실무 리더가 정리한 Azure AD로 사내 CI 사용자 권한 최소화 적용 경험: 운영 아키텍처와 모범사례
실무 리더 요약 정리
이 글은 실무 리더가 정리한 Azure AD로 사내 CI 사용자 권한 최소화 적용 경험: 운영 아키텍처와 모범사례를 둘러싼 현업 의사결정 포인트를 정리해 둔 섹션입니다.
- 이 글에서 짚고 가는 핵심 포인트
- 핵심 요약
- 아키텍처 개요
- 권한 모델 설계 원칙
팀 내 위키나 아키텍처 리뷰 문서에 그대로 옮겨 적고, 우리 조직 상황에 맞게만 수정해도 큰 도움이 됩니다.
몇 년 전 우리 팀은 Azure AD로 사내 CI 사용자 권한 최소화 적용 경험를 제대로 설계하지 못해 장애와 불필요한 야근이 반복되었습니다. 이 글은 그런 상황을 되풀이하지 않기 위해, 리더 입장에서 어떤 구조와 운영 방식을 먼저 정리해야 하는지에 초점을 맞추고 있습니다.
이 글에서 짚고 가는 핵심 포인트
- 핵심 요약
- 아키텍처 개요
- 권한 모델 설계 원칙
- 구현 세부: 서비스 주체·OIDC·Managed Identity
실제 엔터프라이즈 환경에서 Azure AD로 사내 CI 사용자 권한 최소화 적용 경험를 적용할 때 꼭 체크해야 할 구조와 운영 포인트만 정리했습니다.
핵심 요약
본 문서는 Azure AD를 활용해 사내 CI(Continuous Integration) 사용자 및 파이프라인 권한을 최소 권한 원칙(Least Privilege)으로 설계·적용한 경험을 정리한 운영 가이드입니다. 설계 철학, 구현 패턴(서비스 주체, 관리형 ID, OIDC 연동), 운영·모니터링 전략과 실제로 겪은 장애 및 보안 사고 사례를 통해 원인 분석과 해결 과정을 단계별로 설명합니다. 최종 섹션에는 운영팀 리더 관점에서 바로 적용 가능한 모범사례와 다음 액션 리스트를 제안합니다.
아키텍처 개요
우리 팀은 사내 CI 파이프라인(자체 호스팅 GitLab/GitHub Actions/Azure DevOps)을 Azure 리소스에 접근해야 하는 여러 CI 사용자 계정(서비스 주체)으로부터 점진적으로 전환했습니다. 핵심은 장기 비밀(클라이언트 시크릿) 사용을 줄이고, 가능한 경우 OIDC 기반 워크로드 아이덴티티 또는 Azure Managed Identity로 대체하여 토큰 수명과 노출 표면을 줄이는 것입니다.
권한 부여 계층은 크게 세 단계로 구성했습니다. (1) 파이프라인 자체 접근 권한(레포·아티팩트 저장소), (2) Azure 리소스 접근을 위한 신원(서비스 주체/managed identity), (3) 리소스 레벨 RBAC(구독/리소스그룹/리소스)입니다. 각 계층에서 최소 권한을 보장하고, 작업별로 분리된 신원을 사용함으로써 권한 확대(권한 격리 실패)로 인한 사고 범위를 줄였습니다.
권한 모델 설계 원칙
설계 시 다음 원칙을 적용했습니다: 최소 권한, 역할 기반 접근 제어(RBAC), 임시 권한(Just-In-Time), 명시적 범위(Scope) 제한, 신원 분리입니다. 예를 들어 프로덕션 리소스를 관리하는 파이프라인은 별도의 서비스 주체를 사용하고, 빌드·테스트·배포 단계별로 서로 다른 권한을 할당했습니다.
또한 권한 승격이 필요한 경우 PIM(Privileged Identity Management) 또는 수동 승인 워크플로우를 통해 임시 권한을 부여하도록 설계했습니다. 자동화 스크립트에는 권한 상승 로그를 남기는 후크를 추가해 감사 가능성을 확보했습니다. 권한은 가능한 한 리소스그룹 또는 개별 리소스 범위로 제한했고, 구독 전체 권한은 예외적 상황에만 사용하도록 정책으로 통제했습니다.
구현 세부: 서비스 주체·OIDC·Managed Identity
구현 단계에서는 다음 옵션을 조합했습니다. 기존 서비스 주체+시크릿은 단계적으로 제거하고, GitHub Actions나 GitLab CI에서 OIDC(Federated Credential)를 통해 Azure AD에서 토큰을 발급받는 방식을 도입했습니다. OIDC를 사용하면 장기 시크릿을 저장할 필요가 없고, 토큰 수명이 짧아 노출 리스크가 낮습니다. 이와 병행해 Azure VM/VMSS, Azure Function 등에서 관리형 ID(Managed Identity)를 사용해 자격 증명을 완전히 제거한 파이프라인도 구성했습니다.
구현 예시는 Azure CLI로 서비스 주체를 생성하고, 특정 리소스 그룹에 Reader 및 Contributor 권한을 부여하는 기본 흐름입니다. 실제 운영에서는 이 명령을 Terraform/ARM/Azure Policy로 관리하여 선언적 추적을 적용했습니다.
# Azure CLI 예시: 서비스 주체 생성 및 역할 할당
az ad sp create-for-rbac --name "ci-pipeline-sp" --skip-assignment
# 리소스 그룹 스코프에 최소 권한 부여 (예: Reader + 특정 액션만 허용)
az role assignment create \
--assignee http://ci-pipeline-sp \
--role "Contributor" \
--scope /subscriptions/{SUB_ID}/resourceGroups/{RG_NAME}
# OIDC 연동을 권장: GitHub Actions 예시 (워크플로 내에서)
# uses: azure/login@v1
# with: client-id, tenant-id 대신 OIDC 토큰 기반 설정 가능
비밀 관리와 자동화
장기 비밀을 완전히 제거하기 어렵다면 Key Vault에 보관하고 접근은 관리형 아이덴티티로 제한했습니다. 파이프라인은 Key Vault에서 필요한 자격 증명만 동적으로 가져가고, 사용 후에는 명시적으로 지우도록 스텝을 구성했습니다. 또한 Terraform 혹은 ARM 템플릿으로 서비스 주체와 역할 할당을 선언적으로 관리해 drift를 감지했습니다.
운영·모니터링·감사 전략
권한 최소화의 효과를 보장하려면 지속적인 감사가 필수입니다. Azure Activity Log, Azure AD Sign-in 로그, Azure AD Audit 로그를 중앙 로그 저장소(Log Analytics)로 수집했고, 주요 이벤트(역할 할당 변경, 서비스 주체 생성/삭제, PIM 활동)는 알람으로 연결했습니다. 또한 파이프라인 레벨에서는 빌드별로 "신원 메타데이터"(어떤 서비스 주체 또는 OIDC 토큰이 사용되었는지)를 아티팩트와 함께 저장해 사건 발생 시 추적 가능하도록 했습니다.
권한 과다 사용의 징후(예: 특정 서비스 주체의 반복적인 실패 또는 잦은 높은 권한 사용)는 머신 룰로 감지해 수동 검토를 트리거했습니다. 권한 변경은 모두 PR 기반으로 진행되며, 변경 시 보안 담당자의 승인 절차를 거치게 했습니다.
현업 사례: 장애 및 보안 이슈와 대응
사례 1 — 배포 실패: 권한 범위 축소 후 파이프라인 에러
상황: 운영 배포 파이프라인이 인증 오류(403)로 갑자기 실패했습니다. 최근 보안 규칙 적용으로 서비스 주체의 권한을 구독 수준에서 리소스그룹 수준으로 축소한 직후였습니다. 원인: 배포 스크립트가 암묵적으로 다른 리소스그룹(로그 수집용 Storage)에도 접근하려 했으나 새로 제한된 스코프에 해당 리소스가 포함되지 않아 권한 부족이 발생했습니다.
해결 과정(단계별): 1) 로그 확인: Azure Activity Log와 파이프라인 실행 로그로 어떤 API 콜이 403을 반환했는지 식별했습니다. 2) 스코프 매핑: 실패한 API가 대상 리소스의 정확한 스코프(리소스ID)를 요구하는지 확인했습니다. 3) 긴급 패치: 배포를 위해 해당 리소스에 필요한 최소 역할만 임시로 추가(시간 제한)했습니다. 4) 근본 개선: 파이프라인을 분리해 로그 업로드를 담당하는 별도 신원을 만들고, 배포와 로그작업을 분리한 뒤 각 신원에 맞는 최소 권한만 부여했습니다.
사례 2 — 과다 권한으로 인한 잠재적 노출
상황: 보안 감시 중 한 서비스 주체가 다수의 구독에서 높은 권한을 가지고 있는 것을 발견했습니다. 이 서비스 주체는 과거 자동화 편의상 만들어졌고, 장기 비밀이 여러 저장소에 남아 있었습니다. 원인: 초기 설계 시 편의성을 우선하여 범위를 넓게 잡았고, 시간이 지나면서 소유자 변경·문서화 미비로 관리되지 않았습니다.
해결 과정(단계별): 1) 분류 및 리스크 평가: 해당 서비스 주체가 접근 가능한 리소스 목록과 최근 사용 내역을 조회해 영향 범위를 산정했습니다. 2) 시크릿 회수: 관련 저장소의 시크릿을 전면 교체하고, 모든 기존 장기 시크릿을 폐기했습니다. 3) 권한 축소 및 대체: 광범위 권한을 제거하고 필요한 작업별로 별도 신원을 만들어 권한을 분리했습니다. 4) 조직적 조치: 권한 관리 정책을 강화(정기 권한 리뷰, PIM 적용, 자동화된 만료 정책)해 동일 사건 재발을 방지했습니다.
모범사례 / 베스트 프랙티스
- 장기 시크릿을 사용하지 말고 OIDC 워크로드 연동이나 Managed Identity를 우선 적용할 것.
- RBAC 역할은 리소스그룹 또는 개별 리소스 단위로 좁혀서 할당하고 구독 전체 권한은 예외로 관리할 것.
- 권한 변경은 코드(PR)로 관리하고, 누가 언제 변경했는지 감사 로그를 남길 것.
- PIM과 임시 권한(Just-In-Time)을 도입해 권한 상승 시 승인·로깅을 의무화할 것.
- Key Vault와 같은 중앙 비밀 저장소를 사용하고, 접근은 관리형 ID로 제한할 것.
- 정기 권한 리뷰를 자동화하여 사용하지 않는 서비스 주체는 비활성화 또는 삭제할 것.
- 파이프라인별로 신원을 분리해 권한 범위를 최소화하고, 실패 시 빠르게 격리 가능한 구조로 설계할 것.
FAQ
- Q1: GitHub Actions나 GitLab CI에서 OIDC를 바로 쓰면 모든 보안 문제가 해결되나요?
- A1: 아니요. OIDC는 장기 시크릿 노출 리스크를 줄여주지만, 발급된 토큰에 부여된 권한과 스코프 설계가 여전히 중요합니다. 최소 권한 원칙과 토큰 사용 검증을 병행해야 합니다.
- Q2: 서비스 주체와 managed identity 중 어떤 것을 우선 사용해야 할까요?
- A2: Azure에서 호스팅되는 워크로드(예: VM, Function)라면 Managed Identity를 우선 사용하고, 외부 CI 시스템과 연동할 때는 OIDC 기반 워크로드 연동이 더 안전한 선택입니다.
- Q3: 권한 축소 후 파이프라인이 실패하면 어떻게 빠르게 복구하나요?
- A3: 사전 대비로 "긴급 복구 권한"을 별도 신원으로 준비해 두고, 실패 시 해당 신원으로 임시 권한을 부여해 배포를 마친 뒤 원상복구하는 절차를 마련하는 것이 좋습니다. 단, 이 방법은 엄격히 제어되어야 합니다.
- Q4: 여러 구독을 사용하는 조직에서 권한 관리는 어떻게 하나요?
- A4: 구독 단위로 별도 관리 정책을 적용하되, 공통 정책은 Azure Policy와 Management Group으로 중앙화하세요. 계정/서비스 주체의 권한은 구독별로 최소화하고, 공통 리소스 접근은 중앙화된 신원으로만 허용합니다.
- Q5: 권한 변경 내역을 자동으로 감사하려면 어떤 도구를 쓰는 것이 좋나요?
- A5: Azure Activity Log와 Azure AD Audit 로그를 Log Analytics에 집계하고, Azure Monitor 경고/Logic App/Function을 연결해 자동 알림 및 이슈 티켓을 생성하도록 구성하는 것을 권장합니다.
엔터프라이즈 팀 리더 경험담
에피소드 1 — CI용 서비스 계정의 과도한 권한 문제
문제
초기에는 여러 CI 파이프라인이 Azure AD에 등록된 서비스 프린시펄을 공용으로 사용하거나 Contributor 수준 권한을 부여받아 운영되었습니다. 권한 범위가 명확하지 않아 한 계정의 오용이 전체 환경에 영향을 줄 위험이 있었습니다.
접근
권한 최소화 원칙에 따라 다음을 우선 적용했습니다: 서비스 프린시펄 대신 가능한 곳은 Managed Identity로 전환, 환경(개발/스테이징/프로덕션)별로 역할(Role)과 범위를 명확히 분리, 권한 부여는 IaC(ARM/Bicep)로 표준화하여 사람이 직접 콘솔에서 권한을 주고받는 일을 줄였습니다. 또한 권한 변경 시 자동화된 승인 로그와 배포 이력을 남겨 추적 가능하게 했습니다.
결과
접근 제어와 자동화 배포 도입 후 인증 관련 사고의 평균 복구 시간(MTTR, 인증 관련)은 3.8시간에서 1.2시간으로 단축되었습니다.
회고
기술적으로는 Managed Identity와 IaC가 효과적이었지만, 조직 변화 관리(팀 교육·운영 절차 정착)에 더 많은 시간이 필요했습니다. 초기에는 개발팀의 예외 요청을 수동으로 처리하느라 표준 적용이 늦어졌고, 예외 사례를 줄이기 위한 템플릿과 FAQ 문서가 빠르게 필요했습니다.
에피소드 2 — 권한 스프롤과 감사 대응 부담
문제
조직이 커지면서 리포지토리·파이프라인·리소스별로 누가 어떤 권한을 갖는지 추적하기 어려웠고, 분기별 감사 시 권한 검증에 많은 시간이 소요되었습니다. 권한이 유효한지 확인하기 전까지는 임시로 높은 권한을 부여하는 사례도 있었습니다.
접근
Azure AD 그룹 기반 권한 모델을 도입하고, 임시 권한은 PIM(Priviledged Identity Management) 혹은 자체 승인 워크플로(기간 제한 승인)로 처리하도록 정책을 만들었습니다. 분기별 자동화 스캔으로 '활성화되지 않은 권한'과 '만료된 계정'을 추출해 담당자가 검토하도록 하여 스태그화된 권한을 줄였습니다.
결과
권한 관련 장애·오남용 건수(분기 기준)는 기존 9건에서 2건으로 감소했습니다. 감사 준비에 필요한 수작업 시간이 줄어들고, 권한 검증 주기가 짧아졌습니다.
회고
자동화로 많은 시간을 절약했지만, 정책의 예외 처리와 PIM 사용성에 대한 팀 내 교육이 충분히 병행되어야 합니다. 특히 운영팀과 개발팀 간 권한 위임 경계·책임을 문서로 명확히 하지 않으면 예외가 다시 늘어납니다.
에피소드 3 — CI 비밀값(토큰) 노출 사고 대응과 예방
문제
내부 테스트 레포에서 CI 토큰이 실수로 커밋되어 파이프라인이 권한으로 동작하는 사건이 발생했습니다. 초기 탐지까지 시간이 걸렸고, 즉시 권한을 차단해야 했습니다.
접근
우선 해당 토큰을 즉시 폐기하고 관련 서비스 프린시펄의 자격 증명을 전체 회전했습니다. 이후 동일 사고 재발을 막기 위해 레포지토리 스캔(Secret scanning)과 pre-commit 훅을 적용했고, CI에서는 가능한 경우 토큰 대신 Managed Identity/서비스 연결을 사용하도록 설계 변경했습니다. 또한 토큰 노출 시 자동화된 회전 및 알림 루틴을 도입했습니다.
결과
동일한 유형의 비밀 노출 사고는 도입 이후 확인되지 않았고, 인시던트 대응 절차가 문서화되어 담당자 교체 시에도 일관된 대응이 가능해졌습니다.
회고
기술적 대책(스캐닝, 자동 회전)과 운영적 대책(담당자 교육, 명확한 사고 대응 절차)의 병행이 중요했습니다. 처음에는 스캐닝의 위양성(false positive) 처리에 시간이 들어 운영 피로도가 생겼으나, 기준을 조정하고 절차를 단순화하면서 실효성이 높아졌습니다.
문제 vs 해결 전략 요약
| 문제 | 해결 전략 |
|---|---|
| 조직마다 제각각인 Azure AD로 사내 CI 사용자 권한 최소화 적용 경험 운영 방식 | 표준 아키텍처와 운영 상용구를 정의하고 서비스별로 변형만 허용 |
| 장애 후에야 뒤늦게 쌓이는 인사이트 | 사전 지표 설계와 SLO/에러 버짓을 기반으로 한 사전 탐지 체계 구축 |
| 문서와 실제 운영 사이의 괴리 | Infrastructure as Code와 같은 실행 가능한 문서 형태로 관리 |
결론 및 다음 액션
Azure AD를 활용한 CI 신원·권한 최소화는 기술적 변경뿐 아니라 운영 프로세스와 조직적 규율을 함께 개선해야 효과가 납니다. 아래 제안하는 다음 액션은 우리팀에서 우선 순위로 진행한 항목들입니다.
- 단기: 모든 CI 파이프라인의 신원 맵을 작성해 장기 시크릿 사용 현황을 파악하고, OIDC/Managed Identity 전환 대상을 선정할 것.
- 중기: RBAC 재정비 및 PIM 도입을 통해 권한 상승 경로를 제어하고, 권한 변경은 PR·자동화로만 허용하도록 정책을 강제할 것.
- 중기: 로그 수집·알림 체계를 정비해 역할 할당 변경, 비정상 인증 시도를 자동으로 탐지하도록 구성할 것.
- 장기: 권한 리뷰와 만료 정책을 자동화(예: 90일 미사용 서비스 주체 자동 비활성화)하고, 조직 내 교육을 통해 권한 관리 책임을 명확히 할 것.
실무 운영 중 추가로 궁금한 점이나 특정 환경(예: GitLab self-hosted, Azure DevOps, 온프레 연동 등)에 맞춘 구현 예시가 필요하시면 말씀해 주십시오. 적용 시 주의할 체크리스트와 템플릿을 공유하겠습니다.
댓글
댓글 쓰기