Entra ID

Microsoft Entra ID 로그인 CSP 강화: 스크립트 인젝션 차단

3분 읽기

요약

Microsoft가 2026년 10월 중·하순부터 Entra ID의 브라우저 기반 로그인 페이지(login.microsoftonline.com)에 더 엄격한 CSP를 강제 적용해, 신뢰된 Microsoft CDN 스크립트와 nonce 기반 인라인 스크립트만 허용합니다. 대부분의 조직에는 큰 변화가 없겠지만, 로그인 페이지에 코드를 주입하는 브라우저 확장·보안 도구·오버레이·커스텀 UX는 동작이 중단될 수 있어, IT 관리자는 관련 의존성을 미리 점검하고 제거해야 합니다.

Entra ID 관련 도움이 필요하신가요?전문가와 상담하기

소개

Microsoft는 Secure Future Initiative (SFI)의 일환으로 Microsoft Entra ID 로그인 환경을 강화하고 있습니다. 예정된 Content Security Policy (CSP) 강제 적용은 인증 과정에서 자주 표적이 되는 영역인 외부 스크립트 인젝션을 방지하기 위해, 로그인 페이지에서 로드 및 실행될 수 있는 스크립트를 제한하도록 설계되었습니다.

변경 사항

Microsoft는 login.microsoftonline.com의 Entra ID 로그인 환경에 더 엄격한 CSP 헤더를 추가하고 강제 적용합니다. 주요 변경 사항은 다음과 같습니다.

  • 스크립트 다운로드를 신뢰할 수 있는 Microsoft CDN 도메인으로 제한 Microsoft가 승인한 content delivery network에서 제공되는 스크립트만 로드가 허용됩니다.

  • 인라인 스크립트 실행을 신뢰할 수 있는 Microsoft 소스(Nonce 기반)로 제한 인라인 스크립트는 CSP nonce 패턴을 통해 제어되어, 임의의 인라인 코드 실행이 차단됩니다.

  • 적용 범위를 login.microsoftonline.com의 브라우저 기반 로그인으로 제한 브라우저에서의 대화형(interactive) 로그인 페이지에만 해당합니다.

  • Microsoft Entra External ID에는 영향 없음 Microsoft는 Entra External ID 환경은 이번 업데이트의 영향을 받지 않는다고 밝혔습니다.

일정

  • 전 세계 강제 적용: Microsoft Entra ID는 업데이트된 CSP를 2026년 10월 중~하순에 강제 적용합니다.
  • 커뮤니케이션: Microsoft는 롤아웃에 앞서 정기적으로 업데이트를 안내할 예정입니다.

IT 관리자 및 최종 사용자에 대한 영향

대부분의 조직에서는 “조용한” 보안 개선으로 체감 영향이 크지 않을 것입니다. 다만 브라우저 확장, 스크립트, 또는 로그인 페이지에 코드를 주입하는 타사 도구를 사용하는 환경에서는 해당 주입 기능이 중단될 수 있습니다.

중요한 점: Microsoft는 주입 기반 도구가 동작하지 않게 되더라도 사용자는 여전히 로그인할 수 있다고 설명합니다. 그러나 주입에 의존하는 오버레이, 계측(instrumentation), 사용자 지정(customization), 보조 로직은 실패할 수 있습니다.

검토해야 할 대표 항목은 다음과 같습니다.

  • 로그인 페이지를 수정하는 비밀번호 관리자 또는 “보안” 확장
  • 헬프데스크 또는 SSO 문제 해결 오버레이
  • 인젝션으로 구현된 커스텀 브랜딩 또는 UX 수정
  • 브라우저 스크립팅으로 로그인 UI에 후킹(hook)하는 모니터링 또는 분석 도구

권장 조치 / 다음 단계

  1. 로그인 페이지 인젝션 의존성 파악 및 축소 Microsoft는 Entra 로그인 환경에 코드를 주입하는 확장 또는 도구의 사용을 피할 것을 명시적으로 권장합니다.

  2. Developer Tools를 열고 로그인 흐름 테스트 브라우저 dev console을 열어 둔 상태에서 일반적인 로그인 시나리오(관리 디바이스, 비관리 디바이스, 다양한 브라우저, conditional access 변형)를 실행하고 CSP 위반(일반적으로 빨간색으로 표시)을 확인하세요.

  3. 다양한 사용자 페르소나 및 흐름 평가 위반은 특정 팀 또는 사용자 구성(확장 또는 로컬 도구 영향)에만 나타날 수 있으므로, 여러 사용자 그룹과 디바이스 구성으로 테스트하세요.

  4. 영향받는 도구를 비(非)인젝션 대안으로 교체 스크립트 인젝션에 의존하는 업무상 핵심 도구가 확인되면 지금부터 대안을 평가하세요. 강제 적용이 시작되면 로그인 페이지에 대한 스크립트 인젝션은 더 이상 지원되지 않습니다.

이것이 중요한 이유

인증 페이지는 가치가 높은 표적입니다. 로그인 경계에서 CSP를 강제하는 것은 인젝션되거나 악성인 스크립트의 공격 표면을 줄이는 의미 있는 조치이며, 규정을 준수하는 구성에서는 사용자 로그인 경험을 유지하면서 최신 웹 기반 ID 공격에 대한 복원력을 강화합니다.

Entra ID 관련 도움이 필요하신가요?

전문가가 Microsoft 솔루션 구현 및 최적화를 도와드립니다.

전문가와 상담하기

Microsoft 기술 최신 정보 받기

AnkurPatel의 원문 기사 읽기
Entra IDauthenticationContent Security PolicyCSPSecure Future Initiative

관련 기사

Entra ID

Microsoft Entra Backup and Recovery Enters Preview

Microsoft has launched Microsoft Entra Backup and Recovery in public preview, giving organizations a Microsoft-managed way to restore critical identity objects and configurations to a known-good state. The service helps IT teams recover faster from accidental admin changes, provisioning errors, and malicious modifications that could otherwise disrupt access and security.

Entra ID

Microsoft Entra External MFA Now Generally Available

Microsoft has announced general availability of external MFA in Microsoft Entra ID, allowing organizations to integrate trusted third-party MFA providers using OpenID Connect. The feature lets IT teams keep Microsoft Entra ID as the central identity control plane while maintaining Conditional Access, risk evaluation, and unified authentication method management.

Entra ID

Microsoft Entra RSAC 2026 Identity Security Updates

At RSAC 2026, Microsoft announced major Microsoft Entra updates aimed at securing not only users and devices but also AI agents, workloads, and modern multi-tenant environments. The new capabilities—such as expanded Entra Agent ID governance, shadow AI detection, prompt injection protection, passkey enhancements, and adaptive risk-based access—matter because they strengthen Zero Trust identity security as organizations adopt AI and face more dynamic access risks.

Entra ID

Microsoft Entra Secure Access Report 2026 on AI Risk

Microsoft’s Entra Secure Access Report 2026 says AI adoption is significantly increasing identity and network access risk, with 97% of organizations reporting an access-related incident in the past year and 70% tying incidents to AI activity. The report argues that fragmented identity and network tools are making the problem worse, which matters because more organizations are now moving toward consolidated access platforms to better secure AI tools, agents, and machine identities.

Entra ID

Microsoft Entra Conditional Access 변경: 모든 리소스 정책 적용

Microsoft는 2026년 3월 27일부터 6월까지 Entra Conditional Access의 '모든 리소스(All cloud apps)' 정책 적용 방식을 변경해, 제한된 OIDC·디렉터리 scope만 요청하는 로그인 흐름에도 정책이 일관되게 적용되도록 강화합니다. 이에 따라 그동안 우회되던 일부 로그인에서도 MFA나 디바이스 준수 같은 추가 챌린지가 나타날 수 있어, 특히 리소스 제외가 포함된 '모든 리소스' CA 정책과 제한된 scope를 요청하는 커스텀 앱을 사용하는 조직은 사전 점검과 테스트가 중요합니다.

Entra ID

Microsoft Entra Access Priorities: AI 접근 보안과 에이전트 ID 구현

Microsoft가 IT 실무자를 위해 Microsoft Entra Access Priorities 웨비나 시리즈를 공개하며, 피싱 저항 인증·적응형 접근·Zero Trust 기반의 접근 보안부터 AI 시대의 인력 및 AI 에이전트 ID 거버넌스까지 4개 세션으로 구현 방법을 안내합니다. 이는 사용자뿐 아니라 앱, 디바이스, AI 에이전트까지 포함하는 통합 접근 제어를 통해 보안 일관성을 높이고, AI로 정교해지는 피싱과 ID 탈취 위협에 대응하면서도 최종 사용자 경험의 마찰을 줄이는 데 중요합니다.