MFA는 VDI 앞단·IdP·UAG·VPN 중 어디에 붙여야 하는가?

결론을 먼저. MFA는 솔루션 도입이 아니라 적용 위치 결정이다. 같은 솔루션이라도 IdP에 붙일지·UAG에 붙일지·VPN에 붙일지에 따라 보안성·운영·사용자 경험이 다르다. 본 글은 4지점별 적용 가이드를 정리한다.

---

1. "MFA를 도입했다"는 문장이 위험한 이유

공공·연구기관 보안성 검토 위원회에서 가장 자주 듣는 답은 이것이다.

"MFA는 도입했습니다."

이 답이 위험한 이유는 어디에 붙였는지가 빠져 있기 때문이다. 같은 Microsoft Entra ID·라온시큐어 OneAccess라도:

• IdP(Identity Provider)에만 붙였는데 UAG·VPN은 ID/PW만 받는 경우
• UAG에만 붙였는데 내부망 진입은 ID/PW만 받는 경우
• 외부 협력사 VPN에만 붙였는데 직원 재택 접속은 우회되는 경우
• 관리자 콘솔만 강제이고 일반 사용자는 선택인 경우

이 차이가 보안성 검토 결과와 실제 사고 차단력을 갈라놓는다.

---

2. 4지점별 MFA 적용 가이드

2.1 IdP (Identity Provider) — 1순위

적용 위치: Microsoft Entra ID·라온시큐어 OneAccess·Okta 등 SSO·중앙 인증 지점

장점:

• 한 번 적용하면 SSO 통해 거의 모든 앱·서비스에 일괄 적용
• 사용자 경험 일관 — 한 인증 방식으로 모든 시스템 접근
• 관리·감사 단일화

유의 사항:

• 모든 앱이 IdP를 거치는지 반드시 확인 (레거시 앱은 IdP 우회 가능)
• 외부 협력사 등 SSO 미가입 사용자의 별도 흐름 설계
• IdP 장애 시 우회 절차 (보안 감사 기록 포함)

라이선스: Microsoft 365의 보안 기본값으로 기본 MFA 가능. 단, Conditional Access·예외정책·위험 기반 제어는 Entra ID P1/P2 또는 M365 Business Premium/E3/E5 검토 필요. "M365 보유 = 무료 Conditional Access"는 부정확.

2.2 UAG·게이트웨이 — 2순위

적용 위치: VDI/DaaS 외부접속 게이트웨이(VMware UAG·Citrix Gateway·Workspace ONE Access)

장점:

• 외부에서 들어오는 모든 VDI·DaaS 사용자 일괄 통제
• 외부 협력사·재택 사용자 분리 통제 가능
• 게이트웨이 단일 지점 = 운영 복잡도 낮음

유의 사항:

• 인증서 만료 → 외부접속 전체 중단 (90일 사전 알림 운영 필수)
• 게이트웨이 자체 장애 시 우회 경로 결정
• IdP가 별도라면 IdP↔UAG 인증 연동 정합성 확인

2.3 VPN — 3순위

적용 위치: SSL-VPN·IPsec VPN 클라이언트 인증

장점:

• 망분리 환경의 외부 접속에 표준 적용
• 기존 VPN 인프라 그대로 활용 가능

유의 사항:

• 사용자군별 VPN 정책 분리(직원·외부 협력사·임시) 필요
• VPN 우회 경로(VDI 다이렉트 외부접속·SaaS 직접) 차단 정책 확인
• VPN 장애 시 N²SF 운영계획에 우회 절차 명시

2.4 관리자·특권 계정 콘솔 — 별도 강화

적용 위치: AD 관리자·도메인 관리자·시스템 관리자 콘솔·DB 관리자 접근

중요: 일반 사용자보다 훨씬 강한 정책. 다음 중 일부 또는 전부:

• 강제 MFA + Conditional Access (위치·디바이스 제한)
• PAM(Privileged Access Management) — 세션 격리·녹화·승인 워크플로우
• 시간제한 권한 부여 (Just-In-Time)

---

3. 사용자군별 적용 매트릭스

같은 IdP·UAG·VPN이라도 사용자군별로 정책을 분리한다.

사용자군	IdP MFA	UAG MFA	VPN MFA	비고
내부 직원	✓	✓	✓	Conditional Access (디바이스 신뢰도)
외부 협력사	✓	✓	✓	+ 별도 영역 분리 + 시간제한
관리자·특권 계정	✓ + PAM	✓ + 강제	✓ + 강제	+ 세션 녹화
시스템 계정	API 키 + IP 제한	—	—	MFA 미적용, 별도 보호
예외 계정 (장애 우회)	별도 정책	별도 정책	별도 정책	감사 기록 의무

---

4. MFA 장애 우회 절차 — 운영 중단 방지

MFA를 도입한 후 가장 자주 발생하는 사고는 솔루션 자체 장애가 아니라 우회 절차 부재다.

사용자 폰 분실 → MFA 인증 불가 → 업무 중단 → 운영자에게 직접 연락 → 임시 우회 ?

이 흐름이 문서화되지 않으면 위원회에서 지적받는다. 다음을 사전에 정한다.

1. 임시 우회 절차 — 누가 승인하나, 몇 시간 동안 유효한가
2. 감사 기록 — 우회 사실·승인자·시간 의무 기록
3. 재설정 절차 — 폰 교체·재발급 후 신규 등록
4. 장애 시점 통보 — IdP·UAG·VPN 장애 시 운영자·관리자에게 즉시 알림
5. 우회 경로 — 본인 인증 다른 방식(전화·이메일+영상통화 등)

---

5. 자주 받는 질문 5가지

Q1. "M365만 있으면 추가 비용 없이 다 되는 거 아니냐?"

부분적이다. 보안 기본값을 통한 기본 MFA는 가능하나, Conditional Access·예외정책·위험 기반 제어는 P1/P2 또는 Business Premium/E3/E5 검토가 필요하다.

Q2. "라온시큐어 vs Microsoft Entra 어느 게 좋은가?"

상황에 따라 다르다. 행정 전자서명(GPKI/NPKI) 기반 공공기관·금융기관은 라온시큐어 OneAccess가 표준. M365 도입 기관은 Entra가 자연스럽다. 둘 혼용도 가능 — 사용자군별로 분리.

Q3. "VDI 앞단(broker 또는 UAG) 한 곳만 MFA 붙이면 되지 않는가?"

VDI 사용자만 보호된다. SaaS·Webmail·Wifi·VPN 등 다른 진입점이 IdP 거치지 않으면 우회된다. 최소 IdP + UAG, 가능하면 VPN까지.

Q4. "MFA 장애로 업무 중단 우려가 큰데 도입을 미뤄야 하나?"

미루기보다 우회 절차를 먼저 설계한다. 5번 섹션의 우회 절차가 명문화되면 보안성 검토와 운영 안정성을 동시에 만족.

Q5. "외부 협력사용 영역만 MFA 붙이면 되나?"

가장 시급하지만 충분하지 않다. 보안성 검토 위원회는 전체 적용 매트릭스를 본다. 외부 협력사 우선 + 내부·관리자는 단계적 적용 계획을 함께 제출.

---

6. 다음 단계

자가 점검부터 시작:

• N²SF 정렬 자가 진단 (7분, 무료)
• N²SF 사전진단 체크리스트 PDF
• MFA QuickStart 상품 안내

1차 인터뷰가 필요하면 — jhw@mlkit.co.kr / 평일 1영업일 내 회신.