위험한 로그인에 MFA가 필수가 아님

HIGH

설명

다단계 인증(MFA)(이전의 2단계 인증(2FA))은 약한 비밀번호 또는 침해된 비밀번호와 관련된 취약성에 맞서 계정에 강력한 보호를 제공합니다. 모범 사례와 업계 표준에 따르면 사용자 로그인이 Microsoft Entra ID 보호 기준에 따라 위험해 보이는 경우, 인증을 차단하거나 MFA를 요청하는 것이 좋습니다.

공격자가 어떤 수단을 통해서든 사용자 비밀번호를 획득하면 MFA는 모바일 애플리케이션의 시간 만료 코드, 실물 토큰, 생체 인식 기능 등 추가적인 요소를 요청하여 인증을 차단합니다.

Microsoft Entra ID P2 라이선스가 있어야 하는Microsoft Entra ID Protection 기능을 이용하면 Entra ID 내에서 위험한 로그인을 식별할 수 있습니다. 위험한 로그인이란 탐지 목록에 따라 주어진 인증 요청이 승인된 ID 소유자가 아닐 확률이 있다는 사실을 나타냅니다. 로그인 위험 탐지는 다음 3가지 수준을 포함합니다.

  • 높음
  • 중간
  • 낮음

이 로그인 위험 수준을 사용하면 조건부 액세스 정책과 Microsoft Entra ID Protection라는 두 가지 보호 기능을 통해 다단계 인증(MFA)을 트리거할 수 있습니다. Tenable에서는 MFA를 조건부 액세스 정책(CAP)을 통해 구성하는 것을 권장합니다. CAP에는 향상된 진단 데이터, 보고 전용 모드와의 원활한 통합, Graph API 지원과 같은 추가적인 이점도 있고 정책 내에 로그인 빈도와 같은 추가적인 조건부 액세스 특성도 포함할 수 있기 때문입니다. Microsoft Entra ID Protection에서 구성된 레거시 위험 정책2026년 10월 1일부터 사용 중단될 예정이며, 조건부 액세스 정책으로 마이그레이션해야 합니다. 따라서 이 IoE는 조건부 액세스 정책만 검사합니다.

이 IoE는 이 권장 사항에 따라 다음과 같은 설정이 있는 조건부 액세스 정책이 적어도 하나(또는 별도인 두 개)가 있는지 확인합니다.

  • "사용자"가 "모든 사용자"를 포함하도록 설정됨.
  • "대상 리소스"가 "모든 리소스"로 설정됨.
  • "조건 > 클라이언트 앱"이 "아니요"("구성 안 됨")로 설정됨. 또는 "예'로 설정하고 "브라우저", "모바일 앱 및 데스크톱 클라이언트", "Exchange ActiveSync 클라이언트", "기타 클라이언트" 등 네 개 옵션이 모두 선택됨.
  • "조건 > 로그인 위험"이 "예"로 설정되어 위험 수준 "높음"과 "중간" 둘 모두가 선택됨. 또는 별도의 정책 두 개를 구성하여 하나는 "높음" 위험을, 다른 하나는 "중간" 위험을 타게팅해도 똑같은 효과를 얻을 수 있습니다.
  • "부여"를 "다단계 인증 필수" 또는 "인증 강도 필수"로 설정하고 "다단계 인증", "패스워드리스 MFA" 또는 "피싱 방지 MFA" 값 중 하나를 포함합니다.
  • "세션 -> 로그인 빈도"를 "매번"으로 설정합니다.
  • 마지막으로, "정책 사용"을 "활성"으로 설정합니다("비활성" 또는 "보고 전용" 아님).

솔루션

해당 테넌트에 사용으로 설정된 조건부 액세스 정책(CAP)이 있어야 하며, 이 정책으로 위험한 로그인 상황의 모든 사용자를 다루고 MFA를 요청해야 합니다.

그러려면 다음과 같은 방법으로 CAP를 만들면 됩니다.

  • "조건 > 로그인 위험"을 이 Microsoft 가이드 에 명시된 대로 사용해 기존 CAP에서 이 조건을 구성하고 이 위험 노출 지표의 설명에 지정된 설정을 적용합니다.
  • 새 CAP를 만들어 IoE의 설명에 지정된 대로 구성합니다.
  • Microsoft의 "위험한 로그인에 다단계 인증을 필수로 설정" 템플릿을 사용해 새 전용 CAP를 만듭니다. 이 템플릿은 이 위험 노출 지표에 필요한 모든 조건에 부합합니다.

참고: 로그인 위험 조건부 액세스 정책이 사용으로 설정되면 아직 Microsoft Entra 다단계 인증(MFA)에 등록하지 않은 사용자의 위험한 인증을 자동으로 차단하며 로그인할 때 MFA 등록을 제안하지 않습니다. 사용자 차단을 방지하려면 사용자가 미리 MFA 등록을 완료해야 합니다. 관련 IoE "권한 없는 계정의 MFA 누락"과 "권한 있는 계정의 MFA 누락"도 참조하십시오.

로그인 위험 정책은 Microsoft Entra ID Protection에서 직접 구성할 수 있지만, Microsoft에서는 이 기능을 레거시로 간주하며 2026년 10월 1일에 사용 중단할 계획입니다. Microsoft에서는 이미 관리자에게 위험 정책을 조건부 액세스로 마이그레이션하도록 강력히 권고하고 있습니다. 따라서 Tenable에서는 Microsoft Entra ID Protection에서 레거시 위험 정책 사용을 권장하지 않으며, 이 IoE는 해당 정책을 무시합니다.

참고: Microsoft와 Tenable는 모두 테넌트 전반의 계정 잠금과 원치 않는 부작용을 방지하기 위해 특정 계정을 조건부 액세스 정책에서 제외하도록 권장합니다. 또한 Tenable에서는 사용자 본인의 계정이 잠겨 액세스하지 못할 위험을 완화하고 적절한 계획과 변경 관리를 보장하기 위해 Microsoft "조건부 액세스 배포 계획" 설명서를 따를 것을 권장합니다. 특히 Microsoft Entra Connect 또는 Microsoft Entra Cloud Sync와 같은 하이브리드 ID 솔루션을 사용하는 경우, 조건부 액세스 정책을 준수할 수 없기 때문에 서비스 계정을 정책에서 제외해야 합니다. "사용자 제외" 작업을 사용하여 서비스 계정을 직접 제외하거나, "디렉터리 역할" 옵션에 체크 표시한 다음 "디렉터리 동기화 계정" 역할을 선택합니다.

지표 세부 정보

이름: 위험한 로그인에 MFA가 필수가 아님

코드명: MFA-NOT-REQUIRED-FOR-RISKY-SIGN-INS

심각도: High

유형: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 정보: