장치를 조인할 수 있는 사용자

LOW

설명

기본적으로 Microsoft Entra ID는 모든 Entra 사용자에게 자신의 장치를 테넌트에 Microsoft Entra 조인된 장치로 등록할 권한을 부여합니다. 사용자는 Microsoft Entra에 장치를 조인할 수 있음이라는 이 설정으로 인해 로그인한 모든 사용자가 조인 프로세스를 완료할 수 있습니다. 위협 행위자가 일반 사용자 계정을 침해하면 이 워크플로를 악용하여 완전히 그들의 통제하에 있는 비정상적인 워크스테이션을 등록할 수 있습니다. 그러면 해당 장치는 소유자 명의가 침해 피해자인 상태로 Entra ID에 표시되고, 그 사용자의 기본 모바일 장치 관리(MDM) 정책을 상속하며, 이러한 환경 내에서 공격자에게 지속적이고 신뢰할 수 있는 기반을 제공하게 됩니다.

장치 조인은 다단계 인증(MFA)과 같은 추가적인 검사를 트리거할 수 있지만, 등록할 때 기본적인 필수 요구 사항은 아닙니다. 공격자가 비밀번호를 탈취하기만 하면 어디서든 장치를 등록할 수 있음을 의미합니다. Microsoft Intune 또는 조건부 액세스 정책에 구성 오류가 있는 경우, 비정상적인 장치가 자동으로 규정 준수로 표시될 수 있으며, 이에 따라 액세스 조건을 충족하여 추가적인 인증 요구를 받지 않을 수 있습니다. 규정 준수로 표시되면 공격자에게 MFA 프롬프트가 한 번도 표시되지 않고 Entra ID 인증을 통해 클라우드 리소스에 은밀하게 액세스할 수 있습니다.

Microsoft의 인시던트 대응팀에서 정리한 실제 침해 기록을 보면 피싱된 계정을 사용해 비정상적인 장치를 조인하고, 잘못 구성된 규정 준수 검사를 우회한 다음 Microsoft 365 사서함에서 중요한 데이터를 유출한 사례가 있었습니다. 이러한 사례를 통해 과도한 권한이 부여된 장치 조인 설정으로 인해 계정 하나가 침해되면 블래스트 반경이 대폭 넓어질 수 있다는 점을 알 수 있습니다.

또한 이런 과도한 권한 설정은 직원이 자유롭게 개인용 Windows 및 macOS 장치("Bring Your Own Device", 즉 BYOD)를 등록할 수 있게 하여 조직의 장치 인벤토리가 부풀려지고 관리되지 않는 스프롤 중에서 악성 장치 또는 권한 없는 장치를 발견하기가 더 어려워집니다.

기본적으로 각 사용자는 장치를 최대 50개까지 등록할 수 있습니다. 따라서 계정이 하나만 침해되어도 알림을 트리거하지 않고 공격자가 제어하는 수십 개의 엔드포인트를 호스팅할 수 있습니다. 이러한 사용자 기반 조인은 Windows Autopilot 자체 배포 모드와 같은 안전한 프로비저닝 흐름을 벗어나, 하드웨어 증명과 같이 조건부 액세스가 장치 트러스트를 확인할 때 의존하는 기타 온보딩 안전장치를 우회하여 실행합니다.

솔루션

"장치 설정 > Microsoft Entra 조인 및 등록 설정" 아래에서 사용자는 Microsoft Entra에 장치를 조인할 수 있으므로 기본 설정을 사용하면 모든 사용자가 Entra ID에 장치를 추가할 수 있습니다.

이러한 문제를 완화하려면 먼저 Microsoft Entra 조인을 수행할 수 있는 사용자를 제한해야 합니다. "사용자는 Microsoft Entra에 장치를 조인할 수 있음"을 "없음"으로 설정하거나, 온보딩/헬프데스크 담당자 또는 장치 관리 스태프로만 구성한 엄격하게 통제된 관리 그룹으로 제한합니다.

이러한 컨트롤을 "장치 등록 또는 조인" 사용자 작업을 타게팅하는 조건부 액세스 정책으로 보완합니다. 해당 정책을 모든 장치 조인 이벤트에 대하여 다단계 인증 필수로 설정합니다. 또한 조건부 액세스를 권장 사항대로 구성하는 경우 "장치 설정" 패널에서 "Microsoft Entra에 장치를 등록 또는 조인하려면 다단계 인증 필수" 토글을 사용 중지("아니요"로 설정)하여 조건부 액세스 정책이 권한 있는 제어 기능을 수행하도록 합니다.

마지막으로, 지속적인 모니터링을 구현합니다. 장치 조인 감사 이벤트를 사용 설정하고, 비정상적인 등록 패턴에 대한 알림을 설정하며, 장치 설정을 읽고 수정할 수 있는 사용자를 클라우드 장치 관리자 Entra 역할로 제한하는 엄격한 운영 제어를 적용합니다.

지표 세부 정보

이름: 장치를 조인할 수 있는 사용자

코드명: USERS-ALLOWED-TO-JOIN-DEVICES

심각도: Low

유형: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 정보: