사용자가 피싱 사이트에 패스키를 등록하려 하면 Entra ID의 SignInLogs와 RiskySignins 로그에 도메인 불일치 및 이상 로그인 패턴이 기록된다. 이를 막으려면 조건부 액세스의 위험 기반 신호(Risk-based signals)를 활성화해 고위험 로그인 시도를 원천 차단하는 설정이 가장 효과적이다.
패스키 인증의 기술적 메커니즘과 피싱 위험의 이해
패스키(Passkey)는 FIDO2 표준 기반의 공개 키 암호화 인증 체계다. 기존 비밀번호 인증과 달리 패스키는 웹 브라우저와 운영체제 수준에서 도메인 바인딩(Domain Binding) 검증을 수행한다. 사용자가 접속한 웹사이트 도메인이 패스키 생성 시 등록된 정식 도메인과 일치하는지 확인하는 과정이다. 만약 공격자가 만든 피싱 도메인으로 접속했다면 브라우저 단계에서 인증 요청 자체가 거부되어 계정 탈취를 1차적으로 방어한다.
하지만 정교한 사회 공학적 기법으로 사용자가 신뢰하지 않는 환경에서 패스키 등록을 유도하거나, 인증 세션을 가로채는 중간자 공격(AiTM) 형태의 변종 공격은 여전히 위협적이다. 특히 기업 환경은 다수의 사용자가 다양한 기기를 쓰므로 단일 인증 방식에 의존하기보다 Entra ID 조건부 액세스 정책으로 인증 컨텍스트를 정밀하게 제어해야 한다. 단순한 패스키 도입만으로는 부족하며, 인증 시점의 위험도를 실시간으로 평가하는 체계가 병행되어야 한다.
Entra ID 조건부 액세스 및 패스키 피싱 차단 설정 전략
Entra ID 조건부 액세스는 ‘누가, 어디서, 어떤 기기로, 어떤 앱에’ 접근하는지를 분석해 권한을 결정하는 제로 트러스트 보안의 핵심 엔진이다. 패스키 피싱을 효과적으로 막으려면 단순한 MFA(다요소 인증) 강제를 넘어 신호 기반의 정책을 설계해야 한다. Microsoft Entra ID P2 라이선스에서 제공하는 ‘사용자 위험(User Risk)’과 ‘로그인 위험(Sign-in Risk)’ 기능을 활용하면 평소와 다른 위치나 알려지지 않은 IP의 접근 시도를 자동 탐지해 추가 인증을 요구하거나 접근을 차단할 수 있다.
핵심은 ‘피싱 저항적 MFA(Phishing-resistant MFA)’를 강제 적용하는 것이다. FIDO2 보안 키나 Windows Hello for Business 같은 인증 방법은 피싱 사이트에서 작동하지 않는 강력한 바인딩 특성을 지닌다. 보안 관리자는 조건부 액세스 정책의 [그랜트(Grant)] 설정에서 ‘인증 강도(Authentication Strength)’를 ‘피싱 저항적 MFA’로 지정하면 된다. 이렇게 하면 일반적인 SMS나 OTP 기반 인증 시도는 배제되고 검증된 패스키 기반 인증만 허용하는 환경이 구축된다.
| 구분 | 일반 MFA (SMS, 앱 알림) | 피싱 저항적 MFA (FIDO2 패스키) |
|---|---|---|
| 인증 방식 | 공유 비밀값 기반 전달 | 공개 키 기반 비대칭 암호화 |
| 피싱 대응력 | 중간자 공격(AiTM)에 취약 | 도메인 바인딩으로 피싱 원천 차단 |
| Entra ID 설정 | 기본 MFA 정책 적용 | 조건부 액세스 ‘인증 강도’ 설정 필요 |
| 리스크 탐지 | 로그인 성공 후 사후 분석 | 인증 시도 단계에서 도메인 검증 |
보안 관리자가 반드시 점검해야 할 로그 모니터링 및 대응 절차
패스키 기반의 공격 시도를 확인하려면 Entra ID 로그 시스템을 정밀하게 분석해야 한다. 가장 먼저 SignInLogs에서 ‘Failure’ 상태의 로그 중 인증 방법 불일치나 도메인 검증 실패와 관련된 오류 코드를 추적한다. 또한 RiskySignins 로그를 통해 AI가 탐지한 ‘익명 IP 사용’, ‘불가능한 이동 거리(Impossible Travel)’ 등의 신호가 패스키 인증 시도와 결합되어 나타나는지 확인하는 과정이 필수적이다.
로그 분석 후 대응 절차는 다음과 같다.
- Entra ID 포털의 [모니터링 및 상태] 메뉴에서 SignInLogs에 접속해 특정 기간 내 실패 로그를 필터링한다.
- RiskySignins 탭에서 ‘위험도 높음’으로 분류된 세션을 식별하고, 해당 사용자가 FIDO2를 썼는지 일반 MFA를 썼는지 확인한다.
- 사용자가 피싱 사이트에 패스키 등록을 시도한 정황이 발견되면 즉시 해당 사용자의 모든 세션을 취소(Revoke sessions)하고 비밀번호를 재설정한다.
- 조건부 액세스 정책의 ‘인증 강도’ 설정을 검토해 해당 사용자가 속한 그룹에 더 엄격한 피싱 저항적 MFA 정책을 적용한다.
- 반복적인 공격 패턴이 보이면 특정 국가나 IP 대역을 조건부 액세스의 ‘위치’ 조건 차단 목록에 추가한다.
실무 적용 가이드
Microsoft Entra ID 환경에서 패스키는 매우 강력한 인증 수단이지만, 이를 안전하게 운영하려면 정교한 조건부 액세스 정책 설계가 뒷받침되어야 한다. 단순히 패스키를 도입하는 것에 그치지 않고, 피싱 저항적 MFA 설정으로 인증 강도를 높이며 SignInLogs와 RiskySignins 로그로 상시 모니터링 체계를 구축하는 것이 계정 탈취 위험을 최소화하는 길이다.
IT 보안 담당자는 현재 조직의 MFA 설정이 단순한 ‘승인’ 기반인지, 아니면 하드웨어 및 도메인 바인딩 기반의 ‘피싱 저항적’ 설정인지 즉시 점검해야 한다. 지금 바로 Entra ID 조건부 액세스 정책의 인증 강도 설정을 검토해 조직의 보안 수준을 높이길 바란다.