OWA(Outlook Web Access) 로그인을 위한 다중 인증 적용방안

웹용 Outlook 또는 OWA(Outlook Web Access)는 온-프레미스 전자 메일 및 작업 관리 응용 프로그램인 Microsoft Outlook에 대응하는 브라우저 기반이다.

 

엔터프라이즈 사용자가 웹 브라우저에서 직접 Microsoft Exchange의 전자 메일, 일정, 작업 및 연락처에 액세스할 수 있도록 하는 솔루션에서는 OWA에 대한 로그인 보안이 매우 중요하다.

 

기존 사용자 이름 및 암호 기반 인증 프로세스는 충분히 안전한 것으로 간주되지 않는다.

 

사용자의 OWA 인터페이스에 대한 무단 액세스는 민감한 비즈니스 정보와 사용자 간의 기밀 이메일 서신이 노출될 위험이 있다.

 

보안 외신 SC미디어에 의하면 중국 APT 단체가 MS 클라우드 이메일 계정 공격을 실시하고 있고, MS가 나서서 이런 공격을 차단하고 있다고 한다.

 

 

MS는 문제의 APT 단체를 스톰0558(Storm-0558)로 부르고 있으며, "주로 서방 국가의 정부 기관들을 공략해 중요 정보를 빼돌린다"고 설명하고 있다.

 

이 때문에 미국의 사이버 보안 전담 기관인 CISA는 "사회 기반 시설 분야 기업들은 MS 익스체인지 환경에 대한 모니터링을 강화하라"는 권고를 전달하기도 했다. 현재까지 스톰0558이 침투에 성공한 조직은 25개 정도 되는 것으로 보인다.

 

MS의 익스체인지와 아웃룩 환경은 정부의 지원을 받는 APT 단체들이 공격하기를 즐기는 표적이다.

 

이메일로 많은 정보가 교류되기 때문이다. 익스체인지와 아웃룩에서는 제로데이도 적잖이 발견되고 익스플로잇 되는 편이다.

 

따라서 MS가 기본으로 제공하는 이메일 보안 장치에만 의존해서는 충분하지 않으며, 다중 인증(MFA)를 적용해야 한다고 전문가들은 말한다.

 

"정부 지원을 받는 해커들의 공격을 방어한다는 건 상당히 어려운 일입니다. 어느 순간 뚫릴 수밖에 없습니다. 뚫렸다는 가정 하에 방어력을 갖추고 감시 활동을 펼치는 게 효과적입니다."-딜리니아(Delinea)-

 

 

 

1. ADSelfService Plus로 OWA 로그인 보안

 

효과적인 솔루션은 2단계 인증 또는 다중 인증(MFA)을 통해 추가 인증 수준으로 로그인을 보완하는 것이다.

 

통합 셀프 서비스 암호 관리 및 SSO 솔루션인 ManageEngine의 ADSelfService Plus가 이를 수행한다.

 

이 제품은 기본 사용자 이름 및 암호 외에 추가 인증 단계를 구현하여 OWA 및 Exchange 관리 센터(EAC) 로그인에 대한 MFA를 제공한다.

 

즉, 사용자의 자격 증명이 오용되더라도 강제 MFA 프로세스가 사용자 계정이 손상되는 것을 방지한다.

 

다른 솔루션과 달리 ADSelfService Plus는 2단계 인증만 제공하는 것이 아니라 최대 3개의 추가 인증 요소를 활성화하는 옵션도 포함한다.

 

MFA는 생체 인증, Microsoft Authenticator 및 YubiKey 인증을 포함한 다양한 인증 방법을 통해 달성된다.

 

 

2. OWA 로그인용 MFA는 어떻게 작동하는지?

 

OWA 및 EAC 로그인을 위해 MFA를 구성하려면 Exchange 서버에 ADSelfService Plus의 OWA 커넥터를 설치해야 한다.

 

커넥터는 Exchange 서버와 ADSelfService Plus 간의 중개자 역할을 하여 OWA 및 EAC 로그인 중에 MFA를 활성화한다. 이러한 요구 사항이 충족되면 아래 표시된 프로세스가 수행된다.

 

 

① 사용자가 OWA 또는 EAC에 로그인을 시도한다.

 

② 사용자는 OWA 애플리케이션에서 기본 인증을 완료하라는 메시지를 받는다.

 

③ 이것이 성공하면 OWA 응용 프로그램은 인증 요소를 진행하도록 ADSelfService Plus에 알리는 ADSelfService Plus 커넥터에 요청을 전달한다.

 

④ 사용자가 모든 필수 인증 요소를 성공적으로 완료하면 OWA 또는 EAC에 로그인된다.

 

 

3. 지원되는 인증 방법

 

-Security Questions and Answers

-Email Verification

-SMS Verification

-Google Authenticator

-Microsoft Authenticator

-Duo Security

-RSA SecurID

-RADIUS Authentication

-Push Notification Authentication

-Fingerprint/Face ID Authentication

-QR Code-Based Authentication

-TOTP Authentication

-SAML Authentication

-AD Security Questions

-YubiKey Authentication

-Zoho OneAuth TOTP Authentication

-Smart Card Authentication

-Custom TOTP Authenticator

 

 

4. Active Directory 인증을 위한 RADIUS

 

1) 사용자 신원 확인은 매우 중요하다

 

사용자의 신원을 유지하는 것은 더 스마트하고 안전한 암호를 채택하는 것만큼이나 중요하다. 사용자 ID가 해킹되면 Active Directory 보안의 모든 목적이 실패한다.

 

이미 사용자 신원 인증을 위해 다중 인증자를 배포했지만 보안을 개선하기 위해 더 많은 방법을 채택해야 할 때이다.

 

추가 접근 방식으로 사용자가 Active Directory에 대한 RADIUS 인증을 사용하여 ADSelfService Plus에서 자신의 ID를 확인할 수 있다.

 

2) 간단하고 쉬운 구성

 

RADIUS와 Active Directory 간의 통합을 설정하기만 하면 된다. ADSelfService Plus 관리자 포털에서 다중 인증 아래 RADIUS 인증을 활성화할 수 있다.

 

 

Active Directory에 대한 RADIUS 인증이 활성화되면 사용자는 자동으로 ADSelfService Plus에 등록된다. 유효한 RADIUS 암호로 신원을 확인하여 암호 재설정 및 계정 잠금 해제 작업을 수행할 수 있다.

 

 

 

5. ADSelfService Plus를 선택해야 하는 이유

 

OWA 로그인에 ADSelfService Plus의 MFA를 사용하면 다음과 같은 이점이 있다.

 

1) 사용자 지정 가능하고 세분화된 구성

 

특정 도메인, 그룹 및 조직 단위에 속하는 사용자에 대해 특정 인증 방법 및 인증 요소 수를 활성화한다.

 

2) 실시간 감사 보고서

 

로그온 시간, 사용된 인증 방법, 인증 성공 또는 실패 상태와 같은 정보와 함께 OWA 및 EAC 로그인 시도에 대한 자세한 보고서를 볼 수 있다.

 

3) 총체적 구성

 

MFA를 사용하여 OWA 및 EAC 로그인을 보호하고 Windows, macOS 및 Linux 시스템에 대한 로컬 및 원격 로그인을 보호하고 포괄적인 엔드포인트 보안을 위해 VPN 로그인을 보호한다.

 

4) 규제 준수 달성

 

전자 메일 계정에 액세스하기 위해 MFA를 활성화하도록 권장하는 NIST 및 PCI-DSS와 같은 규제 명령을 준수한다.