MFA 도입 전 점검 7항목

MFA(다요소 인증) 도입은 기술 작업보다 정책 정리와 예외 관리가 더 중요합니다. 도입 후 사용자 컴플레인과 운영 부담을 미리 줄이려면 다음 7가지를 사전에 점검하세요.

1. 보호 대상 시스템 우선순위

• Tier 1 (필수): VDI 진입, 관리자 콘솔, VPN, 금융거래 시스템
• Tier 2 (권장): SaaS(M365, Salesforce, GitHub), 사내 포털
• Tier 3 (선택): 일반 사내 시스템

원칙: 모든 시스템에 한 번에 적용하면 사용자 저항이 큽니다. Tier 1부터 단계적 적용이 안전합니다.

2. 사용자 분류 및 영향도

• 정규직 / 계약직 / 외부 협력사 분류
• 모바일 디바이스 보유 여부 조사 (MFA 푸시·OTP 수신용)
• 모바일 미보유자 대안 (하드웨어 토큰 / 백업 코드) 준비
• 임원·VIP 응대 절차 (긴급 시 우회 정책)

3. 인증 방법 선택

방식	보안성	사용성	비용
Push 알림 (Duo, Entra)	高	高	낮음
OTP 코드 (Google Authenticator)	中	中	무료
SMS 코드	低 (SIM swap 위험)	高	중간
하드웨어 토큰 (YubiKey)	最高	中	高
생체 인증 (FIDO2)	高	高	중간

권장: Push 알림을 기본으로, 모바일 미보유자에게 하드웨어 토큰.

4. 예외·우회 정책

• 회사 내부 네트워크 IP는 MFA 면제할 것인가? (Conditional Access)
• 신뢰 디바이스 등록 시 일정 기간(7~30일) MFA 면제할 것인가?
• 백업 코드 사용 횟수 제한 (월 N회)
• 운영 비상 시 임시 우회 절차 (감사 로그 필수)

주의: 예외가 많으면 MFA 효과가 사라집니다. 예외 사유는 모두 감사 로그로 기록.

5. 사용자 교육·온보딩

• MFA 등록 방법 영상·가이드 (3분 이내)
• 첫 로그인 시 강제 등록 페이지 (Self-Service)
• FAQ: 디바이스 분실·교체 / OTP 오류 / 푸시 미수신 / 시간대 차이
• 헬프데스크 응대 매뉴얼 (계정 잠금 해제 절차)

6. 운영·모니터링

• MFA 인증 실패율 모니터링 (정상 < 5%)
• 비정상 로그인 시도 알림 (지역·시간대·디바이스 이상)
• 월간 MFA 등록률 리포트 (목표 100%)
• 분기별 백업 코드·하드웨어 토큰 회수·갱신

7. 단계별 도입 일정

Week 1~2: 정책 수립·벤더 선정·라이선스 구매
Week 3~4: PoC 환경 구축 (IT팀 우선 적용)
Week 5~6: Tier 1 사용자 적용 (관리자·VIP)
Week 7~10: Tier 2 사용자 단계적 확대 (부서별)
Week 11~12: 전사 적용 + 미등록 사용자 강제 등록
Week 13~: 정기 운영·모니터링·정책 조정

다음 단계

조직 환경에 맞는 MFA 벤더 선정과 도입 일정은 무료 상담을 통해 검토 가능합니다.

MFA 도입 상담 문의 →