관리자 비상 계정은 편의 기능이 아니라 사고 대응 장치다

최고 관리자 계정을 강하게 보호할수록 IdP 장애, 조건부 접근 오설정, 인증서 만료, 관리자 전원 잠금 같은 상황에서 조직 전체가 관리 권한을 잃을 수 있다. 브레이크글래스 계정은 이 단일 장애점을 복구하기 위한 장치다.

반대로 비상 계정이 일상 업무에 사용되거나 모니터링에서 제외되면 공격자가 탐지 없이 최고 권한을 얻는 우회로가 된다. 설계 목표는 편의가 아니라 정상 인증 체계와 독립적이면서도 사용 순간 누구나 알 수 있는 제한된 복구 경로다.

사용할 수 있는 상황을 먼저 정의한다

허용 예시는 다음과 같다.

• 정상 관리자 계정이 모두 잠겼다.
• IdP·MFA·조건부 접근 장애로 관리 콘솔에 들어갈 수 없다.
• 잘못된 정책이 전체 관리자를 차단했다.
• 연합 인증 또는 외부 인증 제공자가 중단됐다.
• 사고 대응 중 최고 권한 복구 작업이 필요하고 정상 경로가 사용할 수 없다.

허용하지 않을 상황도 명시한다.

• MFA 기기를 가져오기 귀찮다.
• 승인 절차가 느리다.
• 자동화 스크립트에 고정 자격 증명이 필요하다.
• 일상적인 사용자·권한 관리 작업을 한다.
• 감사 로그를 피하려 한다.

독립성 설계

의존성	정상 관리자	비상 계정 설계 질문
IdP	연합 SSO	로컬 또는 별도 인증 경로가 가능한가
MFA	조직의 기본 공급자	같은 공급자 장애에 함께 실패하지 않는가
기기	관리 노트북	안전한 예비 기기 또는 하드웨어 키가 있는가
비밀번호 관리자	SSO 연동 금고	IdP 장애 시 복구 비밀에 접근 가능한가
네트워크	ZTNA/VPN	장애 시 별도 관리 경로가 있는가
담당자	한 명의 최고 관리자	휴가·퇴사·지역 장애에도 접근 가능한가

플랫폼별 권장 방식은 다르다. 일부 IdP는 둘 이상의 비상 계정을 권장하고, 일부 클라우드는 루트·조직 소유 계정에 별도 절차를 요구한다. 실제 수와 인증 방식은 현재 벤더 공식 문서, 규제 요구, 조직 위험을 확인해 결정한다.

계정과 인증 수단

• 개인 이름이 아닌 명확한 비상 목적의 계정명을 사용한다.
• 일상 이메일, 협업, API 자동화에 사용하지 않는다.
• 가능한 경우 두 개 이상의 독립 계정 또는 인증 경로를 둔다.
• 강하고 고유한 비밀과 피싱 저항 인증기를 사용한다.
• 인증기·복구 코드는 서로 다른 안전한 장소에 보관한다.
• 계정 비밀과 사용 절차를 같은 사람이 단독 보관하지 않는다.
• 조건부 접근 예외가 필요하다면 모든 정책에서 무조건 제외하지 말고 필요한 범위를 최소화한다.
• 비상 계정의 권한 변경과 인증 방법 변경을 최고 심각도로 경보한다.

비밀번호를 봉인된 오프라인 매체로 보관하더라도 정기적으로 열어 로그인할 수 있는지 시험해야 한다. 봉투가 있다는 사실은 비밀이 최신이고 계정이 활성이라는 증거가 아니다.

사용 승인과 실행 절차

사용 전

1. 사고 ID와 비상 계정 사용 사유를 기록한다.
2. 정상 관리자 경로가 실제로 사용할 수 없는지 확인한다.
3. 가능한 경우 두 명이 사용을 승인한다.
4. 수행할 작업과 종료 조건을 제한한다.
5. 보안 모니터링·경영 당직자에게 사용 예정임을 알린다.

사용 중

• 별도 안전한 기기와 네트워크를 사용한다.
• 세션 녹화 또는 상세 감사 로그를 활성화한다.
• 계획된 작업 외 변경을 하지 않는다.
• 새 장기 키, 앱 비밀번호, 자동화 토큰을 만들지 않는다.
• 수행한 명령과 변경 전후 상태를 사고 기록에 남긴다.

사용 후

1. 모든 비상 세션과 임시 토큰을 폐기한다.
2. 비밀번호·인증기·복구 코드를 정책에 따라 회전한다.
3. 계정의 역할과 조건부 접근 설정이 원래 상태인지 확인한다.
4. 실제 감사 로그와 승인된 작업을 비교한다.
5. 정상 관리 경로가 복구됐는지 별도 계정으로 검증한다.
6. 사후 검토에서 비상 계정이 필요해진 근본 원인을 수정한다.

모니터링과 탐지 신호

비상 계정은 “사용되면 반드시 사고”에 가까운 강도로 감시한다.

• 로그인 성공·실패와 토큰 발급
• 비밀번호·MFA·연락처·복구 정보 변경
• 역할 추가·삭제와 조건부 접근 예외 변경
• 새 API 키·앱 비밀번호·서비스 주체 생성
• 메일함·라이선스·일상 앱 할당
• 익숙하지 않은 국가·IP·기기에서 접근
• 승인된 사고 시간 밖 사용
• 로그 수집·경보 규칙 변경

로그인 알림은 비상 계정이 속한 동일 IdP 하나에만 의존하지 말고 외부 채널, SIEM, 호출 시스템 등 독립 경로로 전달한다.

정기 시험 시나리오

분기 또는 조직 위험에 맞는 주기로 비프로덕션 또는 제한된 작업을 시험한다.

• 담당자가 보관 위치와 승인 절차를 찾을 수 있는가
• 정상 IdP가 없다는 가정에서 인증 가능한가
• 로그인 알림이 독립 채널로 도착하는가
• 최소한의 복구 작업을 수행할 권한이 있는가
• 비밀 회전 후 모든 보관본이 갱신되는가
• 담당자 퇴사·휴가에도 두 사람이 절차를 완료할 수 있는가
• 계정이 일상 앱이나 자동화에서 사용되지 않는가

시험은 단순 로그인으로 끝내지 말고 읽기 전용 상태 확인, 승인, 로그 검토, 자격 증명 회전까지 포함한다. 결과는 재해복구 탁상훈련과 연결한다.

흔한 실패 모드

실패	위험	개선
한 명만 비밀을 안다	부재·퇴사 시 사용 불가	분리 보관과 다중 담당자
정상 IdP와 같은 MFA에 의존	동일 장애로 함께 잠김	독립 인증 경로
모든 조건부 접근에서 영구 제외	공격자가 제한 없이 사용	최소 예외와 강한 경보
자동화에 사용	장기 노출·탐지 혼선	워크로드 ID로 대체
시험하지 않음	만료·비밀 불일치를 사고 때 발견	정기 전체 절차 시험
사용 후 회전하지 않음	복사된 비밀이 계속 유효	세션 폐기와 자격 증명 회전
로그인 로그만 봄	사용 후 생성한 키를 놓침	변경·토큰·키 이벤트까지 감시

계정 탈취가 의심될 때

1. 가능한 정상 최고 관리자 경로로 비상 계정 세션과 토큰을 폐기한다.
2. 역할, 정책, 앱 등록, API 키, 새 사용자, 로그 설정 변경을 조사한다.
3. 비상 계정의 비밀번호와 인증 수단을 교체한다.
4. 공격자가 만든 지속성 수단을 제거하고 독립 계정으로 재검증한다.
5. 보안 사고 커뮤니케이션에 따라 영향 범위와 다음 조치를 관리한다.
6. 비상 경로가 침해된 동안 사용할 2차 복구 절차를 벤더 지원과 함께 검토한다.

운영 체크리스트

• 비상 계정의 허용·금지 사용 조건이 문서화돼 있다.
• 정상 IdP·MFA·비밀번호 관리자와 독립된 경로를 검토했다.
• 자격 증명과 사용 절차가 분리 보관된다.
• 일상 이메일·자동화·일반 관리자 업무에 사용하지 않는다.
• 로그인과 권한·인증 방법 변경이 즉시 독립 채널로 알림된다.
• 사용 전 승인, 작업 범위, 종료 조건을 기록한다.
• 사용 후 세션 폐기·비밀 회전·감사 검토를 수행한다.
• 정기 시험에 실제 로그인과 알림·회전 검증이 포함된다.
• 담당자 변경 시 보관본과 연락망을 즉시 갱신한다.

함께 읽을 글

비상 계정의 인증 수단은 피싱 저항 MFA 전환, 비밀 보관은 전사 비밀번호 관리자 도입과 함께 검토한다.

참고 기준

• Microsoft Entra: Manage Emergency Access Accounts
• CISA Zero Trust Maturity Model
• NIST SP 800-61 Rev. 3

결론

브레이크글래스 계정은 평소 통제를 피하는 지름길이 아니라 통제가 실패했을 때 조직을 복구하는 마지막 장치다. 정상 경로와 독립시키고, 사용 순간 즉시 드러나게 하며, 승인·기록·회전·정기 시험을 반복해야 비상 계정이 백도어가 아닌 복구 수단으로 남는다.