인증 방법 설명
ID 플랫폼의 주요 기능 중 하나는 사용자가 디바이스, 애플리케이션 또는 서비스에 로그인할 때 자격 증명을 확인하거나 인증하는 것입니다. Microsoft Entra ID는 다양한 인증 방법을 제공합니다.
암호
암호는 가장 일반적인 인증 형태이지만, 특히 단 하나의 인증 형식만 사용되는 단일 단계 인증에 사용되는 경우 많은 문제가 있습니다. 기억하기 쉬우면 해커가 손상시키기 쉽습니다. 쉽게 해킹하지 못하는 강력한 암호는 기억하기 어렵고 잊어버리면 생산성에 영향을 미칩니다.
암호 사용은 Microsoft Entra ID에서 제공되는 보다 안전한 인증 방법으로 보완되거나 그러한 방법으로 대체되어야 합니다.
전화
Microsoft Entra ID는 전화 기반 인증을 위한 두 가지 옵션을 지원합니다.
SMS 기반 인증. 모바일 디바이스 문자 메시지에 사용되는 SMS(단문 메시지 서비스)를 기본 인증 형식으로 사용할 수 있습니다. SMS 기반 로그인을 사용하면 사용자가 애플리케이션 및 서비스에 액세스하기 위해 사용자 이름과 암호를 몰라도 됩니다. 대신 사용자가 등록된 휴대폰 번호를 입력하고 확인 코드를 포함하는 문자 메시지를 받은 후 로그인 인터페이스에 입력합니다.
사용자는 SSPR(셀프 서비스 암호 재설정) 또는 Microsoft Entra 다단계 인증 과정 중에 보조 인증 형식으로서 휴대폰에서 SMS 문자 메시지를 통해 본인 확인을 진행하도록 선택할 수도 있습니다. 예를 들어 사용자는 SMS 문자 메시지를 사용하여 암호를 보완할 수 있습니다. 확인 코드가 담긴 SMS가 휴대폰 번호로 전송됩니다. 로그인 프로세스를 완료하려면 제공된 확인 코드를 로그인 인터페이스에 입력합니다.
음성 통화 확인. 사용자는 SSPR(셀프 서비스 암호 재설정) 또는 Microsoft Entra 다단계 인증 과정 중에 음성 통화를 보조 인증 형식으로 사용하여 본인 확인을 진행할 수 있습니다. 전화 통화 확인을 사용하면 사용자가 등록한 전화 번호로 자동 음성 통화가 이루어집니다. 로그인 프로세스를 완료하려면 키패드에서 #을 누르라는 메시지가 사용자에게 표시됩니다. 음성 통화는 Microsoft Entra ID에서 기본 인증 형식으로 지원되지 않습니다.
OATH
OATH(Open Authentication)는 TOTP(시간 제약이 있는 일회성 암호) 코드 생성 방법을 지정하는 개방형 표준입니다. 일회성 암호 코드를 사용하여 사용자를 인증할 수 있습니다. OATH TOTP는 코드를 생성하는 소프트웨어 또는 하드웨어를 사용하여 구현할 수 있습니다.
소프트웨어 OATH 토큰은 일반적으로 애플리케이션입니다. Microsoft Entra ID는 앱에 입력되고 각 OTP를 생성하는 데 사용되는 비밀 키 또는 시드를 생성합니다.
OATH TOTP 하드웨어 토큰(퍼블릭 미리 보기에서 지원됨)은 30초 또는 60초마다 새로 고치는 코드를 표시하는 키 fob처럼 보이는 작은 하드웨어 디바이스입니다. OATH TOTP 하드웨어 토큰은 일반적으로 토큰에서 사전 프로그래밍된 비밀 키 또는 시드를 제공합니다. 이러한 키 및 각 토큰과 관련된 기타 정보는 Microsoft Entra ID에 입력된 후 최종 사용자가 사용할 수 있도록 활성화되어야 합니다.
OATH 소프트웨어 및 하드웨어 토큰은 Microsoft Entra ID에서 보조 인증 형식으로만 지원되어 SSPR(셀프 서비스 암호 재설정) 또는 Microsoft Entra 다단계 인증 과정 중에 본인 확인을 위해 사용됩니다.
암호 없는 인증
대부분의 환경에서 최종 목표는 로그인 이벤트의 일부인 암호 사용을 제거하는 것입니다. 암호 없는 인증 방법으로 로그인하는 경우 비즈니스용 Windows Hello 또는 FIDO2 보안 키를 사용하는 생체 인식과 같은 방법을 사용하여 자격 증명이 제공됩니다. 이러한 인증 방법은 공격자가 쉽게 복제할 수 없습니다.
Microsoft Entra ID는 기본적으로 암호 없는 방법을 통해 인증하여 사용자의 로그인 환경을 간소화하고 공격 위험을 줄일 수 있습니다.
다음 동영상에서는 암호 문제 및 암호 없는 인증이 중요한 이유를 설명합니다.
비즈니스용 Windows Hello
비즈니스용 Windows Hello는 디바이스에서 암호를 강력한 2단계 인증으로 대체합니다. 이 2단계 인증은 디바이스에 연결된 키 또는 인증서와 사용자가 알고 있는 항목(PIN) 또는 사용자를 나타내는 항목(생체 인식)의 조합입니다. PIN 항목 및 생체 인식 제스처는 둘 다 프라이빗 키 사용을 트리거하여 ID 공급자에게 전송되는 데이터에 암호화 방식으로 서명하도록 합니다. ID 공급자는 사용자의 ID를 확인하고 사용자를 인증합니다.
비즈니스용 Windows Hello가 자격 증명 도난으로부터 보호하는 데 도움이 되는 이유는 공격자가 디바이스와 생체 인식 정보 또는 PIN을 모두 가지고 있어야 하므로 직원의 지식 없이는 액세스 권한을 얻기가 더 어려워지기 때문입니다.
암호 없는 인증 방법으로서 비즈니스용 Windows Hello는 기본 인증 형식의 역할을 합니다. 또한 비즈니스용 Windows Hello를 보조 인증 형식으로 사용하여 다단계 인증 중에 본인 확인을 진행할 수 있습니다.
FIDO2
FIDO(Fast Identity Online)는 암호 없는 인증을 위한 공개 표준입니다. FIDO를 사용하면 사용자와 조직은 외부 보안 키 또는 디바이스의 기본 제공 플랫폼 키로 해당 리소스에 로그인할 수 있어서 사용자 이름 또는 암호를 사용할 필요가 없습니다.
FIDO2는 웹 인증(WebAuthn) 표준을 통합하는 최신 표준이며 Microsoft Entra ID에서 지원됩니다. FIDO2 보안 키는 모든 폼 팩터로 제공할 수 있으며, 피싱이 불가능한 표준 기반의 암호 없는 인증 방법입니다. FIDO2 보안 키는 일반적으로 USB 디바이스이지만, 단거리 무선 데이터 전송에 사용되는 Bluetooth 또는 NFC(근거리 통신) 기반 디바이스일 수도 있습니다. 인증을 처리하는 하드웨어 디바이스를 사용하면 노출되거나 추측될 수 있는 암호가 없으므로 계정의 보안이 강화됩니다.
FIDO2 보안 키를 사용하면 사용자는 Microsoft Entra ID 또는 Microsoft Entra 하이브리드 조인된 Windows 10 디바이스에 로그인하고 클라우드 및 온-프레미스 리소스에 대해 Single Sign-On을 사용할 수 있습니다. 사용자는 지원되는 브라우저에도 로그인할 수 있습니다. FIDO2 보안 키는 보안이 매우 중요하거나, 휴대폰을 두 번째 인증 단계로 사용하지 않는 시나리오 또는 직원이 있는 기업의 경우 유용한 옵션입니다.
FIDO2는 암호 없는 인증 방법으로 기본 인증 형식의 역할을 합니다. 또한 FIDO2를 보조 인증 형식으로 사용하여 다단계 인증 중에 본인 확인을 진행할 수 있습니다.
Microsoft Authenticator 앱
암호 없는 인증 방법인 Microsoft Authenticator 앱을 기본 인증 형식으로 사용하여 Microsoft Entra 계정에 로그인하거나 SSPR(셀프 서비스 암호 재설정) 또는 Microsoft Entra ID 다단계 인증 이벤트 중에 추가 확인 옵션으로 사용할 수 있습니다.
Microsoft Authenticator를 사용하려면 사용자가 Microsoft Store에서 휴대폰 앱을 다운로드하고 계정을 등록해야 합니다. Microsoft Authenticator는 Android 및 iOS에 사용할 수 있습니다.
암호 없는 로그인을 사용하는 Authenticator 앱은 모든 iOS 또는 Android 휴대폰을 강력한 암호 없는 자격 증명으로 바꿔 놓습니다. Microsoft Entra 계정에 로그인하려면 사용자가 자신의 사용자 이름을 입력하고 화면에 표시된 숫자를 휴대폰의 숫자와 일치시킨 다음 생체 인식 또는 PIN을 사용하여 확인합니다.
사용자가 Authenticator 앱을 ID 확인을 위한 보조 인증 형식으로 선택하는 경우 휴대폰이나 태블릿으로 알림이 푸시됩니다. 알림이 합법적이면 사용자는 승인을 선택하고 그렇지 않으면 거부를 선택합니다.
Authenticator 앱을 소프트웨어 토큰으로 사용하여 OATH 확인 코드를 생성할 수도 있습니다. 사용자 이름 및 암호를 입력한 후 Authenticator 앱에서 제공한 코드를 로그인 인터페이스에 입력합니다. OATH 확인 코드는 SSPR 또는 MFA에 대한 보조 인증 형식을 제공합니다.
인증서 기반 인증
Microsoft Entra ID CBA(인증서 기반 인증)를 사용하면 고객은 사용자가 애플리케이션 및 브라우저 로그인을 위해 Microsoft Entra ID로 바로 X.509 인증서 인증을 진행할 수 있도록 하거나 그러도록 요구할 수 있습니다. CBA는 암호 없는 인증의 기본 형식으로만 지원됩니다.
PKI(공개 키 인프라)의 일부인 X.509 인증서는 ID(개인, 조직, 웹 사이트)를 공개 키에 바인딩하는 디지털 서명된 문서입니다. 자세한 내용은 암호화 개념 설명을 참조하세요.
기본 및 보조 인증
애플리케이션 또는 디바이스에 로그인할 때 일부 인증 방법을 기본 단계로 사용할 수 있습니다. 다른 인증 방법은 Microsoft Entra 다단계 인증 또는 SSPR을 사용하는 경우에 보조 요소로만 사용할 수 있습니다. 각 인증 방법을 설명하는 텍스트에서 해당 정보를 확인할 수 있으며 다음 표에는 로그인 이벤트 중 언제 인증 방법을 사용할 수 있는지 요약되어 있습니다.
