오늘은 좋은 소식을 여러분과 함께 나누고 싶습니다. Microsoft가 비전의 완성도와 액세스 관리 시장에서의 실행 능력을 바탕으로 2018년 Gartner Magic Quadrant 전 세계 액세스 관리 부문에서 2년 연속 Leaders Quadrant에 선정되었습니다. 여기에서 무료로 제공되는 보고서 복사본을 통해 이유를 확인해 볼 수 있습니다.

Gartner에 따르면 Leaders에 선정된 업체는 기술이나 방법론, 전달 수단에 관한 예상 요구 사항에 대해 확실한 실행의 증거를 보여주었습니다. 관련된 제품 또는 인접한 제품 모음에서 액세스 관리가 특정 역할을 수행하는 방식에 관한 증거도 보여주었습니다.

Leaders Quadrant에서 비전의 완성도가 가장 높은 리더

Microsoft는 2년 연속으로 Leaders Quadrant에서 비전의 완성도가 가장 높은 리더로 선정되었습니다. 또한 Microsoft의 실행 능력 향상은 현재 상태의 기업을 지원하면서 향후 ID 요구에 기업이 대비할 수 있도록 전략을 실행하는 것이 매우 중요함을 보여주는 것이라고 생각합니다.

Microsoft에서는 세계 최고 수준의 ID 및 액세스 관리 솔루션에 요구되는 중요한 기능인 ID에 대한 조건부 액세스 정책과 위협 방지를 위해 노력하고 있습니다. Microsoft는 Windows 10, Office 365, EMS로 구성된, 다양한 기능을 갖춘 에코시스템의 일부로, 여러 제품의 보안 정책을 통합하여 전체 사용자 환경에 대한 가시성과 제어 기능을 제공하기 위해 노력해왔습니다. 또한, 올해에는 고객의 인사이트와 피드백을 받아 환경을 개선하고 손쉽게 사용자의 모든 ID를 한 곳에 모을 수 있도록 했습니다. Microsoft는 여러분의 직원, 파트너, 고객을 위한 혁신적이고 포괄적인 ID 및 액세스 관리 솔루션을 제공하기 위해 최선을 다하고 있습니다.

고객 및 파트너의 조언과 지원이 없었다면 Microsoft가 이 분야의 리더 자리를 지키지 못했을 것입니다.

감사합니다.

Alex Simons(Twitter: @Alex_A_Simons)

프로그램 관리 부문 이사

Microsoft Identity Division

중요:

위 그림은 Gartner, Inc.에서 발표한 리서치 문서의 일부분이므로 전체 문서 맥락에서 평가해야 합니다. Gartner 문서는 요청 시 Microsoft에서 제공해드립니다.

Gartner는 자사에서 발표하는 연구 결과에서 언급된 업체, 제품 또는 서비스를 보증하지 않으며, 기술 사용자들이 평점이 가장 높거나 그 밖의 평가를 받은 업체만을 선정하도록 조언하지 않습니다. Gartner에서 발행하는 연구 결과는 Gartner 연구 조직의 의견으로 구성되며, 사실에 대한 진술로 해석될 수 없습니다. Gartner는 본 연구 결과와 관련하여 상품성, 특정 목적에의 적합성에 대한 보증을 비롯해 일체의 명시적 또는 묵시적 보증을 부인합니다.

The post 비전 및 실행: Gartner MQ 액세스 관리 부문 리더로 또다시 선정된 Microsoft appeared first on Microsoft 365 Blog.

암호를 사용하는 한, 우리는 암호를 추측해 본 적이 있습니다. 이 블로그에서는 최근 들어 훨씬 더 자주 발생하는 일반적인 공격과 이를 방어하기 위한 몇 가지 모범 사례에 대해 이야기하겠습니다. 이 공격을 흔히 암호 스프레이라고 합니다.

암호 스프레이 공격에서 공격자는 다양한 계정 및 서비스에서 가장 흔히 사용되는 암호를 시도하여 자신이 찾은 암호로 보호되는 자산에 액세스합니다. 일반적으로 이러한 자산에는 다양한 조직 ID 공급자가 포함됩니다. 예를 들어 공격자는 일반적으로 사용 가능한 도구 키트(예: Mailsniper)를 사용하여 일부 조직의 모든 사용자를 열거한 후 이 모든 계정에 “P@$$w0rd” 및 “Password1”을 시도합니다. 다음과 같은 공격을 예로 들겠습니다.

이 공격 패턴은 대부분의 검색 기술을 회피합니다. 왜냐하면 개별 사용자나 회사의 시점에서 볼 때 공격은 단순히 단일 로그인 실패처럼 보이기 때문입니다.

이것은 공격자에게 숫자 게임입니다. 공격자는 일부 아주 흔한 암호가 실제로 사용되고 있음을 알고 있습니다. 이러한 가장 흔한 암호가 차지하는 비율은 계정의 0.5~1.0%뿐이지만, 공격자가 수천 개의 계정을 공격하면 그중 몇 번은 성공하며 이 정도로 충분히 효율적입니다.

공격한 계정을 사용하여 전자 메일에서 데이터를 가져오거나, 연락처 정보를 수집하거나, 피싱 링크를 전송하거나, 암호 스프레이 대상 그룹을 확장합니다. 공격자는 이러한 최초 대상이 누구인지에 대해서는 별로 신경을 쓰지 않습니다. 공격에 일부 성공하여 이를 활용할 수 있으면 됩니다.

좋은 소식은 Microsoft가 이런 공격을 무력화하는 다양한 도구를 이미 구현하여 제공하고 있을 뿐 아니라 앞으로도 더 많은 기능을 제공한다는 점입니다. 블로그를 계속 읽어, 암호 스프레이 공격을 중지하기 위해 현재 및 앞으로 몇 개월 내에 할 수 있는 일을 확인하세요.

암호 스프레이 공격을 중단하는 손쉬운 4단계

1단계: 클라우드 인증 사용

클라우드에서 매일 수십억 건에 달하는 Microsoft 시스템 로그인이 확인됩니다. Microsoft는 보안 검색 알고리즘을 통해 공격이 발생할 때 이를 검색하고 차단할 수 있습니다. 이는 클라우드에서 구동하는 실시간 검색 및 보호 시스템이므로 클라우드에서 Azure AD 인증(통과 인증 포함)을 수행할 때만 사용 가능합니다.

스마트 잠금

Microsoft는 클라우드에서 스마트 잠금을 사용하여 유효 사용자처럼 보이는 로그인 시도와 공격자일 수도 있는 로그인 시도를 구별합니다. 공격자가 진입하지 못하게 잠그고 유효 사용자가 계속해서 계정을 사용할 수 있게 허용할 수 있습니다. 이렇게 하면 사용자에 대한 서비스 거부 공격을 방지하고 열성적인 암호 스프레이 공격을 중지합니다. 이 기능은 라이선스 수준 로그인이든 모든 Microsoft 계정 로그인이든 상관없이 모든 Azure AD 로그인에 적용됩니다.

ADFS(Active Directory Federation Services)를 사용 중인 테넌트는 2018년 3월부터 Windows Server 2016의 ADFS에서 스마트 잠금을 기본적으로 사용할 수 있습니다. Windows 업데이트를 통해 제공되는 이 기능을 받아 보세요.

IP 잠금

IP 잠금은 수십억 건의 로그인을 분석함으로써 각 IP 주소에서 전송되어 Microsoft의 시스템에 도달하는 트래픽의 품질을 평가하는 방식으로 작동합니다. 이 분석에서 IP 잠금은 악의적으로 활동하는 IP 주소를 찾아 이러한 로그인을 실시간으로 차단합니다.

공격 시뮬레이션

현재 공개 미리 보기로 사용 가능한 공격 시뮬레이터는 Office 365 위협 인텔리전스의 일부이며, 고객은 이 시뮬레이터를 사용하여 자체 최종 사용자에게 시뮬레이션 공격을 개시하여 공격 발생 시 사용자의 행동 방식을 확인한 후 정책을 업데이트하고 암호 스프레이 공격 같은 위협으로부터 조직을 보호할 적절한 보안 도구를 마련할 수 있습니다.

최대한 빨리 수행하도록 권장해 드리는 사항은 다음과 같습니다.

1. 클라우드 인증을 사용 중인 경우는 보호됩니다.
2. ADFS 또는 다른 하이브리드 시나리오를 사용 중인 경우는 2018년 3월 ADFS 업그레이드를 통해 스마트 잠금을 구합니다.
3. 공격 시뮬레이터를 사용하여 보안 태세를 사전에 평가하고 조정합니다.

2단계: 다단계 인증 사용

암호는 계정에 액세스하는 열쇠지만, 성공적인 암호 스프레이 공격에서 공격자는 올바른 암호를 추측했습니다. 이런 공격을 막으려면 계정 소유자와 공격자를 구별할 수 있도록 암호 이상의 무언가를 사용해야 합니다. 이를 위한 3가지 방법은 다음과 같습니다.

위험 기반 다단계 인증

Azure AD ID 보호는 위에서 말한 로그인 데이터를 사용하고 고급 기계 학습 및 알고리즘 검색을 추가하여 시스템에 진입하는 모든 로그인에 위험 점수를 매깁니다. 이를 통해 엔터프라이즈 고객은 사용자나 세션에 위험이 검색된 경우에만 사용자에게 두 번째 단계를 사용해 인증하도록 만드는 정책을 ID 보호에서 작성할 수 있습니다. 이런 방식은 사용자에게 주는 부담을 줄이고 공격자의 진입 경로를 차단합니다. 여기에서 Azure AD ID 보호에 대해 자세히 알아보세요.

상시 다단계 인증

보안을 더욱 강화하기 위해 Azure MFA를 사용하여 클라우드 인증과 ADFS에서 사용자에게 항상 다단계 인증을 요구할 수 있습니다. 이렇게 하면 최종 사용자에게 자체 디바이스를 항상 가지고 있도록 요구하고 다단계 인증을 더 자주 수행하도록 요구하는 동시에 엔터프라이즈에 최대한의 보안을 제공합니다. 이를 조직의 모든 관리자에게 사용하도록 해야 합니다. 여기에서 Azure Multi-Factor Authentication에 대해 자세히 알아보고 ADFS용으로 Azure MFA를 구성하는 방법을 확인하세요.

Azure MFA를 기본 인증으로

ADFS 2016에서는 암호 없는 인증을 위한 기본 인증으로 Azure MFA를 사용할 수 있습니다. 이는 암호 스프레이 공격 및 암호 도난 공격으로부터 보호할 수 있는 훌륭한 도구입니다. 암호가 없으면 추측할 수도 없으니까요. 다양한 폼 팩터를 가진 모든 유형의 디바이스에 아주 효과가 있는 방법입니다. 뿐만 아니라, Azure MFA에서 OTP의 유효성 검증을 거친 후에만 암호를 두 번째 단계로 사용할 수도 있습니다. 암호를 두 번째 단계로 사용하는 방법에 대해서는 여기에서 자세히 알아보세요.

최대한 빨리 수행하도록 권장해 드리는 사항은 다음과 같습니다.

1. 조직의 모든 관리자에게, 특히 구독 소유자 및 테넌트 관리자에게 상시 다단계 인증을 설정하게 하는 것이 좋습니다. 지금 바로 이렇게 하실 것을 강력히 권합니다.
2. 이외의 다른 사용자를 위한 최고의 환경을 위해 위험 기반 다단계 인증을 권장합니다. 이 인증은 Azure AD Premium P2 라이선스에 포함되어 있습니다.
3. 또는 클라우드 인증 및 ADFS에 Azure MFA를 사용합니다.
4. ADFS를 Windows Server 2016의 ADFS로 업그레이드하여 특히 모든 엑스트라넷 액세스에 대해 Azure MFA를 기본 인증으로 사용합니다.

3단계: 모두를 위한 더 좋은 암호

위에서 설명한 모든 사항에도 불구하고, 암호 스프레이를 방어하는 핵심 구성 요소는 모든 사용자가 추측하기 어려운 암호를 사용하는 것입니다. 많은 경우, 사용자는 추측이 어려운 암호를 만드는 방법을 잘 모릅니다. Microsoft는 다음과 같은 도구를 통해 이를 지원합니다.

금지된 암호

Azure AD에서 모든 암호 변경 및 재설정은 금지된 암호 검사기의 확인을 거칩니다. 새 암호가 제출되면 암호에 절대 사용해서는 안 되는(그리고 l33t-sp3@k 철자법이 효과가 없는) 단어의 목록과 대조하여 유사 항목 일치 검사가 진행됩니다. 유사 항목이 발견되면 새 암호가 거부되고, 사용자는 추측하기 더 어려운 암호를 선택하라는 요구를 받습니다. Microsoft는 가장 흔히 공격을 받는 암호의 목록을 작성하고 자주 업데이트합니다.

사용자 지정 금지된 암호

금지된 암호를 더 효과적으로 만들기 위해 Microsoft는 테넌트에서 금지된 암호 목록을 사용자 지정할 수 있게 만들 예정입니다. 관리자는 잘 알려진 직원이나 창립자, 제품, 위치, 지역 아이콘 등 조직에서 흔히 사용되는 단어를 선택하여 이 단어를 사용자 암호에 사용하는 것을 방지할 수 있습니다. 이 목록은 전역 목록에 더하여 적용되므로, 이 목록과 전역 목록 중에서 선택할 필요가 없습니다. 이 기능은 현재 제한된 미리 보기 상태이며 올해 배포할 예정입니다.

온-프레미스 변경에 금지된 암호

이번 봄에 Microsoft는 엔터프라이즈 관리자가 하이브리드 Azure AD-Active Directory 환경에서 암호를 금지할 수 있도록 지원하는 도구를 출시합니다. 금지된 암호 목록이 클라우드에서 온-프레미스 환경으로 동기화되고 에이전트를 사용해 모든 도메인 컨트롤러에 적용됩니다. 그러면 사용자가 클라우드나 온-프레미스 등 어느 위치에서든 암호를 변경할 때 관리자는 추측하기 더 어려운 새 암호인지 손쉽게 확인할 수 있습니다. 이 기능은 2018년 2월에 제한된 미리 보기로 시작되었으며 올해 GA로 전환될 예정입니다.

암호에 대한 사고 방식 변화

좋은 암호를 만드는 조건에 대해 흔히 가지고 있는 생각 중 상당 부분이 잘못되었습니다. 일반적으로 수학적으로 효과가 있는 무언가가 실제로 예측 가능한 사용자 행동으로 이어집니다. 예를 들어 특정 문자 형식과 정기적인 암호 변경을 모두 요구하면 특정 암호 패턴이 생깁니다. 자세한 내용은 Microsoft 암호 지침 백서를 읽어 보세요. PTA 또는 ADFS와 함께 Active Directory를 사용 중인 경우 암호 정책을 업데이트하세요. 클라우드에서 관리되는 계정을 사용 중인 경우 만료하지 않는 암호를 설정하는 것도 고려해 보세요.

최대한 빨리 수행하도록 권장해 드리는 사항은 다음과 같습니다.

1. Microsoft 금지된 암호 도구가 출시되면 이 도구를 온-프레미스에 설치하여 사용자가 더 나은 암호를 생성하도록 지원합니다.
2. 암호 정책을 검토하고 사용자가 계절 패턴을 사용하여 암호를 만들지 않도록 만료 없는 암호를 설정할 것을 고려합니다.

4단계: ADFS 및 Active Directory의 더 많은 멋진 기능

ADFS 및 Active Directory에서 하이브리드 인증을 사용 중인 경우 암호 스프레이 공격에 대항하여 환경을 보호하기 위해 취할 수 있는 더 많은 조치가 있습니다.

첫 단계로, ADFS 2.0 또는 Windows Server 2012를 실행 중인 조직은 최대한 빨리 Windows Server 2016의 ADFS로 이전할 계획을 세웁니다. 최신 버전은 더 빨리 업데이트되어 엑스트라넷 잠금과 같은 풍부한 기능을 포함하게 됩니다. Windows Server 2012R2에서 2016으로 업그레이드하기가 아주 쉬워졌다는 점을 기억하세요.

엑스트라넷에서 레거시 인증 차단

레거시 인증 프로토콜은 MFA를 적용할 수 없으므로, 가장 좋은 접근 방식은 엑스트라넷에서 레거시 인증을 차단하는 것입니다. 그러면 암호 스프레이 공격자가 MFA 없는 이 프로토콜의 특징을 악용할 수 없게 됩니다.

ADFS 웹 응용 프로그램 프록시 엑스트라넷 잠금 사용

ADFS 웹 응용 프로그램 프록시에 엑스트라넷 잠금이 없는 경우 최대한 빨리 사용 설정하여 잠재적인 무차별 암호 대입 공격(brute force attack)에서 사용자를 보호해야 합니다.

ADFS용 Azure AD Connect Health 배포

Azure AD Connect Health는 잘못된 사용자 이름/암호 요청을 발견하기 위해 ADFS 로그에 기록된 IP 주소를 캡처하고, 다양한 시나리오에 대한 추가 보고를 제공하며, 기술 지원 사례를 여는 엔지니어를 지원하는 더 많은 인사이트를 제공합니다.

배포하려면 최신 버전의 ADFS용 Azure AD Connect Health 에이전트를 모든 ADFS 서버(2.6.491.0)에 다운로드합니다. ADFS 서버는 Windows Server 2012 R2(KB 3134222 설치 포함) 또는 Windows Server 2016을 실행해야 합니다.

암호에 기반하지 않은 액세스 방법 사용

암호가 없다면 암호를 추측할 수 없습니다. 암호에 기반하지 않은 인증 방법은 ADFS 및 웹 응용 프로그램 프록시에 사용할 수 있습니다.

1. 인증서 기반 인증은 사용자 이름/암호 끝점이 방화벽에서 완전히 차단되도록 합니다. ADFS의 인증서 기반 인증에 대해 자세히 알아보세요.
2. Azure MFA는 위에서 언급한 것처럼 클라우드 인증과 ADFS 2012 R2 및 2016에서 두 번째 단계로 사용할 수 있습니다. 하지만 ADFS 2016에서 기본 단계로도 사용하여 암호 스프레이의 가능성을 완전히 중단할 수 있습니다. ADFS에서 Azure MFA를 구성하는 방법을 여기에서 알아보세요.
3. Windows 10에서 사용할 수 있으며 Windows Server 2016의 ADFS에서 지원되는 비즈니스용 Windows Hello는 사용자와 디바이스에 모두 연결되어 있는 강력한 암호화 키를 기반으로 완전히 암호 없는 액세스(예: 엑스트라넷에서 액세스)를 가능하게 합니다. 이 기능은 Azure AD에 가입되었거나 Hybrid Azure AD에 가입된 회사 관리 디바이스 및 개인 디바이스에 사용할 수 있으며 설정 앱에서 “회사 또는 학교 계정 추가”를 통해 사용 설정할 수 있습니다. 비즈니스용 Windows Hello에 대해 자세히 알아보세요.

최대한 빨리 수행하도록 권장해 드리는 사항은 다음과 같습니다.

1. 더 빠른 업데이트를 위해 ADFS 2016으로 업그레이드합니다.
2. 엑스트라넷에서 레거시 인증을 차단합니다.
3. 모든 ADFS 서버에서 ADFS용 Azure AD Connect Health 에이전트를 배포합니다.
4. Azure MFA, 인증서, 비즈니스용 Windows Hello와 같은 암호 없는 기본 인증 방법을 사용할 것을 고려합니다.

추가 사항: Microsoft 계정 보호

Microsoft 계정 사용자인 경우:

• 이미 보호되고 있으므로 안심하세요! Microsoft 계정에는 또한 스마트 잠금, IP 잠금, 위험 기반 2단계 인증, 금지된 암호 등이 포함되어 있습니다.
• 하지만 2분 정도 시간을 내서 Microsoft 계정 보안 페이지로 이동하여 “보안 정보 업데이트”를 선택한 후 위험 시반 2단계 인증에 사용되는 보안 정보를 검토하세요.
• 여기로 이동하여 상시 2단계 인증을 켜서 가능한 최고의 보안을 계정에 제공할 수도 있습니다.

최고의 방어는 이 블로그의 권장 사항을 준수하는 것

암호 스프레이는 인터넷에서 암호를 사용하는 모든 서비스에게 심각한 위협입니다. 하지만 이 블로그에 나온 조치를 취하면 이 공격 벡터에 대항하여 최대한으로 보호받을 수 있습니다. 그리고 많은 종류의 공격이 비슷한 특성을 공유하고 있으므로, 이 조치는 좋은 보호 제안 사항입니다. 고객의 보안은 항상 Microsoft의 최고의 우선 순위이며, Microsoft는 암호 스프레이 및 다른 모든 유형의 공격을 막는 새로운 고급 보호를 개발하기 위해 끊임없이 노력하고 있습니다. 위에서 제안한 조치를 지금 수행하고 인터넷의 공격자로부터 방어할 수 있는 새 도구를 자주 확인하세요.

이 정보가 유용하기를 바랍니다. 늘 그렇듯이, 여러분의 피드백이나 제안을 기다리고 있습니다.

감사합니다.

Alex Simons(Twitter: @Alex_A_Simons)

프로그램 관리 부문 이사

Microsoft Identity Division

The post Azure AD 및 ADFS 모범 사례: 암호 스프레이 공격에 대항한 방어 appeared first on Microsoft 365 Blog.

오늘의 게시물이 제가 느낀 것만큼 흥미로운 글이 되기를 바랍니다. 약간 생각해 가며 읽으면 좋은 이번 게시물은 디지털 ID의 미래에 대한 흥미로운 비전을 소개합니다.

지난 12개월에 걸쳐 Microsoft는 개인 정보 보호, 보안, 제어를 개선할 수 있도록 처음부터 설계한 ID인 새로운 유형의 디지털 ID를 만들기 위해 블록체인(및 다른 분산 원장 기술)을 사용할 일련의 아이디어를 배양하는 데 투자했습니다. 이 과정에서 형성한 새로운 파트너십과 습득하게 된 내용에 대해 상당히 기대하고 있습니다. 오늘은 Microsoft의 생각과 방향을 공유하는 기회를 가지고 싶습니다. 이 블로그는 시리즈의 일부로서 ID2020 이니셔티브 참여를 발표한 블로그 게시물(Peggy Johnson)의 후속입니다. Peggy의 게시물을 아직 읽지 않았다면 먼저 읽어 보시는 것이 좋습니다.

제 팀에서 이러한 아이디어 배양을 이끄는 PM인 Ankur Patel에게 분산형 디지털 ID에 대한 논의를 열어 줄 것을 요청했습니다. Ankur의 게시물에서는 알게 된 일부 핵심 사항 및 이러한 사항에 기반하여 Microsoft가 앞으로 이 분야 투자를 촉진하기 위해 사용 중인 몇 가지 원칙을 주로 공유하고 있습니다.

늘 그렇듯이, 여러분의 피드백과 제안을 기다리고 있습니다.

감사합니다.

Alex Simons(Twitter: @Alex_A_Simons)

프로그램 관리 부문 이사

Microsoft Identity Division

———-

안녕하세요. 저는 Microsoft Identity Division에서 일하는 Ankur Patel입니다. 블록체인/분산 원장 기반의 분산형 ID를 배양하기 위한 Microsoft의 노력을 바탕으로 알게 된 사항과 향후 방향을 공유할 기회를 가지게 되어 영광입니다.

현재의 상황

많은 사람들이 매일 경험하는 대로, 세계는 지금 하나의 통합된 최신 생활 방식 속에서 디지털과 물리적 현실의 구분이 흐려지는 글로벌 디지털 혁신을 겪고 있습니다. 새로운 이 세계는 디지털 ID를 위한 새 모델이 필요합니다. 즉, 물리적 세계와 디지털 세계에서 개인 정보 보호 및 보안을 향상하는 모델입니다.

Microsoft의 클라우드 ID 시스템은 이미 수천에 달하는 개발자와 조직 및 수십억의 사용자가 일하고 즐기고 더 많은 일을 완수할 수 있도록 지원하고 있습니다. 하지만 모두의 역량을 강화하기 위해 Microsoft가 할 수 있는 일이 훨씬 더 많이 남아 있습니다. Microsoft는 신뢰할 수 있는 ID를 보유하지 않고 현재 일상을 살아 가는 수십억 명의 사람들이 모두 공유는 자녀 교육, 삶의 질 향상, 비즈니스 시작 등과 같은 꿈을 최종적으로 실현할 수 있는 세계를 열망하고 있습니다.

이 비전을 성취하려면 개인이 디지털 ID의 모든 요소를 소유하고 제어하는 것이 아주 중요하다고 생각합니다. 수많은 앱 및 서비스와 관련하여 포괄적 합의를 수락하고 ID 데이터를 다수의 공급자에 분산해 둬서는 안 됩니다. 개인은 ID 데이터를 저장하고 이 데이터에 대한 액세스를 쉽게 제어할 수 있는 암호화된 안전한 디지털 허브가 필요합니다.

우리 각자는 디지털 ID의 모든 요소를 비공개로 안전하게 저장하는 디지털 ID를 소유해야 합니다.  이 자체 소유 ID는 사용하기 쉬워야 하며 ID 데이터 액세스 및 사용 방법을 완전히 제어할 수 있어야 합니다.

이런 종류의 독립 소유 디지털 ID를 사용할 수 있게 하는 것은 어떤 회사나 조직보다도 거대한 일이라는 것을 Microsoft는 잘 알고 있습니다. 따라서 차세대 디지털 ID 기반 환경을 공개하기 위해 고객, 파트너 및 커뮤니티와의 면밀한 협력하에 노력하고 있으며 이 영역에서 크게 기여하고 있는 많은 업계 사람들과 파트너십을 통해 일할 수 있어서 기쁘게 생각합니다.

알게 된 내용

이런 목적을 위해 지금 Microsoft는 분산형 ID 배양에서 알게 된 내용을 바탕으로 최고의 의견을 공유하려고 합니다. (이러한 ID 생성은 모든 사람이 디지털 ID를 소유 및 제어하도록 촉진하는 동시에 더 풍부한 환경을 지원하고, 신뢰를 향상하고, 마찰을 줄이는 것을 겨냥한 노력입니다.)

1. ID 소유 및 제어. 오늘날 사용자는 수많은 앱 및 서비스에서 자신의 제어를 뛰어넘는 수집, 사용, 보존 등이 처리되도록 포괄적 합의를 수락합니다. 데이터 침해 및 ID 도용이 더욱 정교해지고 그 빈도가 높아지고 있어, 사용자는 ID 소유권을 가지는 방법이 필요합니다. 분산형 저장소 시스템, 합의 프로토콜, 블록체인 및 새로 떠오르는 다양한 표준을 검토한 결과 Microsoft는 블록체인 기술 및 프로토콜이 DID(분산형 ID)를 지원하는 데 적합하다고 생각합니다.
2. 설계부터 고려하여 처음부터 구축한 개인 정보 보호.
   오늘날 앱과 서비스 및 조직은 ID에 바인딩된 데이터의 제어에 의존하는 편리하고 예측 가능한 맞춤형 환경을 제공합니다. 사용자 개인 정보 및 제어를 존중하는 동시에 사용자의 데이터와 상호 작용할 수 있는 암호화된 보안 디지털 허브(ID 허브)가 필요합니다.
3. 신뢰는 개인이 획득하고 커뮤니티가 구축하는 것.
   기존의 ID 시스템은 주로 인증 및 액세스 관리에 주력합니다. 자체 소유 ID 시스템은 신뢰성뿐만 아니라 커뮤니티가 신뢰를 구축할 수 있는 방법에도 집중합니다. 분산형 시스템에서 신뢰는 ID의 패싯을 증명하는 데 도움을 주는 입증(다른 엔터티가 지지하는 주장)에 기반합니다.
4. 사용자를 중심으로 구축한 앱 및 서비스.
   현재 가장 많이 사용되는 앱과 서비스는 사용자의 개인 식별 정보(PII)에 액세스할 권한을 획득하여 사용자에 맞게 개인 설정된 환경을 제공하는 유형입니다. DID 및 ID 허브는 이러한 정보를 사용자를 대신해 제어하는 대신 직접 처리함으로써 법적/규정 준수 위험을 줄이면서도 개발자가 보다 세부적인 일련의 입증에 액세스할 수 있도록 지원할 수 있습니다.
5. 상호 운용성 있는 개방형 기반.
   모두가 액세스할 수 있는 강력한 분산형 ID 에코시스템을 만들려면 표준 오픈 소스 기술, 프로토콜, 참조 구현 등에 기반하여 구축해야 합니다. 지난 한 해 동안 Microsoft는 이 과제를 해결하기 위한 유사한 동기를 가진 개인 및 조직과 함께 DIF(Decentralized Identity Foundation)에 참여했습니다. Microsoft는 공동 작업을 통해 다음과 같은 주요 구성 요소를 개발하고 있습니다.
   

• Decentralized Identifiers(DID) – 분산형 ID의 상태를 설명하기 위한 일반적인 문서 형식을 정의하는 W3C 사양
  
• ID 허브 – 메시지/의도 릴레이, 입증 처리, ID별 컴퓨팅 끝점 등을 제공하는 암호화된 ID 데이터 저장소 
  
• 범용 DID 확인자 – 블록체인에서 DID를 확인하는 서버 
  
• 확인할 수 있는 자격 증명 – DID 기반 입증을 인코딩하기 위한 문서 형식을 정의하는 W3C 사양   
  

6. 세계적 규모 지원.
   다양한 사용자, 조직, 디바이스로 이루어진 거대한 세계를 지원하려면 기본 기술이 기존 시스템과 동등한 규모와 성능을 제공할 수 있어야 합니다. 일부 퍼블릭 블록체인(일부 예: Bitcoin[BTC], Ethereum, Litecoin)은 DID를 루팅하고, DPKI 운영을 기록하고, 입증을 앵커링하는 견고한 기반을 제공합니다. 일부 블록체인 커뮤니티는 온-체인 트랜잭션 용량을 높였지만(예: 블록 크기 증가), 이러한 접근 방식은 일반적으로 네트워크의 분산 상태를 저하시키며 세계적인 규모의 시스템에서 생성되는 초당 수백만 트랜잭션에 도달할 수 없습니다. 이런 기술적인 장애를 극복하기 위해 Microsoft는 세계적인 규모를 획득하는 동시에 세계적 수준의 DID 시스템의 특성을 보존할 수 있도록 이러한 퍼블릭 블록체인 위에서 실행되는 분산형 Layer 2 프로토콜을 위해 공동으로 작업하고 있습니다.
   
7. 모두가 액세스 가능.
   현재 블록체인 에코시스템은 대체로 여전히 얼리어답터로서 시간과 노력 그리고 에너지를 키 관리 및 디바이스 보안에 기꺼이 투자하고 있습니다. 이런 태도는 일반적인 사람들이 취할 것으로 기대할 수 없는 것입니다. 복구, 순환, 보안 액세스 등과 같은 주요 관리 과제를 직관적이고 아주 간단하게 만들어야 합니다.
   

다음 단계

새 시스템과 획기적인 아이디어는 고안 단계에서 합당하게 느껴지는 경우가 많습니다. 모든 선이 연결되고, 가정에 확고한 기반이 있는 것처럼 보입니다. 하지만 제품 및 엔지니어링 팀은 실제 구축 과정에서 가장 많이 배웁니다.

현재 Microsoft Authenticator 앱은 이미 매일 수백만 명이 ID 증명에 사용하고 있습니다. 다음 단계로, Microsoft는 Microsoft Authenticator에 분산형 ID 지원을 추가하여 분산형 ID를 실험할 것입니다. 동의를 얻는 경우 Microsoft Authenticator는 ID 데이터 및 암호화 키를 관리하는 사용자 에이전트의 역할을 할 수 있을 것입니다. 이 설계에서는 ID만 온-체인 루팅됩니다. ID 데이터는 이 암호화 키를 사용해 오프-체인 ID 허브에 암호화되어 저장되며, 이 ID 허브는 Microsoft가 볼 수 없습니다.

Microsoft가 이 기능을 추가하고 나면, 앱 및 서비스는 세분화된 동의를 요청하여 일반적인 메시징 경로를 사용하는 사용자의 데이터와 상호 작용할 수 있을 것입니다. 처음에는 블록체인에서 DID 구현의 일부 그룹을 지원한 다음 향후에 그룹을 추가할 것입니다.

향후 전망

Microsoft는 겸허한 태도와 기대를 가지고 이 거대한 과제를 해결하기 위해 나섰지만 혼자서는 성취할 수 없다는 것도 알고 있습니다. 제휴 파트너와 Decentralized Identity Foundation 구성원뿐 아니라 다양한 디자이너, 정책 작성자, 비즈니스 파트너, 하드웨어 및 소프트웨어 제작자로 이루어진 Microsoft 에코시스템에게도 지원과 의견을 구하고 있습니다. 가장 중요한 것은 여러분, 즉 고객의 피드백입니다. 이 첫 번째 시나리오 집합을 테스트하기 시작하는 단계에서 의견이 필요합니다.

분산형 ID를 위한 Microsoft의 노력에 대해 이야기하는 첫 번째 게시물입니다. 예정된 이후 게시물에서는 개념 증명에 대한 정보와 위에서 소개한 주요 영역의 기술 세부 정보를 공유하겠습니다.

이 야심찬 계획에 여러분의 참여를 기대합니다!

주요 리소스:

• 팔로우: @AzureAD(Twitter)
  
• DIF(Decentralized Identity Foundation)에 참여하기
  
• W3C Credentials Community Group에 참여하기
  

감사합니다.

Ankur Patel(@_AnkurPatel)

수석 프로그램 관리자

Microsoft Identity Division

The post 분산형 디지털 ID 및 블록체인: 우리가 예상하는 미래 appeared first on Microsoft 365 Blog.

Microsoft는 오늘 Microsoft Ignite에서 디지털 시대를 살아가는 Firstline Workers의 역량을 강화하기 위한 새로운 비전을 발표했으며, Microsoft 365 F1을 소개했습니다. 이 새로운 제품으로 Office 365, Windows 10 및 Enterprise Mobility + Security를 통합하여 모든 작업자의 역량을 강화할 수 있는 완벽한 지능형 솔루션을 제공할 수 있게 되었습니다.

현대적인 업무 환경은 곧 회사가 업무 환경과 관련하여 직원의 새로운 기대에 부응하고, 점점 더 분산되는 인력을 연결하며, 모든 직원이 고객 및 비즈니스 문제를 해결하기 위해 생산하고, 혁신하고, 공동으로 작업할 수 있는 도구를 제공할 수 있어야 함을 의미합니다. 진정한 의미의 현대적인 업무 환경이라면 직원이 창의력을 최대한 발휘할 수 있고, 혁신과 실행의 문화가 조성되며, 경영진부터 Firstline Workforce까지 모든 작업자가 자유롭게 작업하고 역량이 강화될 수 있어야 합니다.

Firstline Workers는 다수의 글로벌 인력으로 구성되어 있습니다. 전 세계 20억 명으로 이뤄진 글로벌 인력에는 계산대 뒤에서, 전화로, 병원에서, 매장에서, 현장에서 업무를 수행하는 사람들이 포함됩니다. 많은 경우 이 직원들이 가장 먼저 고객과 소통하고, 회사 브랜드를 대표하며, 직접 제품과 서비스를 확인합니다. 이러한 인력이 세계 최대의 산업 여러 개의 중추 역할을 하고 있으며, 이들이 없다면 많은 조직은 목표를 실현할 수 없을 것입니다.

Microsoft는 기술을 활용하여 Firstline Workers에게 더 직관적이고, 몰입할 수 있으며, 역량을 강화할 수 있는 환경을 제공할 수 있다고 생각합니다. Microsoft는 Microsoft 365, Dynamics 365, Microsoft IoT, Microsoft AI, Microsoft HoloLens 및 Windows Mixed Reality 에코시스템을 비롯한 상용 제품을 제공하여 회사가 Firstline Workforce의 잠재적 역량을 활용할 수 있도록 지원하는 특별한 역할을 수행하고 있습니다.

Microsoft 365 F1의 출시는 곧 기술을 통해 모든 작업자의 역량을 강화하여 디지털 혁신에 Firstline Workforce를 참여시키고자 하는 Microsoft의 비전을 이루기 위해 내딛는 중요한 걸음입니다.

Firstline Worker 환경의 혁신

Microsoft 365 F1에는 모든 작업자가 자신의 아이디어를 실행으로 옮길 수 있는 기능과 도구가 포함되어 있습니다. 이 제품으로 대화형 사내 전체 모임을 위한 Skype 모임 브로드캐스트와 직원이 회사의 모범 사례를 찾고 공유할 수 있는 Yammer를 이용하여 문화와 커뮤니티의 발전을 도모할 수 있습니다.

Microsoft 365 F1을 이용하면 역할 기반의 동적 콘텐츠와 비디오를 공유할 수 있는 Microsoft Stream 및 하나의 안전한 공간에서 온보딩과 교육 자료를 간편하게 배포하고 산업 지식을 관리할 수 있는 SharePoint를 활용하여 편리하게 직원을 교육하고 기술을 향상할 수 있습니다.

Microsoft 365 F1을 통해 Firstline Workers가 근무일을 관리할 수 있도록 구축된 앱인 Microsoft StaffHub와 일상적 업무를 자동화하기 위한 Microsoft PowerApps 및 Microsoft Flow를 활용하여 일선 직원의 생산성을 향상하고 비즈니스 프로세스를 디지털화할 수 있습니다. 오늘 Microsoft는 직원이 출근/퇴근 시간을 기록하고 작업을 추적할 수 있는 기능 등 StaffHub에 새로 추가되는 기능을 발표하게 되었습니다. 또한 팀워크를 위한 허브로 활용할 수 있는 Microsoft Teams를 통해 메시지가 통합되고, Yammer에서 작성한 회사 공지가 강조 표시되므로 직원은 더 간편하게 StaffHub 연결 상태를 유지할 수 있습니다. 마지막으로 고객이 일반 API를 사용하여 StaffHub를 인사 관리 시스템 및 다른 도구에 연결할 수 있는 기능을 지원하게 되었습니다.

Microsoft 365 F1을 사용하면 IT 관리를 간소화하고, 비용을 최소화하며, 보안을 모든 직원 및 끝점까지 확장할 수 있습니다. Azure Active Directory를 사용하여 직원 ID와 액세스 권한을 관리하고, Microsoft Intune을 통해 장치를 안전하게 보호할 수 있습니다. Windows 10의 새로운 기능에는 Firstline Workers 환경을 단순하게 관리하고, 단일 용도로 사용이 제한된 장치를 Windows의 할당된 액세스를 통해 지원하며, Windows AutoPilot을 통한 자동 배포를 지원하는 기능이 포함됩니다.

마지막으로 Microsoft는 Firstline Workers에게 총 소유 비용을 최소화할 수 있는 간소화되고 안전한 장치를 제공해야 한다는 중요한 사실을 알고 있습니다. 오늘 Microsoft는 OEM 파트너인 HP, Lenovo, Acer에서 제작하고 Windows 10 S가 탑재된 새로운 상용 장치를 발표하게 되었습니다. 275,000원의 최저가부터 판매되는 이 장치로 클라우드 기반 ID 및 관리 기능을 활용할 수 있으며, 현장 직원의 근무 환경에 적합합니다.

Microsoft는 Firstline Workers의 역량을 강화할 수 있게 되어 매우 기쁘게 생각합니다. 앞으로도 더 많은 기능을 제공할 예정입니다.

Microsoft의 비전에 대해 자세히 알아보려면 새로운 Firstline Worker 페이지를 방문하고, Microsoft 365 F1의 기능을 확인하려면 아래 표를 참조하세요.

—Bryan Goode

The post 모든 작업자에게 유용한 Microsoft 365 appeared first on Microsoft 365 Blog.