.08 - [MS Azure, AI] - [SC-900] SC-900이 뭐길래? 클라우드 시대의 보안 기초 자격증

2025.06.09 - [MS Azure, AI] - [SC-900] 시험 포맷 완전 해부: SC-900 응시 정보부터 문제 유형까지

 

“우리 회사 직원들이 누가 무엇에 접근할 수 있지?” 보안에서 가장 먼저 떠오르는 질문 중 하나입니다. 이 질문에 답하려면 ID 및 액세스 관리(Identity and Access Management, IAM)를 이해해야 합니다. 간단히 말해, ID 관리는 **누구(또는 무엇)**인지 식별하고, 액세스 관리는 식별된 주체에게 어떤 권한을 부여할지 제어하는 것입니다. 예를 들어 회사 사원증(ID)은 직원임을 증명하는 **신원(identity)**이고, 그 사원증으로 열 수 있는 문이 **권한(access)**입니다. IT 시스템에서도 마찬가지로, 사용자는 로그인(인증, Authentication)을 통해 자신의 신원을 증명하고, 시스템은 해당 사용자에게 허용된 자원만 접근(권한 부여, Authorization)하도록 합니다.

현대의 클라우드 환경에서는 ID가 새로운 보안 경계라는 말이 나올 정도로, 사용자와 기기의 신원 관리가 보안의 출발점이 되었습니다. 과거에는 내부 네트워크에 들어오는 것만 막으면 되었지만, 이제는 클라우드 어디서나 접근할 수 있기 때문에 누가 접근하는지를 끊임없이 검증하는 제로 트러스트 접근법이 중요해졌죠. Azure AD (Azure Active Directory)가 바로 이러한 클라우드 신원 관리의 중추 역할을 합니다. Azure AD는 Microsoft의 클라우드 기반 ID 및 액세스 관리 서비스로, 직원들이 Microsoft 365, Azure 포털, 수천 개의 SaaS 애플리케이션 등에 접근할 수 있도록 사용자 계정, 로그인 인증, 권한을 통합 관리해줍니다. (참고: 2023년부터 Azure AD의 이름이 Microsoft Entra ID로 변경되었지만, 많은 사람들이 여전히 Azure AD라는 명칭에 익숙합니다.)

전통적인 온프레미스 Windows Server Active Directory와 Azure AD는 구현 방식에 차이가 있습니다. 예를 들어 Azure AD는 LDAP/Kerberos 대신 OAuth 2.0과 OpenID Connect 등의 토큰 기반 인증을 사용하고, 디바이스 도메인 가입 대신 Azure AD 조인 개념이 있습니다. 그러나 근본적인 목적은 조직의 계정과 권한을 관리하는 디렉터리 서비스로서 비슷한 역할을 합니다.

Azure AD의 기본 기능을 살펴보면 다음과 같습니다:

• 디렉터리 서비스: 조직의 사용자, 그룹, 디바이스 정보를 클라우드에 저장합니다. 각 직원은 Azure AD에 계정이 있고 프로필, 암호 등이 관리됩니다. 부서별 그룹을 만들어 해당 그룹에게 일괄적으로 애플리케이션 접근 권한을 부여하는 것도 가능합니다.
• 인증(Authentication): 사용자가 올바른 자격 증명(예: 비밀번호, 인증 앱 코드 등)을 제출하면 신원을 확인합니다. Azure AD는 전통적인 아이디/암호 외에 **다단계 인증(MFA)**도 지원하여, 사용자가 비밀번호 외에 추가 인증(예: 휴대폰 OTP, 지문 등)을 수행해야만 로그인되게 설정할 수 있습니다. 이를 통해 비밀번호 유출 시에도 계정을 보호할 수 있죠.
• SSO(Single Sign-On): 한 번 로그인한 사용자는 Azure AD에 연동된 여러 애플리케이션에 별도 로그인 절차 없이 연속적으로 접근할 수 있습니다. 예를 들어 회사 계정으로 Windows PC에 로그인하면 Outlook, SharePoint, Teams 등도 자동 로그인되는 편의성을 제공합니다. Azure AD는 수천 개의 외부 SaaS 앱과도 SSO 연동을 지원합니다.
• 권한 부여(Authorization) 및 RBAC: Azure AD 계정에는 역할(Role) 기반 권한을 부여할 수 있습니다. 예를 들어 IT 관리자 계정은 다양한 설정을 변경할 수 있지만, 일반 직원 계정은 자신의 정보 정도만 수정 가능하게 하는 식입니다. Azure 리소스 접근 제어에도 RBAC(역할 기반 접근 제어)를 적용하여 세분화된 권한 관리를 할 수 있습니다.
• 조건부 액세스(Conditional Access): Azure AD의 고급 기능으로, 접근 조건에 따라 추가 인증이나 차단 등의 정책을 적용합니다. 예를 들어 근무 시간에는 사무실 IP에서만 로그인 허용, 해외 IP에서 접근 시 자동 차단 또는 MFA 추가 요구 같은 정책을 세울 수 있습니다. 조건부 액세스로 의심스러운 로그인 시도를 걸러내고 안전한 접속만 허용할 수 있습니다.
• 하이브리드 ID: 많은 기업은 기존에 온프레미스 **Active Directory(AD)**로 사내 사용자 계정을 관리해왔습니다. Azure AD는 이러한 온프레미스 AD와 디렉터리 동기화를 지원하여, 클라우드와 온프레미스 환경 간에 일관된 ID를 유지할 수 있습니다. 이를 통해 직원 한 명이 퇴사하면 온프레미스와 Azure 계정을 동시에 비활성화하여 모든 접근 권한을 일괄 차단할 수 있습니다.
• Privileged Identity Management(PIM): 관리자나 권한이 많은 계정에 대해 상시 높은 권한을 부여하지 않고, 필요할 때만 일시적으로 관리자 권한을 상승시켜주는 기능입니다. 예를 들어 어떤 사용자를 글로벌 관리자 역할에 PIM으로 등록해두면, 평소에는 일반 사용자로 지내다가 승인이 필요할 때만 관리자 권한을 활성화할 수 있습니다. 이를 통해 과도한 권한 남용 위험을 줄이고, 관리자 작업에는 추가 승인과 감사 로그를 남길 수 있습니다.
• ID 보호 및 모니터링: Azure AD는 의심스러운 로그인에 대한 위험 감지 기능도 제공합니다. 평소와 다른 국가에서 갑자기 로그인 시도가 발생하면 위험도를 평가해 관리자에게 경고하거나, 해당 사용자에게 비밀번호 재설정을 요구할 수 있습니다. 또한 로그인 및 감사 로그를 통해 누가 언제 어디서 무엇을 했는지 기록이 남으므로, 나중에 보안 사고 조사나 컴플라이언스 감사 시 활용할 수 있습니다.
• 외부 ID 및 페더레이션: Azure AD는 회사 직원 외에 외부 사용자(협력업체 직원, 소비자 등) 계정도 관리할 수 있습니다. 파트너사를 Azure AD에 B2B 초대하여 우리 내부 리소스에 제한적으로 접근시키거나, B2C 기능을 통해 소비자 대상 애플리케이션의 인증 플랫폼으로 활용할 수 있습니다. 또한 Google, Facebook 같은 **다른 ID 공급자와의 연동(페더레이션)**도 지원하여, 사용자가 타사 계정으로 Azure AD에 로그인하게 할 수도 있습니다.

이렇듯 Azure AD는 회사 디지털 자산에 누가, 언제, 어떻게 접근하는지를 통제하는 강력한 도구입니다. 잘 구성된 Azure AD 환경에서는 직원들이 편리하게 업무에 접근하면서도, 정책에 따라 추가 인증이나 접근 차단이 자동 적용되어 외부 위협으로부터 보호됩니다. Azure AD는 이미 수많은 기업에서 클라우드 IAM 표준으로 사용되고 있으며, 이를 다룰 수 있는 보안 전문가의 수요도 꾸준합니다. SC-900으로 다진 이러한 ID 개념은 향후 큰 자산이 될 것입니다.

실전 적용 사례: 한 중견기업의 보안 담당자 C씨는 Azure AD를 활용해 전사 MFA 의무화 정책을 도입했습니다. 초기에 일부 직원들은 불편해했지만, 얼마 지나지 않아 한 직원의 계정이 피싱 공격으로 비밀번호를 탈취당하는 사건이 발생했습니다. 다행히 Azure AD의 다단계 인증 덕분에 공격자는 추가 인증을 통과하지 못해 계정 침해를 막을 수 있었습니다. 또한 C씨는 조건부 액세스 정책으로 해외 IP의 로그인 시도를 아예 차단하고 있었는데, 실제로 외국에서 시도된 무단 접속이 모두 차단되어 피해가 없었습니다. 이 경험 이후 임직원들도 ID 보안의 중요성을 실감하며 Azure AD 보안 정책에 적극 협조하게 되었습니다.

 

 

 

2025.06.08 - [MS Azure, AI] - [SC-900] SC-900이 뭐길래? 클라우드 시대의 보안 기초 자격증

2025.06.09 - [MS Azure, AI] - [SC-900] 시험 포맷 완전 해부: SC-900 응시 정보부터 문제 유형까지