MFA 적용 위치 설계 — VDI·관리자·외부 협력사·예외 계정 분리

고객 유형

공공기관 (정보화·정보보호 담당자 + 외부 협력사 다수)

기존 환경

• 인증: ID/PW 단일 (관리자도 동일)
• VDI 진입: ID/PW + 일부 OTP
• 외부 협력사: VPN + 별도 계정 (정책 분리 부족)
• M365 도입: 일부 부서만, Entra ID 라이선스 검토 부재

문제

• 관리자·특권 계정이 일반 사용자와 동일 인증 정책 → 보안성 검토 약점
• 외부 협력사 접근에 MFA 미적용 — 보안 사고 위험 + 위원회 지적 우려
• "M365 보유 = MFA 무료"라는 잘못된 인식으로 라이선스 검토 누락
• MFA 장애 시 운영 중단 시나리오 없음

수행 범위

• 사용자군별 인증 흐름도 작성 (내부 직원·외부 협력사·관리자·시스템 계정·예외 계정)
• Entra ID P1/P2 vs M365 Business Premium/E3/E5 라이선스 비교 검토
• Conditional Access·예외정책·위험 기반 제어 적용 범위 설계
• MFA 장애 시 우회 절차 + 감사 기록 정책 신설
• PoC 체크리스트 작성

산출물

• 사용자군별 인증 흐름도 (5개 군 × 정상/예외/장애)
• Entra ID 라이선스 비교 표 (P1·P2·Business Premium·E3·E5)
• Conditional Access 정책 매트릭스
• MFA 장애 우회 절차 (운영 중단 방지)
• 관리자·특권 계정 보호 정책 (PAM·세션 격리 검토)
• PoC 체크리스트 (도입 전 검증 항목)

결과

• 라이선스 검토 결과 Entra ID P1로 시작 → 위험 기반 제어 추가 시 P2 검토
• 외부 협력사·관리자에 우선 MFA 적용 → 보안성 검토 위원회 1차 통과
• 장애 우회 절차 마련 → MFA 도입 시 운영 중단 우려 해소
• M365 라이선스 추가 검토로 정확한 비용 산정

비공개 처리 범위

• 기관명·외부 협력사 수·라이선스 결정·실제 적용 일자는 비공개
• 사용자군별 정책 형식만 공개

---

본 사례에 대한 상담은 — jhw@mlkit.co.kr / 평일 1영업일 내 회신.