위치:
Salesforce 조직에서 사용자가 사용할 수 있는 MFA 확인 메서드 구성
Salesforce는 사용자가 로그인 또는 장치 활성화 시 ID를 확인할 수 있도록 여러 MFA 확인 메서드를 지원합니다.
제어 이름
다단계 인증(MFA) 확인 메서드 구성
권장 구성
피싱 방지 MFA 확인 메서드를 활성화하고 내장 Authenticator, 하드웨어 보안 키, 인증서 기반 인증 우선 순위를 지정합니다.
제어 개요
Salesforce는 사용자가 로그인 또는 장치 활성화 시 ID를 확인할 수 있도록 여러 MFA 확인 메서드를 지원합니다. 이러한 메서드는 생체 인식 및 하드웨어 보안 키와 같은 피싱 방지 Authenticator에서 SMS 기반 암호와 같은 약한 메서드까지 다양합니다. 강력한 확인 메서드를 선택하면 자격 증명 도난 및 소셜 엔지니어링 공격의 위험이 크게 줄어듭니다.
구성되지 않은 경우 보안 위험
강력한 MFA 확인 메서드가 활성화되지 않은 경우 사용자는 더 약하거나 피싱 방지 옵션에 의존할 수 있습니다. 따라서 피싱, 자격 증명 재생, SIM 교체, 소셜 엔지니어링 공격으로 인해 무단 액세스가 발생할 수 있습니다.
위협 시나리오
일회용 암호를 캡처하는 피싱 공격, SMS 기반 MFA를 대상으로 하는 SIM 교체 공격, 원본 바운드 인증 부족으로 인해 세션 하이재킹, 인증서 확인이 없는 사용자 또는 시스템을 가리킵니다.
예상 CVSS 점수 범위
중요(9.0~10.0)
위험 영향 고려 사항
위험 심각도는 사용자 유형(내부 및 외부), 액세스 권한 수준, Experience Cloud 사이트 노출, 인증 방법이 피싱 방지 여부에 따라 다릅니다.
위험이 높은 경우
SMS 기반 MFA만 사용할 수 있으며, 피싱 방지 Authenticator가 활성화되어 있지 않거나, 하드웨어 보안 키가 지원되지 않거나, 시스템 간 인증에 인증서 기반 유효성 검사가 부족합니다.
낮은 위험 시기
이 제어는 다음 중 하나 이상을 구현할 때 낮은 위험으로 간주할 수 있습니다.
- 내장 Authenticator: Touch ID, Face ID 또는 Windows Hello와 같은 장치 기반 생체 인식 Authenticator가 활성화됩니다.
- 하드웨어 보안 키: WebAuthn(FIDO2) 또는 U2F 보안 키는 사용자가 지원하고 채택합니다.
- 인증서 기반 인증: 보안 사용자 또는 시스템 인증에 대해 상호 인증서 유효성 검사가 적용됩니다.
- 제한된 SMS 사용: SMS 기반 MFA는 외부 사용자로만 제한되며 가능한 경우 추가 보안으로 보완됩니다.
- MFA 확인 중 사용자 확인 필요: MFA 확인 시 사용자를 확인하기 위해 사용자 확인이 적용되도록 구성됩니다.
비즈니스 및 통합 고려 사항
고객은 MFA 메서드를 선택할 때 사용자 환경, 장치 호환성, 외부 사용자 모집단, 규제 요구 사항을 고려해야 합니다. 외부 Experience Cloud 사이트에서는 강력한 인증 메서드를 단계적으로 채택해야 할 수 있습니다.
권장 수정
내장 Authenticator 및 하드웨어 보안 키를 활성화하고, 해당하는 경우 인증서 기반 인증을 구성하거나, SMS 기반 MFA를 제한하거나 단계적으로 제거하고, MFA 메서드 채택 및 사용을 정기적으로 검토합니다.
보안 상태 검토 지침
보안 상태 검토는 고객이 피싱 방지 인증을 도입하고, ID 기반 공격 위험을 줄이고, Salesforce 권장 보안 기준선 및 제로 Trust 원칙에 부합할 수 있도록 MFA 확인 메서드를 평가합니다.
