Microsoft 365 관리자 MFA 의무화, 왜 필요할까요?
Microsoft 365 관리센터에서 MFA가 왜 의무화됐는지, 로그인할 때 무엇이 달라지는지, 중소기업이 어렵지 않게 준비하는 순서를 설명합니다.
어느 날 Microsoft 365 관리센터에 로그인했는데 휴대폰 인증 화면이 나타납니다. 바쁜데 한 단계가 더 생기니 먼저 이런 생각이 들 수 있습니다.
“비밀번호도 복잡하게 만들었는데, 이것까지 꼭 해야 하나요?”
결론부터 말하면 관리자 계정의 MFA는 조금 번거롭더라도 반드시 준비해야 할 기본 안전장치입니다. 어렵게 느껴지는 보안 기능이 아니라, 회사 계정의 현관문에 잠금장치 하나를 더 다는 일이라고 생각하면 이해하기 쉽습니다.
비밀번호가 있는데 MFA가 왜 필요할까요?
사무실 현관 비밀번호가 다른 사람에게 알려졌다고 생각해 보겠습니다. 비밀번호만으로 문이 열린다면 그 사람은 바로 안으로 들어올 수 있습니다. 하지만 출입카드까지 확인한다면 비밀번호를 알아도 문을 열기 어렵습니다.
Microsoft 365 계정도 비슷합니다.
- 비밀번호는 첫 번째 확인입니다.
- 스마트폰 알림, 인증번호 또는 보안 키는 두 번째 확인입니다.
이렇게 서로 다른 방법으로 본인을 두 번 이상 확인하는 것이 다단계 인증, 즉 MFA입니다.
비밀번호는 피싱 메일, 다른 사이트의 정보 유출, 반복 사용이나 단순한 조합 때문에 노출될 수 있습니다. MFA를 사용하면 공격자가 비밀번호를 알아내더라도 등록된 휴대폰이나 보안 키가 없으면 로그인을 끝내기 어렵습니다. Microsoft는 MFA가 계정 탈취 공격의 99.2% 이상을 차단할 수 있다고 안내합니다.1
물론 MFA 하나로 모든 공격이 사라지는 것은 아닙니다. 수상한 로그인 요청을 무심코 승인하지 않는 습관과 로그인 기록 점검도 함께 필요합니다. 그래도 비밀번호만 사용하는 것보다 훨씬 안전한 출발점인 것은 분명합니다.
Microsoft의 MFA 의무화, 무엇이 달라졌나요?
Microsoft는 중요한 관리 화면과 관리 작업에 MFA를 단계적으로 의무화했습니다.1
- 2024년 10월부터 Azure, Microsoft Entra, Intune 관리센터에 단계적으로 적용
- 2025년 2월부터 Microsoft 365 관리센터 로그인에 단계적으로 적용
- 2025년 10월부터 Azure CLI, PowerShell 등 일부 관리 작업으로 확대
이 정책의 핵심은 회사 환경을 바꿀 수 있는 관리 계정을 비밀번호 하나만으로 보호하지 않겠다는 것입니다. 관리자 계정이 탈취되면 새 계정을 만들거나, 메일 설정을 바꾸거나, 회사 자료에 접근할 수 있기 때문입니다.
여기서 한 가지는 정확히 구분해야 합니다. 이번 Microsoft 정책이 모든 직원의 Outlook과 Teams 로그인에 MFA를 일괄 강제한다는 뜻은 아닙니다. 공식 의무화 범위는 관리센터와 Azure 관리 작업을 중심으로 합니다. 일반 직원의 MFA 적용 범위는 회사가 사용하는 보안 설정에 따라 달라질 수 있습니다.1
그렇다고 일반 사용자 계정은 보호하지 않아도 된다는 뜻은 아닙니다. 일반 계정에도 메일, 연락처, 문서와 대화 내용이 들어 있으므로 가능한 범위에서 MFA를 적용하는 것이 좋습니다.
로그인할 때 직원이 겪는 변화는 크지 않습니다
MFA를 적용하면 처음 로그인할 때 Microsoft Authenticator 같은 인증 수단을 등록합니다. 이후 추가 확인이 필요할 때 휴대폰 알림을 확인하거나 화면에 표시된 숫자를 앱에 입력합니다.2
매번 모든 화면에서 인증하는 것은 아닙니다. 사용 중인 설정과 로그인 상황에 따라 추가 확인을 요청받습니다. 평소와 다른 위치나 기기에서 로그인하거나 중요한 관리 작업을 할 때 확인이 나타날 수 있습니다.
휴대폰을 교체하거나 분실했을 때는 곤란할 수 있으므로 등록 방법만 알려주고 끝내면 안 됩니다. 새 휴대폰으로 바꾸는 방법, 인증이 안 될 때 연락할 담당자, 사용할 수 있는 대체 인증 수단까지 함께 안내해야 합니다.
중소기업은 Security Defaults로 쉽게 시작할 수 있습니다
전담 보안 담당자가 없고 사용자별로 복잡한 예외를 만들 필요가 없다면 Security Defaults가 가장 이해하기 쉬운 출발점입니다.
Security Defaults를 켜면 모든 사용자가 MFA 인증 방법을 등록하고, 관리자와 중요한 작업에는 MFA를 요구합니다. 오래된 방식의 로그인도 차단해 기본적인 계정 보호를 한 번에 적용합니다. 별도의 Conditional Access 라이선스 없이 사용할 수 있습니다.2
관리자는 다음 위치에서 현재 설정을 확인할 수 있습니다.
- Microsoft Entra 관리센터에 로그인합니다.
- Entra ID > 개요 > 속성으로 이동합니다.
- 보안 기본값 관리를 선택합니다.
- 보안 기본값을 사용으로 설정하고 저장합니다.2
다만 바로 켜기 전에 아래 점검을 먼저 해야 합니다. Security Defaults는 특정 사용자나 오래된 앱만 간단히 제외하는 방식이 아니기 때문입니다.
켜기 전에 다섯 가지만 확인하세요
- 관리자 계정: 실제 관리자가 누구인지, 사용하지 않는 관리자 계정이 남아 있지 않은지 확인합니다.
- 인증 수단: 직원이 Authenticator를 사용할 수 있는지, 휴대폰 사용이 어려운 사람에게 다른 방법이 필요한지 확인합니다.
- 오래된 프로그램: 오래된 Outlook이나 모바일 메일 앱이 최신 인증 방식을 지원하는지 확인합니다.
- 복합기와 업무 시스템: 스캔 메일, 홈페이지 알림, ERP·회계 프로그램이 사용자 아이디와 비밀번호를 저장해 메일을 보내는지 확인합니다.
- 복구 방법: 휴대폰 분실·교체 또는 퇴사자 발생 시 누가 인증 정보를 초기화하고 지원할지 정합니다.
특히 사람이 로그인하는 계정을 자동화 프로그램에 넣어 사용하는 경우에는 MFA 적용 후 작업이 멈출 수 있습니다. 이런 계정은 무조건 예외로 두기보다 자동화에 맞는 인증 방식으로 바꾸는 것이 안전합니다.1
직원에게도 미리 알려야 합니다. “보안이 강화됩니다”라는 문장만 보내기보다 언제부터, 어떤 화면이 나타나고, 휴대폰에서 무엇을 눌러야 하며, 문제가 생기면 누구에게 연락하는지를 한 장으로 안내하면 혼란을 크게 줄일 수 있습니다.
조건부 액세스는 다음 단계에서 생각해도 됩니다
Security Defaults는 회사 전체에 공통 안전장치를 적용하는 방법입니다. 반면 부서, 사용자, 위치, 기기나 업무 앱에 따라 서로 다른 규칙이 필요하다면 조건부 액세스를 검토해야 합니다.
하지만 MFA를 처음 준비하는 글에서 조건부 액세스의 정책과 예외까지 한꺼번에 이해할 필요는 없습니다. 먼저 MFA가 왜 필요한지 이해하고 현재 계정과 장비를 점검한 다음, 세밀한 제어가 필요한 조직을 위한 후속 글에서 별도로 다루겠습니다.
오늘 기억할 내용은 세 가지입니다
- MFA는 비밀번호가 알려졌을 때 계정을 지켜주는 두 번째 잠금장치입니다.
- Microsoft는 관리센터와 Azure 관리 작업을 중심으로 MFA를 단계적으로 의무화했습니다.
- 중소기업은 계정·휴대폰·오래된 앱·복합기·복구 방법을 확인한 뒤 Security Defaults로 시작할 수 있습니다.
직원 모두에게 지금 당장 MFA를 적용해야 하나요?
Microsoft의 의무화 대상과 회사가 직원에게 적용하는 MFA 정책은 구분해야 합니다. 관리센터 의무화에는 먼저 대응하되, 일반 사용자도 회사 자료를 보유하므로 사전 점검과 안내 후 MFA 적용을 확대하는 것이 좋습니다.
조건부 액세스가 없으면 MFA를 사용할 수 없나요?
아닙니다. Conditional Access 라이선스가 없어도 Security Defaults를 이용해 기본적인 MFA 보호를 적용할 수 있습니다.12
참고 자료
아래 날짜는 글의 발행일이 아니라 해당 공식 문서를 마지막으로 확인한 날짜입니다.
- Mandatory multifactor authentication for Azure and admin portals — Microsoft Learn, 2026-07-17 최종 확인
- Security defaults in Microsoft Entra ID — Microsoft Learn, 2026-07-17 최종 확인
- Microsoft Entra multifactor authentication overview — Microsoft Learn, 2026-07-17 최종 확인