Microsoft
Microsoft
228+ 무료 연습 문제 (AI 검증 답안 포함)
Microsoft Security, Compliance, and Identity Fundamentals
모든 문제 &
정답 무료
상세
해설
실제 시험과
가장 유사AI 기반
모든 Microsoft SC-900 답안은 3개의 최고 AI 모델로 교차 검증하여 최고의 정확도를 보장합니다. 선택지별 상세 해설과 심층 문제 분석을 제공합니다.
HOTSPOT - 문장을 올바르게 완성하는 답을 선택하세요. 핫 영역:
______는 조사에 사용될 수 있는 전자 정보를 식별하고, 보존(홀드)하며, 내보내는 데 사용됩니다.
정답: C. eDiscovery. Microsoft Purview eDiscovery는 내부 조사, 소송, 또는 규제 기관의 요청에 필요할 수 있는 전자적으로 저장된 정보(ESI)를 식별하고, 보존(홀드 설정), 수집, 검토, 및 내보내는 데 사용됩니다. “식별, 홀드, 내보내기”라는 표현은 Microsoft 365 데이터 원본 전반에서의 검색, 삭제/변경을 방지하기 위한 legal hold 적용, 그리고 외부 검토 도구 또는 법률 자문을 위한 결과 내보내기 등 eDiscovery의 핵심 기능과 직접적으로 일치합니다. 다른 선택지가 틀린 이유: - A. Customer Lockbox는 지원 요청 중 Microsoft 지원 인력이 데이터에 접근하는 것을 승인/거부하는 것에 관한 기능이며, 조사/홀드/내보내기 도구가 아닙니다. - B. Data loss prevention (DLP)은 민감한 데이터가 공유되거나 유출(exfiltration)되는 것을 방지(정책 적용)하는 데 초점을 두며, legal hold 및 증거 내보내기와는 관련이 없습니다. - D. A resource lock은 Azure 리소스(예: storage account)의 실수로 인한 삭제/수정을 방지하기 위한 Azure 거버넌스 기능이며, 조사 콘텐츠를 보존하고 내보내기 위한 기능이 아닙니다.
Azure에서 사용자가 관리 작업을 완료할 수 있도록 2시간의 시간 창을 제공하는 데 무엇을 사용할 수 있습니까?
Azure AD(Microsoft Entra ID) Privileged Identity Management (PIM)은 just-in-time 권한 있는 액세스를 가능하게 합니다. 사용자는 역할에 대해 “eligible”로 할당된 뒤 제한된 기간(예: 2시간) 동안 이를 활성화할 수 있습니다. 활성화 시간 창이 끝나면 역할은 자동으로 제거(비활성화)됩니다. 또한 PIM은 MFA, 정당화, 승인 요구 및 감사 기능을 제공하므로 임시 관리 작업에 이상적입니다.
Azure Multi-Factor Authentication (MFA)은 sign-in 또는 민감한 작업 중에 두 번째 검증 방법을 추가합니다. MFA는 자격 증명 탈취 위험을 줄이고 관리자 작업에 요구될 수 있지만, 사용자에게 오직 2시간 동안만 관리 권한을 부여하는 메커니즘을 제공하지는 않습니다. MFA는 인증을 강화하는 것이지, 시간 제한이 있는 권한 부여/역할 상승을 제공하는 것이 아닙니다.
Azure AD(Microsoft Entra ID) Identity Protection은 ID 관련 위험(예: 유출된 자격 증명, 비정상 이동, risky sign-ins)을 탐지하고 대응합니다. 위험에 따라 MFA 요구 또는 암호 재설정 같은 remediation을 강제할 수 있습니다. 그러나 2시간과 같은 고정된 시간 창 동안 임시로 관리 역할을 활성화하는 데 사용되지는 않습니다.
Conditional Access policies는 조건(사용자/그룹, 위치, 디바이스 준수, 앱, risk 등)에 따라 액세스를 제어하고 MFA 같은 제어를 요구할 수 있습니다. Conditional Access는 기본적으로 just-in-time 역할 상승이나 설정된 기간 이후 관리자 권한의 자동 비활성화를 제공하지 않습니다. 관리자가 언제/어디서 sign-in할 수 있는지는 제한할 수 있지만, 시간 제한이 있는 관리자 권한을 부여하지는 못합니다.
핵심 개념: 이 문제는 Microsoft Entra ID(이전 Azure AD)에서 시간 제한이 있는 권한 있는 액세스를 테스트합니다. 핵심 기능은 필요할 때만, 그리고 제한된 기간 동안만 사용자에게 상승된 권한을 부여하여 상시 관리 권한(주요 보안 위험)을 줄이는 것입니다. 정답이 맞는 이유: Microsoft Entra ID Privileged Identity Management (PIM)은 “just-in-time”(JIT) 권한 있는 액세스를 제공하도록 설계되었습니다. PIM을 사용하면 사용자를 관리 역할(예: Global Administrator, Privileged Role Administrator 또는 Azure 리소스의 Azure RBAC 역할)에 대해 eligible로 만들고, 필요할 때만 해당 역할을 활성화할 수 있습니다. 활성화 시 최대 활성화 기간(예: 2시간)을 강제할 수 있으며, 그 시간이 지나면 역할이 자동으로 비활성화됩니다. 이는 “사용자가 관리 작업을 완료할 수 있도록 2시간의 시간 창을 제공”한다는 요구 사항과 정확히 일치합니다. 주요 기능 및 모범 사례: PIM은 시간 제한 활성화, 승인 워크플로, 활성화 시 MFA, 정당화/티켓팅, 권한 있는 역할 사용에 대한 경고/감사 기능을 지원합니다. 이러한 제어는 Azure Well-Architected Framework 보안 원칙(최소 권한, blast radius 감소, 강력한 거버넌스)과 부합합니다. 실제 운영에서 PIM은 break-glass 감소, 온콜 엔지니어를 위한 통제된 관리자 권한 상승, 변경 창 동안의 액세스 제한에 흔히 사용됩니다. 흔한 오해: MFA와 Conditional Access는 인증을 강화하고 액세스 조건을 제어할 수 있지만, 시간 기반으로 관리자 역할 멤버십을 부여하거나 회수하지는 않습니다. Identity Protection은 위험 탐지 및 sign-in/user risk에 기반한 자동화된 대응에 초점을 두며, 예약된 권한 상승을 위한 기능이 아닙니다. 시험 팁: “temporary admin access”, “time-bound elevation”, “just-in-time”, “eligible vs active role”, “approval to activate a role” 같은 표현이 보이면 PIM을 떠올리세요. MFA 요구, 디바이스 준수, 위치, 앱 제한과 관련된 질문이면 Conditional Access를, risky sign-ins/users에 관한 내용이면 Identity Protection을 생각하세요.
HOTSPOT - 다음 각 문장에 대해, 문장이 참이면 Yes를 선택하십시오. 그렇지 않으면 No를 선택하십시오. 참고: 각 정답 선택은 1점입니다. 핫 영역:
모든 Azure Active Directory (Azure AD) 라이선스 에디션에는 동일한 기능이 포함됩니다.
아니요. Azure AD/Microsoft Entra ID 라이선스 에디션에는 동일한 기능이 포함되지 않습니다. Free 에디션은 사용자 및 그룹 관리, 기본 security defaults, 많은 앱에 대한 single sign-on과 같은 핵심 directory services를 제공합니다. Premium 에디션은 고급 identity governance 및 보안 기능을 추가합니다. 예를 들어, Microsoft Entra ID P1에는 일반적으로 Conditional Access 및 dynamic groups가 포함되며, 이는 SC-900에서 자주 출제되는 개념입니다. Microsoft Entra ID P2는 Identity Protection(risk-based policies) 및 Privileged Identity Management (PIM)과 같은 상위 수준의 보호 기능을 추가합니다. 이러한 차이는 조직이 보안 및 규정 준수 요구 사항에 따라 라이선스를 선택하는 방식의 핵심입니다. 따라서 이 진술은 에디션별로, 그리고 Entra ID 기능을 포함하는 번들(예: Microsoft 365 E3/E5, EMS E3/E5)별로 기능 세트가 크게 달라지므로 거짓입니다.
Azure portal을 사용하여 Azure Active Directory (Azure AD) tenant를 관리할 수 있습니다.
예. Azure portal을 사용하여 Azure AD/Microsoft Entra ID tenant를 관리할 수 있습니다. Azure portal은 사용자 및 그룹 생성/관리, app registrations 구성, enterprise applications 관리, sign-in logs 검토(라이선스에 따라 다름), tenant 속성 설정과 같은 directory 관리 작업을 위한 관리 환경을 제공합니다. Azure portal 외에도 Microsoft는 identity 관리를 위한 전용 portal인 Microsoft Entra admin center도 제공합니다. 이는 최신 문서에서 흔히 언급됩니다. 그러나 Entra admin center가 존재한다고 해서 Azure portal이 관리 도구로서 유효하지 않다는 의미는 아닙니다. 시험 관점에서 기억할 점: Entra ID는 cloud service이며, 구성은 서버를 관리하는 방식이 아니라 web portals 및 APIs(예: Microsoft Graph)를 통해 수행됩니다.
Azure Active Directory (Azure AD) tenant를 호스팅하기 위해 Azure virtual machines를 배포해야 합니다.
아니요. Azure AD/Microsoft Entra ID tenant를 호스팅하기 위해 Azure virtual machines를 배포할 필요는 없습니다. Entra ID는 Microsoft가 관리하는 cloud identity service (SaaS)입니다. Microsoft가 기본 인프라를 운영하고, scaling, availability, patching을 처리하며, 사용자는 tenant를 생성하고 identity settings를 구성하여 서비스를 사용합니다. VM 배포는 IaaS에서 실행되는 Windows Server Active Directory Domain Services (AD DS) 같은 self-managed identity solutions 또는 on-prem AD DS identities를 Entra ID로 동기화하기 위한 hybrid identity components(일반적으로 server/VM에서 실행되는 Microsoft Entra Connect 등)와 관련이 있습니다. 따라서 hybrid 시나리오를 지원하기 위해 VMs가 사용될 수는 있지만, Entra ID tenant 자체를 “호스팅”하는 데 필수는 아니므로 해당 진술은 거짓입니다.
Microsoft 365에서 information barrier 정책을 구현하는 사용 사례는 무엇입니까?
오답입니다. Microsoft 365에 대한 인증되지 않은 액세스를 제한하는 것은 일반적으로 Microsoft Entra ID 인증, Conditional Access, MFA, 테넌트 액세스 설정으로 해결하는 ID/액세스 제어 시나리오입니다. information barriers는 인증된 사용자를 전제로 하며, 서비스에 대한 익명 액세스를 차단하는 것이 아니라 특정 내부 그룹 간 커뮤니케이션/협업을 방지하는 데 초점을 둡니다.
정답입니다. 대표적인 information barrier 사용 사례는 특정 내부 그룹이 Microsoft Teams(채팅, 통화, 모임, 팀 멤버십)에서 커뮤니케이션하지 못하도록 방지하는 것입니다. 이는 규제 또는 윤리적 분리(예: 금융 “wall” 시나리오)를 지원합니다. IB 정책은 세그먼트를 정의하고 그 사이의 커뮤니케이션을 차단하여 내부 직무 분리를 강제합니다.
정답입니다. information barriers는 정의된 세그먼트 간 Exchange Online 커뮤니케이션도 제한하여, 조직 내 특정 그룹 간 이메일 상호작용을 방지할 수 있습니다. 이는 내부 커뮤니케이션을 통제해야 하는 컴플라이언스 요구 사항(예: 법무/insider trading 제한)에 부합합니다. 정책 모델은 세그먼트 기반이며 지원되는 워크로드 전반에 적용됩니다.
오답입니다. 외부 이메일 수신자에게 데이터 공유를 제한하는 것은 일반적으로 Exchange Online 메일 흐름 규칙, anti-spam 정책, 테넌트 외부 공유 제어, DLP 정책, sensitivity labels/암호화를 통해 처리합니다. IB는 내부 세그먼테이션과 내부 그룹 간 커뮤니케이션 방지에 초점을 두며, 주로 외부 수신자 공유 제어를 위해 설계된 것은 아닙니다.
핵심 개념: Microsoft 365의 information barriers(IB)는 특정 사용자 또는 그룹이 서로 커뮤니케이션하거나 협업하지 못하도록 방지하기 위해 설계된 규정 준수(컴플라이언스) 제어입니다. 이는 규제, 법적 또는 윤리적 요구 사항을 충족하기 위해 일반적으로 사용됩니다(예: 금융 서비스에서 트레이딩과 자문 팀 같은 “insider” 그룹을 분리). 정답이 맞는 이유: information barriers의 주요 사용 사례는 Microsoft 365 워크로드 전반에서 조직의 특정 세그먼트 간 커뮤니케이션을 제한하는 것입니다. 여기에는 정의된 그룹 간 Microsoft Teams 상호작용(채팅, 통화, 모임, 팀 멤버십)을 방지하는 것과, 해당 그룹 간 Exchange Online 커뮤니케이션(이메일 및 관련 디렉터리 기반 상호작용)을 방지하는 것이 포함됩니다. 따라서 Teams 채팅 제한(B)과 Exchange Online 이메일 제한(C) 모두 유효한 사용 사례입니다. 주요 기능 및 구성 포인트: IB 정책은 “segments”(부서, 역할 또는 사용자 지정 특성과 같은 특성으로 그룹화된 사용자)를 기반으로 구성됩니다. 그런 다음 정책은 세그먼트가 커뮤니케이션할 수 있는지(“allow”) 또는 차단되어야 하는지(“block”)를 정의합니다. IB는 Microsoft Purview compliance 기능과 통합되며, 디렉터리 특성(Microsoft Entra ID)에 의존하여 사용자를 세그먼트에 배치합니다. 실제로 조직은 Azure Well-Architected Framework의 Security(최소 권한 및 직무 분리)와 Operational Excellence(정책 수명 주기 관리) 원칙에 맞춘 거버넌스 관행(명확한 세그먼테이션 전략, 변경 관리, 테스트)과 함께 IB를 구현합니다. 일반적인 오해: information barriers는 주로 인증되지 않은 액세스를 차단하기 위한 것이 아닙니다(이는 Conditional Access 같은 ID 및 액세스 관리 영역). 또한 외부 수신자에 대한 공유를 제한하는 주요 도구도 아닙니다. 이는 일반적으로 외부 공유 설정, DLP, sensitivity labels, Exchange 메일 흐름 규칙으로 처리합니다. 시험 팁: SC-900에서는 다음을 기억하세요: Information barriers = “그룹 간 내부 커뮤니케이션/협업 방지”(대개 규제 목적). Teams/Exchange에서 부서 간 커뮤니케이션을 분리한다는 선택지가 나오면 information barriers를 떠올리세요. 외부 공유 또는 인증되지 않은 액세스를 언급하면 다른 제어(Conditional Access, DLP, sensitivity labels, sharing policies)를 생각하세요.
HOTSPOT - 문장을 올바르게 완성하는 답을 선택하세요. 핫 영역:
Azure DDoS Protection Standard은(는) ______을(를) 보호하는 데 사용할 수 있습니다.
정답: D (virtual networks). Azure DDoS Protection Standard은 Virtual Network (VNet) 수준에서 활성화됩니다. VNet이 보호되면, DDoS Standard는 해당 VNet 내에서 public IP에 노출된(예: Azure Load Balancer, Application Gateway 또는 인터넷에 노출된 VM과 연결된 public IP) 적격 리소스에 대해 향상된 완화 기능을 제공합니다. 이것이 시험에서 기대하는 핵심 범위 개념입니다. DDoS Standard는 ID 객체나 관리 컨테이너가 아니라 VNet에 적용되는 네트워크 보호 서비스입니다. 다른 선택지가 틀린 이유: A (Azure AD applications)는 Azure AD 앱이 ID/애플리케이션 등록이기 때문에 틀립니다. DDoS Standard는 Azure AD 앱 객체에 연결되거나 이를 보호하지 않습니다. B (Azure AD users)는 DDoS가 ID 공격 유형이 아니므로 틀립니다. Azure AD 사용자 보호는 Microsoft Entra ID Protection 및 Conditional Access 같은 서비스로 처리됩니다. C (resource groups)는 resource group이 리소스를 위한 논리적 관리 컨테이너이기 때문에 틀립니다. DDoS Standard는 resource group 범위에서 활성화되지 않습니다. VNet에서 활성화하며, 그 VNet 내의 리소스가 보호의 혜택을 받습니다.
이동 중에도 모든 문제를 풀고 싶으신가요?
Cloud Pass를 무료로 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.
HOTSPOT - 문장을 올바르게 완성하는 답을 선택하세요. 핫 영역:
______는 Microsoft 직원, 파트너, 고객의 모범 사례를 제공하며, Azure 배포를 지원하기 위한 도구와 지침을 포함합니다.
정답: C (The Microsoft Cloud Adoption Framework for Azure). Cloud Adoption Framework (CAF)는 Azure에서 워크로드를 채택하고 배포하기 위한 모범 사례, 지침, 도구를 제공하도록 명시적으로 설계되었습니다. 여기에는 구조화된 방법론(Strategy, Plan, Ready, Adopt, Govern, Manage)과 landing zone 지침, 거버넌스 및 관리 모범 사례, 조직 정렬 권장 사항과 같은 실용적인 리소스가 포함됩니다. “Microsoft 직원, 파트너, 고객의 모범 사례”라는 표현은 CAF의 목적과 포지셔닝에 매우 부합합니다. 다른 선택지가 틀린 이유: - A (Azure Blueprints)는 아티팩트(policies, role assignments, templates)를 번들링하여 규정을 준수하는 환경의 배포를 오케스트레이션하고 반복할 수 있도록 돕는 거버넌스/배포 메커니즘입니다. 주로 모범 사례 지침 라이브러리는 아닙니다. - B (Azure Policy)는 리소스에 규칙(audit/deny/modify)을 적용하여 준수 여부를 평가하고 강제하는 서비스입니다. 광범위한 채택 모범 사례를 제공하지는 않습니다. - D (A resource lock)은 리소스의 실수로 인한 삭제 또는 수정을 방지하기 위한 보호 제어이며, 배포 지침이나 모범 사례 프레임워크를 제공하지 않습니다.
HOTSPOT - 문장을 올바르게 완성하는 답을 선택하세요. Hot Area:
Federation은 조직 간에 ______을(를) 설정하는 데 사용됩니다.
Federation은 조직 간에 a trust relationship을(를) 설정하는 데 사용됩니다. federated 구성에서 한 조직(신뢰 당사자/relying party 또는 서비스 제공자/service provider)은 다른 조직의 identity provider가 사용자를 인증하고 security token(claims)을 발급하는 것을 신뢰합니다. 이러한 신뢰를 통해 사용자는 다른 조직의 리소스에 액세스하면서도 자신의 소속 조직 자격 증명을 사용해 로그인할 수 있어, 조직 간 SSO를 가능하게 합니다. 다른 선택지가 틀린 이유: A (MFA): Multi-factor authentication은 identity system 내에서 적용할 수 있는 제어이지만, Federation 자체가 “MFA를 설정”하는 것은 아닙니다. 어느 조직에서든 MFA를 요구할 수는 있으나, Federation의 핵심 목적은 아닙니다. C (user account synchronization): synchronization은 디렉터리 간에 identity object를 복사하거나 정렬합니다(예: Entra Connect가 AD DS에서 동기화). Federation은 token 기반 trust에 의존하므로 password를 동기화할 필요가 없습니다. D (VPN connection): VPN은 네트워크 수준의 연결을 제공합니다. Federation은 identity/authentication 메커니즘이며 VPN과는 독립적으로 동작합니다.
Azure Sentinel과 다른 보안 소스 간의 실시간 통합을 제공하기 위해 무엇을 사용합니까?
Azure AD Connect는 on-premises Active Directory와 Microsoft Entra ID 간에 identity를 동기화하는 데 사용됩니다. 그 목적은 user, group 및 authentication 관련 설정 동기화와 같은 hybrid identity 활성화입니다. 이것은 security telemetry를 위한 Microsoft Sentinel ingestion 또는 integration 기능으로 동작하지 않습니다. identity 관련 log를 Sentinel에서 모니터링할 수는 있지만, Azure AD Connect는 해당 log를 Sentinel에 연결하는 데 사용하는 도구가 아닙니다.
Log Analytics workspace는 Microsoft Sentinel이 사용하는 기본 data store이자 analytics engine입니다. 수집된 log가 저장되고 쿼리되는 위치이지만, 외부 security source와의 연결을 설정하는 기능 자체는 아닙니다. 즉, workspace는 대상이자 분석 계층이고, connector는 통합 메커니즘입니다. 따라서 이것은 Sentinel의 필수 구성 요소이지만, 이 문제에 대한 최선의 답은 아닙니다.
Azure Information Protection은 민감한 정보를 분류, 레이블 지정 및 보호하기 위한 service입니다. 데이터 보호 및 규정 준수 목적을 위해 문서와 email에 encryption 및 사용 제한을 적용하도록 조직을 지원합니다. 이것은 외부 security data source를 통합하기 위한 Microsoft Sentinel 기능이 아닙니다. 관련 service의 event가 최종적으로 Sentinel에서 모니터링될 수는 있지만, Azure Information Protection 자체는 해당 source를 연결하는 데 사용되는 메커니즘이 아닙니다.
connector는 Microsoft Sentinel이 Microsoft 및 third-party security source와 통합하기 위해 data connector를 사용하므로 정답입니다. 이러한 connector는 API, agent, Syslog/CEF 또는 Microsoft-native integration을 통해 데이터가 어떻게 수집되고 Sentinel로 수집되는지를 정의합니다. 구성이 완료되면 유입되는 security data를 analytics rule, hunting query, incident 조사에 사용할 수 있습니다. 시험에서는 source를 Sentinel에 연결하는 표준 용어로 'connector' 또는 'data connector'를 사용합니다.
핵심 개념: Microsoft Sentinel(이전 명칭 Azure Sentinel)은 cloud-native SIEM/SOAR입니다. 그 가치는 여러 소스(Microsoft 및 third-party)로부터 security data를 수집하는 데 달려 있습니다. 실시간 또는 near-real-time 통합은 기본 제공 data connector(및 API 기반 수집, agent 기반 수집, streaming과 같은 관련 ingestion 방법)를 통해 이루어집니다. 정답인 이유: connector(data connector)는 다른 security source를 통합하고 해당 logs/alerts를 Sentinel로 지속적으로 수집하는 데 사용되는 Sentinel 기능입니다. connector는 Microsoft Defender 제품, Microsoft Entra ID, AWS, Palo Alto, Cisco 등 다양한 소스로부터 데이터를 가져오거나 수신하기 위한 구성과 연결 방식을 제공합니다. 많은 connector는 near-real-time ingestion을 지원하며, 해당 소스에 맞춘 incident 생성, analytics rule template, workbook과 같은 추가 기능도 제공합니다. 주요 기능 / 구성 포인트: - connector는 Microsoft Sentinel의 Content management / Data connectors에서 관리합니다. - connector는 일반적으로 다음 패턴 중 하나를 사용합니다: Azure Monitor Agent/Log Analytics agent, REST API, Event Hubs/CEF/Syslog 또는 Microsoft-native integration. - 데이터는 Sentinel이 연결된 Log Analytics workspace의 table로 저장되며, 이후 analytics rule이 해당 데이터(KQL)를 쿼리하여 alert/incident를 생성합니다. - 모범 사례(Azure Well-Architected Framework – Security and Operational Excellence): 지원되는 connector로 ingestion을 표준화하고, data health(connector 상태, data volume)를 검증하며, API permission에는 least privilege를 사용합니다. 일반적인 오해: 많은 학습자가 Log Analytics workspace를 통합 메커니즘과 혼동합니다. workspace는 storage/analytics backend이지만, 그 자체로 새로운 source를 실시간으로 “통합”하지는 않습니다. 데이터를 workspace로 가져오려면 여전히 connector(또는 custom ingestion)가 필요합니다. 마찬가지로 Azure AD Connect와 Azure Information Protection은 security/identity service이지만 Sentinel 통합 메커니즘은 아닙니다. 시험 팁: SC-900에서는 다음을 기억하세요: Sentinel은 “data connector”를 통해 data source를 통합합니다. Log Analytics workspace는 Sentinel에 필요하지만, 다른 security source의 데이터를 가져오는 데 사용하는 것은 connector입니다. 문제에서 “Sentinel을 다른 security source와 통합”한다고 하면, 가장 안전한 답은 일반적으로 “connector”입니다.
규제 표준(예: International Organization for Standardization (ISO))에 대해 Microsoft 클라우드 서비스가 어떻게 준수하는지에 대한 정보를 제공하는 Microsoft 포털은 무엇입니까?
Microsoft Endpoint Manager admin center (Intune)는 디바이스, 앱, 엔드포인트 보안 정책(예: 규정 준수 정책, 구성 프로필, conditional access 통합)을 관리하는 데 사용됩니다. 디바이스가 조직의 규정 준수 규칙을 충족하는지 보고할 수는 있지만, Microsoft 클라우드 서비스에 대한 Microsoft의 제3자 감사 증명서(예: ISO 인증서)를 제공하지는 않습니다. 이는 규정 준수 증빙 저장소가 아니라 운영 관리 포털입니다.
Azure Cost Management + Billing은 재무 거버넌스에 초점을 둡니다. 지출, 예산, 비용 할당, 청구 계정/구독을 추적합니다. 비용 최적화(Azure Well-Architected cost pillar)에는 도움이 되지만 ISO와 같은 표준에 대한 규제 준수를 입증하는 것과는 관련이 없습니다. 그곳에서는 감사 보고서나 규정 준수 증명서를 찾을 수 없으며, 비용 분석 및 청구 관리를 위한 것입니다.
Microsoft Service Trust Portal이 정답인 이유는 ISO/IEC 27001과 같은 표준에 대한 인증, 감사 보고서, 증명서를 포함하여 Microsoft 클라우드 서비스에 대한 공식 규정 준수 문서와 증빙을 제공하기 때문입니다. 이는 고객의 실사, 감사, 규제 요구사항을 지원하도록 설계되었으며, Microsoft가 인정된 프레임워크와 표준을 준수함을 보여주는 다운로드 가능한 보고서와 규정 준수 리소스를 제공합니다.
Azure Active Directory admin center(현재 Microsoft Entra admin center)는 ID, 인증 방법, conditional access, 테넌트 보안 설정을 관리하는 데 사용됩니다. 보안 통제를 구현하는 데는 도움이 되지만, Microsoft의 규정 준수 증명서(예: ISO 감사 보고서)를 제공하는 권위 있는 출처는 아닙니다. 외부 표준에 대한 Microsoft의 규정 준수 증빙이 필요하다면 Service Trust Portal을 사용해야 합니다.
핵심 개념: 이 문제는 Microsoft가 자사의 클라우드 서비스(Microsoft 365, Azure, Dynamics 365)가 외부 규제 표준 및 인증(예: ISO/IEC 27001, SOC, PCI DSS)을 어떻게 충족하는지에 대한 공식 준수 문서를 어디에 게시하는지에 대한 지식을 평가합니다. SC-900에서는 기본 보안/규정 준수 개념에 해당하며, 조직이 클라우드 제공업체의 규정 준수 상태를 어떻게 검증하는지 이해하는 것을 다룹니다. 정답이 맞는 이유: Microsoft Service Trust Portal (STP)은 규정 준수 리소스를 제공하는 Microsoft의 주요 공개 포털입니다. 이 포털은 Microsoft 클라우드 서비스가 다양한 규제 및 산업 표준을 충족함을 입증하는 감사 보고서, 규정 준수 가이드, 인증서 및 문서에 대한 액세스를 제공합니다. 특히 ISO의 경우, STP에서 일반적으로 ISO 인증서, 감사 증명서, 관련 규정 준수 문서를 찾습니다. 이는 거버넌스 및 리스크 관리 요구사항에 부합하며 Azure Well-Architected Framework의 Security pillar(리스크 관리, 보증, 규정 준수 증빙)와도 일치합니다. 주요 기능: STP에는 Compliance Manager(평가 기반 규정 준수 상태 추적), 다운로드 가능한 감사 보고서(예: SOC 보고서), 인증서/증명서(예: ISO/IEC 인증), 그리고 Microsoft 클라우드 보안 및 규정 준수 “trust” 콘텐츠와 같은 상세 문서가 포함됩니다. 이는 실사(due diligence), 벤더 리스크 관리, 규제 감사에 필요한 증빙을 요구하는 감사인, 규정 준수 담당자, 보안 팀을 위해 설계되었습니다. 흔한 오해: 학습자들은 Purview가 DLP, 보존, eDiscovery, 감사와 같은 규정 준수 기능을 구성하는 곳이기 때문에 STP를 Microsoft Purview compliance portal과 혼동하는 경우가 많습니다. 그러나 Purview는 주로 조직의 규정 준수 통제 및 데이터 거버넌스를 관리하기 위한 것이며, Microsoft의 제3자 감사 보고서 및 인증을 가져오는 용도가 아닙니다. 마찬가지로 Microsoft 365 admin center는 테넌트 관리용이고, Azure Cost Management는 지출/차지백용으로, 어느 쪽도 규정 준수 증명서 제공을 목적으로 하지 않습니다. 시험 팁: 문제에서 “감사 보고서”, “인증”, “증명서”, “ISO/SOC/PCI 문서”, 또는 “Microsoft가 어떻게 준수하는지”를 묻는다면 Service Trust Portal을 떠올리세요. DLP, 보존 레이블, eDiscovery처럼 규정 준수 정책을 “구성”하는 위치를 묻는다면 Microsoft Purview compliance portal을 떠올리세요. 사용자/테넌트 설정을 묻는다면 Microsoft 365 admin center, 비용/예산을 묻는다면 Azure Cost Management + Billing을 떠올리면 됩니다.
Azure 배포를 위한 공유 책임 모델에서 Microsoft가 단독으로 관리할 책임이 있는 것은 무엇입니까?
모바일 디바이스 관리는 Azure 배포에서 Microsoft의 단독 책임이 아닙니다. 디바이스 관리(등록, 규정 준수 정책, 앱 보호, 구성 프로필)는 일반적으로 고객이 Microsoft Intune(Microsoft Endpoint Manager) 같은 도구를 사용해 수행합니다. Microsoft는 서비스 플랫폼을 제공하지만, 고객이 정책을 정의하고 디바이스 플릿 및 규정 준수 요구 사항을 관리합니다.
Azure에 저장된 사용자 데이터에 대한 권한은 주로 고객의 책임입니다. Microsoft는 플랫폼을 보호하고 Azure RBAC, Microsoft Entra ID, 스토리지 액세스 제어, 로깅과 같은 기능을 제공하지만, 고객이 누가 데이터에 접근할 수 있는지 구성하고, 최소 권한을 적용하며, ID/역할을 관리하고, 거버넌스를 구현해야 합니다. 여기서의 잘못된 구성은 데이터 노출의 흔한 원인입니다.
사용자 계정의 생성 및 관리는 일반적으로 고객의 책임입니다. 고객은 Microsoft Entra ID에서 사용자, 그룹, 역할을 생성(또는 온프레미스에서 동기화)하고, 인증 방법을 설정하며, conditional access를 구성하고, 라이프사이클 프로세스(입사/이동/퇴사)를 관리합니다. Microsoft는 ID 서비스 인프라를 운영하지만, 어떤 계정이 존재하는지 또는 어떤 액세스를 갖는지는 결정하지 않습니다.
물리적 하드웨어 관리는 Azure에서 Microsoft의 단독 책임입니다. 여기에는 서버, 스토리지 어레이, 네트워킹 장비, 그리고 데이터센터 시설(전원, 냉각, 물리적 접근 통제)이 포함됩니다. 고객은 이 하드웨어에 접근하거나 유지보수할 수 없으며, 물리 계층에서 추상화된 Azure 서비스를 소비합니다. 이는 공유 책임 모델에서 가장 명확한 “제공자 단독” 책임입니다.
핵심 개념: 이 문제는 Azure 공유 책임 모델을 평가합니다. 클라우드 서비스에서는 보안 및 관리 책임이 클라우드 제공자(Microsoft)와 고객 간에 분담됩니다. 분담 범위는 서비스 유형(IaaS, PaaS, SaaS)에 따라 달라지지만, 일부 책임은 항상 Microsoft에 남습니다. 정답인 이유: Microsoft는 Azure를 구동하는 물리적 인프라를 단독으로 관리할 책임이 있습니다. 여기에는 데이터센터, 물리적 서버, 스토리지 장치, 네트워킹 장비, 그리고 환경 제어(전원, 냉각, 물리적 접근 통제)가 포함됩니다. 고객은 이 하드웨어를 직접 관리하거나 접근하지 않습니다. 이는 퍼블릭 클라우드의 기본 약속으로, 제공자가 기반 물리 계층을 소유·운영하며 가용성, 유지보수, 교체, 물리적 보안에 대해 책임을 진다는 의미입니다. 알아야 할 주요 기능/관행: Microsoft는 물리적 보안 통제(경비, 카메라, 출입 배지, 보안 경계), 하드웨어 라이프사이클 관리, 그리고 데이터센터 및 리전 수준의 복원력을 구현합니다. 이러한 통제는 플랫폼이 복원력 있고 보호되도록 보장함으로써 Azure Well-Architected Framework(특히 Reliability 및 Security 기둥)와 정렬됩니다. 고객은 그 위에서 ID, 네트워크 통제, 암호화, 모니터링을 구성하지만, 물리적 구성 요소를 패치하거나 교체하지는 않습니다. 흔한 오해: 학습자들은 “사용자 데이터에 대한 권한” 또는 “사용자 계정”도 보안과 관련되어 있으므로 Microsoft가 관리한다고 가정하는 경우가 많습니다. 실제로 Azure에서 ID 및 액세스 관리(IAM)와 데이터 액세스 권한은 주로 고객의 책임입니다(예: Microsoft Entra ID 구성, RBAC, conditional access, 키 관리 선택). Microsoft는 도구와 보안 기본값을 제공하지만, 누가 무엇에 접근할 수 있는지는 고객이 결정합니다. 시험 팁: SC-900에서는 기본을 암기하세요: Microsoft는 항상 물리적 보안과 기반 클라우드 인프라에 책임이 있습니다. 고객은 항상 자신의 데이터, ID, 액세스 구성에 책임이 있습니다. 하드웨어/데이터센터/물리적 네트워크를 언급하는 선택지는 보통 Microsoft의 단독 책임이며, 사용자/권한/디바이스를 언급하는 선택지는 보통 고객의 책임입니다(SaaS에서는 일부 변동 가능).
이동 중에도 모든 문제를 풀고 싶으신가요?
Cloud Pass를 무료로 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.
HOTSPOT - 다음 각 진술에 대해, 진술이 참이면 Yes를 선택합니다. 그렇지 않으면 No를 선택합니다. 참고: 각 정답 선택은 1점입니다. 핫 영역:
Control은 Microsoft의 핵심 개인정보 보호 원칙입니다.
예. “Control”은 Microsoft의 핵심 개인정보 보호 원칙입니다. Microsoft 개인정보 보호 지침에서 control은 고객과 개인에게 의미 있는 선택권과, 자신의 데이터가 어떻게 수집, 사용, 공유되는지를 관리할 수 있는 능력을 제공하는 것을 의미합니다. 클라우드 맥락에서는 개인정보 보호 설정 구성, 데이터 보존 관리, 데이터 저장 위치 선택(해당되는 경우), 데이터에 접근·내보내기·삭제할 수 있는 도구 사용과 같은 기능으로 나타납니다. 아니요가 아닌 이유: Microsoft는 고객 control을 개인정보 보호의 기반으로 명시적으로 제시합니다. 고객은 자신의 데이터가 어떻게 처리되는지 결정하고 그에 맞게 서비스를 구성할 수 있어야 합니다. 이는 MFA와 같은 보안 control과는 구별되는데, 여기서의 강조점은 위협으로부터의 보호만이 아니라 개인정보 보호 선택과 데이터 처리 방식에 있기 때문입니다.
투명성은 Microsoft의 핵심 개인정보 보호 원칙입니다.
예. “투명성(Transparency)”은 Microsoft의 핵심 개인정보 보호 원칙입니다. 투명성이란 Microsoft가 개인정보 보호 관행—어떤 데이터가 수집되는지, 왜 수집되는지, 어떻게 사용되는지, 얼마나 오래 보관되는지, 누구와 공유될 수 있는지—에 대해 명확하게 커뮤니케이션한다는 의미입니다. 이는 일반적으로 개인정보 처리방침, 제품 문서, 감사/규정 준수 문서, 서비스별 공개 사항을 통해 반영됩니다. 아니요가 아닌 이유: 투명성은 정보에 기반한 의사결정을 가능하게 하고 규정 준수 의무(예: GDPR의 고지 요구사항)를 지원하기 때문에 Microsoft의 개인정보 보호 체계에서 반복적으로 강조됩니다. 시험 관점에서 투명성은 개인정보 보호 원칙인 반면, 위협 보호나 ID 거버넌스 같은 항목은 개인정보 보호 원칙이 아니라 보안/ID 기능입니다.
공유 책임은 Microsoft의 핵심 개인정보 보호 원칙입니다.
아니요. “공유 책임(Shared responsibility)”은 Microsoft의 개인정보 보호 원칙이 아니라, 보안 및 규정 준수에 대한 책임이 Microsoft(클라우드 제공자)와 고객 간에 어떻게 분담되는지를 설명하는 클라우드 서비스 모델 개념(Shared responsibility model)입니다. 예를 들어, Microsoft는 클라우드의 보안(물리적 데이터센터, 핵심 인프라)에 대한 책임이 있는 반면, 고객은 IaaS/PaaS/SaaS에 따라 클라우드 내 보안(Identity 구성, 데이터 분류, 액세스 관리, Endpoint 보안 등)에 대한 책임이 있습니다. 왜 ‘예’가 아닌가: 공유 책임은 개인정보 보호 결과에 강하게 영향을 미치지만(고객이 개인정보 보호 의무를 충족하기 위해 서비스를 적절히 구성해야 함), Microsoft는 “공유 책임”을 개인정보 보호 원칙으로 나열하지 않습니다. 이는 개인정보 보호 약속(예: control 또는 transparency)이라기보다 클라우드 보안/규정 준수 기초에서 다루는 내용입니다.
HOTSPOT - 문장을 올바르게 완성하는 답을 선택하세요. 핫 영역:
파일을 ______ 하면 해당 파일의 데이터는 적절한 key를 가진 뷰어가 읽고 사용할 수 있게 됩니다.
정답: D. Encrypting. 파일을 Encrypting 하면 encryption algorithm과 cryptographic key를 사용하여 읽을 수 있는 plaintext를 읽을 수 없는 ciphertext로 변환합니다. 적절한 key(그리고 이를 사용할 권한)를 가진 뷰어(사용자, 서비스 또는 애플리케이션)만 파일을 decrypt하여 데이터를 다시 읽고 사용할 수 있게 만들 수 있습니다. 이는 문장의 표현인 “적절한 key를 가진 뷰어가 읽고 사용할 수 있음”과 정확히 일치합니다. 다른 선택지가 틀린 이유: - A. Archiving: 일반적으로 파일을 묶거나 장기 스토리지로 이동(보존, 백업 또는 규정 준수 목적)하는 것을 의미합니다. Archived 데이터는 별도로 encrypted되지 않는 한 key 없이도 읽을 수 있을 수 있습니다. - B. Compressing: 데이터를 더 효율적으로 인코딩하여 파일 크기를 줄입니다. Compressed 파일은 decompress할 수 있는 누구나 읽을 수 있으며, 본질적으로 cryptographic key가 필요하지 않습니다. - C. Deduplicating: 중복 데이터 블록을 제거하여 스토리지를 절약합니다. 이는 데이터가 저장되는 방식을 바꾸는 것이지, 누가 읽을 수 있는지를 바꾸는 것이 아닙니다. 시험 팁: 문제에 “key”, “ciphertext”, “decrypt”, 또는 “authorized된 뷰어만 읽을 수 있음”이 언급되면 encryption을 가리키는 것입니다.
HOTSPOT - 다음 각 문장에 대해 문장이 참이면 Yes를 선택합니다. 그렇지 않으면 No를 선택합니다. 참고: 각 정답 선택은 1점입니다. 핫 영역:
Azure Active Directory (Azure AD)에서 사용자 지정 역할을 만들 수 있습니다.
예. Azure Active Directory (Microsoft Entra ID)에서 사용자 지정 역할을 만들 수 있습니다. 이는 일반적으로 사용자 지정 디렉터리 역할(custom directory roles)이라고 합니다. 이러한 역할을 사용하면 User Administrator 또는 Security Administrator와 같은 기본 제공 역할에만 의존하는 대신, 특정 권한 집합(디렉터리 수준 권한)을 가진 역할을 정의할 수 있습니다. 이는 업무 기능에 필요한 정확한 권한만 부여함으로써 최소 권한 원칙을 지원합니다. “아니요”가 틀린 이유: Entra ID는 기본 제공 역할만으로 제한되지 않습니다. 많은 조직이 기본 제공 역할로 시작하지만, 더 세분화된 관리 요구 사항을 충족하기 위해 사용자 지정 역할을 사용할 수 있습니다. 흔한 시험 함정에 유의하세요. Entra ID 사용자 지정 디렉터리 역할을 Azure RBAC 사용자 지정 역할과 혼동하지 마세요. 둘 다 존재하지만 적용 범위가 다릅니다(디렉터리 vs Azure 리소스). 이 문장은 “in Azure AD”라고 명시하고 있으므로 여전히 참입니다.
Global administrator는 Azure Active Directory (Azure AD)의 역할입니다.
예. Global administrator는 Azure Active Directory (Microsoft Entra ID)의 역할입니다. 이는 가장 높은 권한을 가진 디렉터리 역할이며, 사용자, 그룹, app registrations 및 다양한 tenant-wide 설정 관리를 포함해 tenant 전반에 걸친 광범위한 권한을 가집니다. 권한이 매우 강력하므로, 모범 사례는 Global administrator의 수를 최소화하고, 전용 admin 계정을 사용하며, 강력한 인증(MFA)과 privileged access controls로 보호하는 것입니다. “아니요”가 틀린 이유: Global administrator는 가장 기본적인 built-in Entra ID 역할 중 하나이며 Microsoft identity 문서와 시험 목표에서 자주 언급됩니다. 또 다른 흔한 혼동은 Azure subscription 역할(Owner/Contributor)과의 혼동인데, Global administrator는 Azure resource RBAC 역할이 아니라 디렉터리 역할입니다.
Azure Active Directory (Azure AD) 사용자는 하나의 role만 할당될 수 있다.
아니오. Azure AD (Microsoft Entra ID) 사용자는 여러 role을 할당받을 수 있다. role 할당은 사용자당 하나의 role로 제한되지 않는다. 예를 들어, 사용자는 User Administrator와 Application Administrator를 동시에 맡을 수 있으며, 또는 security 및 compliance 운영을 위한 추가 role을 보유할 수도 있다. 이러한 유연성은 실제 운영 요구를 지원하지만, 과도한 privilege를 방지하기 위해 신중하게 관리되어야 한다. “예”가 틀린 이유: Entra ID role-based access는 누적(additive)되도록 설계되어 있다. 사용자를 하나의 role로만 제한하는 것은 비현실적이며 조직이 지나치게 광범위한 role에 의존하도록 만들 수 있다. security best-practice 관점에서는 여전히 least privilege와 separation of duties를 따라야 하지만, 플랫폼 기능 자체는 (직접 또는 지원되는 경우 group-based role assignment를 통해) 여러 role 할당을 확실히 허용한다.
핫스팟 - 다음 각 문장에 대해, 문장이 참이면 Yes를 선택합니다. 그렇지 않으면 No를 선택합니다. 참고: 각 정답 선택은 1점입니다. 핫 영역:
Azure Active Directory (Azure AD)는 온프레미스 환경에 배포됩니다.
아니요. Azure Active Directory (Azure AD)(현재 Microsoft Entra ID)는 Microsoft가 호스팅하고 운영하는 클라우드 기반 디렉터리 및 ID 서비스입니다. Windows Server Active Directory Domain Services (AD DS)를 도메인 컨트롤러에 배포하는 방식처럼 Azure AD를 온프레미스 환경에 배포하지는 않습니다. 온프레미스에 배포할 수 있는 것은 Microsoft Entra Connect(이전 Azure AD Connect)처럼 온프레미스 AD DS의 ID를 Azure AD로 동기화하는 구성 요소, Pass-through Authentication 에이전트, 또는 페더레이션을 위한 Active Directory Federation Services (AD FS) 등 Azure AD와 통합되는 구성 요소입니다. 이러한 구성 요소는 하이브리드 ID 모델을 가능하게 하지만, Azure AD 자체는 클라우드 서비스로 남아 있습니다. “예”가 틀린 이유: Azure AD를 AD DS와 혼동했기 때문입니다. AD DS는 온프레미스에 설치하고 관리하지만, Azure AD는 Microsoft의 클라우드에서 서비스(SaaS)로 사용합니다.
Azure Active Directory (Azure AD)는 Microsoft 365 구독의 일부로 제공됩니다.
예. Azure AD (Microsoft Entra ID)는 Microsoft 365 구독의 일부로 제공되는데, Microsoft 365가 테넌트 ID, 인증, 액세스 제어를 위해 Azure AD에 의존하기 때문입니다. 조직이 Microsoft 365에 가입하면 테넌트가 생성되며, 이는 Azure AD 디렉터리에 의해 지원됩니다. 시험에서 중요한 뉘앙스: Azure AD는 포함되지만, 포함되는 기능은 라이선스에 따라 달라집니다. Microsoft 365에는 기본 Azure AD 기능(종종 Entra ID Free로 지칭됨)이 포함됩니다. Conditional Access, Identity Protection, Privileged Identity Management와 같은 더 고급 ID 및 액세스 기능은 Microsoft Entra ID P1/P2 또는 이를 포함하는 제품군이 필요합니다(예: Microsoft 365 E3/E5에는 서로 다른 보안/ID 권한이 포함됨). “아니요”가 틀린 이유: 이는 Microsoft 365가 Azure AD 없이 동작한다는 의미가 되는데, 실제로는 그렇지 않습니다. Azure AD는 Microsoft 365 로그인 및 권한 부여의 기반입니다.
Azure Active Directory (Azure AD)는 identity and access management 서비스입니다.
예. Azure Active Directory (Microsoft Entra ID)는 identity and access management (IAM) 서비스입니다. 주요 목적은 identity(사용자, 그룹, service principal)를 관리하고 authentication(사용자가 누구인지 확인) 및 authorization(무엇을 할 수 있는지)을 통해 리소스에 대한 액세스를 제어하는 것입니다. 실무에서 Azure AD는 Microsoft 365, Azure 및 타사 SaaS 앱에 대한 Single Sign-On (SSO), Multi-Factor Authentication (MFA), Conditional Access 정책, application registration 및 OAuth/OpenID Connect/SAML 기반 sign-in, 그리고 device identity 통합과 같은 기능을 제공합니다. 이는 IAM의 핵심 기능입니다. “아니요”가 틀린 이유: Azure AD를 네트워크 보안 도구나 순수한 on-prem directory 같은 것으로 잘못 분류하게 됩니다. on-prem AD DS와 통합할 수는 있지만, Azure AD의 핵심 역할은 cloud IAM이며 least privilege 및 strong authentication 같은 best practice와도 부합합니다.
HOTSPOT - 문장을 올바르게 완성하는 답을 선택하세요. 핫 영역:
Windows Hello for Business에서 인증에 사용되는 사용자의 생체 인식 데이터는 ______
정답: B. Windows Hello for Business에서는 사용자의 생체 인식 데이터(생체 인식 템플릿)가 로컬 장치에만 저장됩니다. 생체 인식은 암호화 키(일반적으로 TPM으로 보호됨)를 잠금 해제하기 위한 로컬 제스처로 사용됩니다. Azure AD/Entra ID는 생체 인식 템플릿을 수신하거나 저장하지 않으며, 인증을 검증하는 데 필요한 연관된 공개 키 정보만 보유합니다. 다른 선택지가 틀린 이유: A는 WHfB가 표준 모델에서 생체 인식 데이터를 외부 장치에 저장하지 않기 때문에 틀립니다. 템플릿은 등록이 이루어진 장치에 보관됩니다. C는 Azure AD가 생체 인식 템플릿을 저장하지 않기 때문에 틀립니다. 생체 정보를 중앙에 저장하면 프라이버시 및 침해 위험이 증가합니다. D는 생체 인식 템플릿이 사용자의 장치들 간에 복제되지 않기 때문에 틀립니다. 각 장치는 자체 로컬 생체 인식 등록과 자체 키 자료 등록을 가집니다.
이동 중에도 모든 문제를 풀고 싶으신가요?
Cloud Pass를 무료로 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.
Azure Active Directory (Azure AD) Password Protection의 목적은 무엇입니까?
오답입니다. 사용자가 비밀번호를 얼마나 자주 변경해야 하는지 제어하는 것은 비밀번호 만료/사용 기간 정책(예: 레거시 password policy settings 또는 AD DS의 domain password policies)과 관련이 있습니다. Entra ID Password Protection은 순환 빈도를 설정하지 않으며, 비밀번호가 생성되거나 변경될 때 금지 목록에 대해 비밀번호 강도를 평가합니다. 또한 현대 모범 사례는 잦은 강제 변경보다 강력한 비밀번호와 MFA를 강조합니다.
오답입니다. MFA 없이 로그인할 수 있는 디바이스를 식별하는 것은 Conditional Access policies, 디바이스 규정 준수(Intune), trusted locations 또는 authentication strengths 같은 개념을 통해 처리됩니다. Password Protection은 디바이스 신뢰 또는 MFA 요구 사항을 평가하지 않으며, 비밀번호 설정/변경 작업 중에 비밀번호 문자열만 검사하여 취약하거나 금지된 비밀번호를 차단합니다.
오답입니다. 비밀번호를 암호화하거나 해싱하는 것은 자격 증명 저장 및 인증 메커니즘(예: salted hashes, secure protocols)의 일부이지, Password Protection의 목표가 아닙니다. Entra ID Password Protection은 애초에 취약한 비밀번호가 선택되지 않도록 하는 데 초점을 둡니다. 전 세계적으로 인정되는 표준을 사용해 “비밀번호를 암호화”하는 사용자 대상 기능을 제공하지 않습니다.
정답입니다. Entra ID Password Protection은 Microsoft의 전역 목록과 조직의 사용자 지정 목록에 있는 금지 용어를 포함하는 비밀번호를 차단하여 사용자가 취약한 비밀번호를 사용하지 못하게 합니다. 여기에는 흔한 단어와 예측 가능한 패턴이 포함되며, 변형을 잡아내기 위해 정규화/fuzzy matching을 사용합니다. 목적은 쉽게 추측 가능한 비밀번호를 제거하여 password spray 및 brute-force 성공을 줄이는 것입니다.
핵심 개념: Azure Active Directory(현재 Microsoft Entra ID) Password Protection은 취약하고 흔히 사용되는 비밀번호를 차단하여 비밀번호 기반 공격을 줄이는 기능입니다. Microsoft가 유지 관리하는 전역 금지 비밀번호 목록과 (선택적으로) 조직이 정의한 사용자 지정 금지 비밀번호 목록에 대해 새로 설정되거나 변경되는 비밀번호를 검사하는 방식으로 동작합니다. 정답인 이유: 주된 목적은 사용자가 특정 금지 용어(예: “Password123”, “Contoso2026!”, 계절 관련 용어, 회사/제품 이름)를 포함하는 비밀번호를 선택하지 못하도록 하는 것입니다. 이는 선택지 D(사용자가 비밀번호에 특정 단어를 사용하는 것을 방지)에 직접적으로 해당합니다. 이 기능은 예측 가능한 비밀번호를 제거함으로써 password spray 및 credential stuffing의 성공률을 낮추도록 설계되었습니다. 주요 기능, 구성 및 모범 사례: - 전역 금지 비밀번호 목록: Microsoft가 선별한 알려진 취약 비밀번호 및 그 변형 목록. - 사용자 지정 금지 비밀번호 목록: 조직별 용어(회사명, 브랜드, 위치, 내부 프로젝트명)를 추가합니다. 또한 시스템은 fuzzy matching/정규화를 수행하여 흔한 치환(예: “P@ssw0rd”)도 탐지합니다. - Smart lockout 통합: 별도의 기능이지만, brute-force 시도를 늦춰 Password Protection을 보완합니다. - Hybrid 지원: Azure AD Password Protection proxy service와 DC agent를 배포하여 동일한 금지 비밀번호 정책을 on-premises Active Directory Domain Services로 확장할 수 있습니다. - Well-Architected 정렬: Security pillar 관점에서 이는 ID 공격 표면을 줄이는 예방적 제어입니다. defense-in-depth를 위해 MFA, Conditional Access, 사용자 교육과 함께 결합하세요. 흔한 오해: 많은 학습자가 Password Protection을 비밀번호 만료/순환 정책(사용자가 비밀번호를 얼마나 자주 변경해야 하는지) 또는 저장된 비밀번호의 암호화/해싱과 혼동합니다. Password Protection은 비밀번호가 생성/변경되는 시점의 비밀번호 품질에 관한 것이지, 비밀번호가 어떻게 저장되는지 또는 얼마나 자주 변경해야 하는지에 관한 것이 아닙니다. 또 다른 혼동은 MFA를 우회할 수 있는 “신뢰할 수 있는 디바이스”를 지정한다고 생각하는 것인데, 이는 Password Protection이 아니라 Conditional Access 및 디바이스 규정 준수에 해당합니다. 시험 팁: “banned passwords”, “weak passwords”, “custom banned list”, “prevent common passwords”가 보이면 Entra ID Password Protection을 떠올리세요. 질문에 MFA 프롬프트, 신뢰할 수 있는 위치/디바이스, sign-in risk가 언급되면 Conditional Access/Identity Protection을 떠올리세요. 비밀번호 만료가 언급되면 password policy settings를 떠올리되(그리고 현대 가이드는 침해 증거가 없는 한 강제적인 주기적 변경을 종종 권장하지 않는다는 점을 참고하세요).
어떤 Azure Active Directory (Azure AD) 기능을 사용하여 그룹 멤버십을 평가하고 더 이상 그룹 멤버십이 필요하지 않은 사용자를 자동으로 제거할 수 있습니까?
Access reviews (Microsoft Entra ID Identity Governance)는 사용자가 groups, apps, 또는 roles에 대한 액세스를 유지해야 하는지 주기적으로 평가하는 데 사용됩니다. 반복 일정, reviewer 할당(owners, 지정 reviewers, 또는 self) 및 거부되었거나 응답하지 않은 사용자를 제거하기 위해 결과를 자동 적용하는 것과 같은 자동화된 강제 적용을 지원합니다. 이는 더 이상 그룹 멤버십이 필요하지 않은 사용자를 자동으로 제거할 수 있는 기능입니다.
Managed identities는 Azure resources(워크로드)가 Key Vault 또는 Storage 같은 다른 서비스에 자격 증명을 저장하지 않고 인증할 수 있도록 자동으로 관리되는 identity를 제공합니다. 이는 사람의 액세스 거버넌스, 그룹 멤버십 평가, 또는 사용자를 그룹에서 제거하는 데 사용되지 않습니다. 이 옵션은 access reviews 또는 entitlement management가 아니라 애플리케이션/서비스 인증 시나리오를 겨냥합니다.
Conditional Access policies는 사용자/그룹, 디바이스 준수, 위치, risk, 애플리케이션과 같은 신호를 기반으로 sign-in 시점에 액세스 제어를 적용합니다. MFA 요구, 액세스 차단, 또는 준수 디바이스 요구 등을 할 수 있지만, 지속적인 그룹 멤버십을 평가하거나 사용자를 그룹에서 자동으로 제거하지는 않습니다. Conditional Access는 실시간 액세스 결정에 관한 것이지 멤버십 거버넌스가 아닙니다.
Azure AD Identity Protection (Microsoft Entra ID Protection)은 risky users 및 risky sign-ins와 같은 identity 관련 위험을 탐지하고 대응합니다. risk에 따라 암호 재설정 또는 MFA 요구 같은 작업을 트리거할 수 있지만, 그룹 멤버십에 대한 주기적 액세스 증명(attestation)을 수행하거나 검토 결과에 따라 사용자를 그룹에서 자동으로 제거하지는 않습니다. 이는 entitlement governance가 아니라 risk 관리입니다.
핵심 개념: 이 문제는 액세스를 제어하고 주기적으로 검증하기 위한 Microsoft Entra ID (Azure AD) 거버넌스 기능을 테스트합니다. 해당 기능은 Identity Governance의 일부이며, 사용자가 여전히 필요한 액세스만 유지하도록(최소 권한) 보장하여 Azure Well-Architected Framework 보안 원칙에 부합하도록 설계되었습니다. 정답이 맞는 이유: Access reviews를 사용하면 사용자(또는 게스트)가 Microsoft 365 groups, security groups, application roles, privileged role assignments와 같은 리소스에 대한 액세스를 계속 유지해야 하는지 평가할 수 있습니다. 특히 access reviews는 자동화된 작업으로 구성할 수 있어, 검토 종료 시점까지 사용자가 승인되지 않거나(또는 응답하지 않으면) 해당 사용자의 액세스를 자동으로 제거할 수 있습니다. 이는 “그룹 멤버십을 평가하고 더 이상 그룹 멤버십이 필요하지 않은 사용자를 자동으로 제거”한다는 요구사항과 정확히 일치합니다. 주요 기능 및 모범 사례: Access reviews는 예약(일회성 또는 반복), 특정 groups/apps/roles 범위 지정, reviewer(그룹 소유자, 지정 reviewer, 또는 self-review) 할당이 가능합니다. 정당화(justification) 요구, 감사 기록(audit history) 추적, 그리고 거부/만료된 사용자에 대해 액세스를 제거하도록 “auto-apply results”를 구성할 수 있습니다. 외부 협업의 경우, access reviews는 groups/teams에 대한 guest user 액세스를 주기적으로 검증하는 데 흔히 사용됩니다. 실제로 조직은 access reviews를 라이프사이클 프로세스(joiner/mover/leaver)와 결합하여 상시 권한을 줄이고 컴플라이언스를 개선합니다. 흔한 오해: Conditional Access는 액세스 결정을 제어하기 때문에 거버넌스와 혼동되는 경우가 많지만, 그룹 멤버십을 관리하거나 사용자를 그룹에서 제거하지는 않습니다. Identity Protection은 위험 탐지 및 대응(예: risky sign-ins)에 초점을 맞추며, 권한 정리(entitlement cleanup)가 목적이 아닙니다. Managed identities는 서비스 간 인증을 위한 것이며 사람의 그룹 멤버십과는 관련이 없습니다. 시험 팁: “review”, “attest”, “periodically validate”, “remove access automatically”, “governance” 같은 키워드가 보이면 Access reviews (Identity Governance)를 떠올리세요. “조건에 따라 차단/허용”이 보이면 Conditional Access를 떠올리세요. “risk-based”가 보이면 Identity Protection을 떠올리세요. “Azure resources를 위한 workload identity”가 보이면 Managed identities를 떠올리세요.
HOTSPOT - 문장을 올바르게 완성하는 답을 선택하세요. 핫 영역:
______에는 휴대폰으로 전송되는 인증 코드와 같은 추가 검증이 필요합니다.
정답: A. Multi-factor authentication (MFA). MFA는 사용자 이름과 비밀번호를 넘어서는 추가 검증을 요구합니다. 문제의 예시인 “휴대폰으로 전송되는 인증 코드”는 전형적인 두 번째 요소(소지 기반, something you have)입니다. Microsoft Entra ID에서 MFA는 구성에 따라 SMS 코드, 음성 통화, authenticator app 코드, 푸시 알림, 또는 FIDO2/security key 등으로 충족될 수 있습니다. 목표는 탈취된 비밀번호만으로는 인증이 불가능하도록 하여 password spray, phishing, credential stuffing과 같은 위험을 완화하는 것입니다. 다른 선택지가 틀린 이유: B. Pass-through authentication (PTA)은 agent를 통해 사용자의 비밀번호를 온프레미스 Active Directory에 대해 검증하는 하이브리드 인증 방식입니다. 본질적으로 두 번째 검증 단계를 추가하지는 않습니다. C. Password writeback은 Microsoft Entra ID 기능(일반적으로 SSPR과 함께 사용)으로, 클라우드에서의 비밀번호 변경을 온프레미스 AD로 다시 기록하는 기능이며 “추가 검증” 메커니즘이 아닙니다. D. Single sign-on (SSO)은 기존 세션/token을 재사용하여 로그인 프롬프트 수를 줄입니다. 추가 검증을 요구하는 것과는 반대입니다.
HOTSPOT - 다음 각 진술에 대해, 진술이 참이면 Yes를 선택합니다. 그렇지 않으면 No를 선택합니다. 참고: 각 정답 선택은 1점입니다. 핫 영역:
Conditional Access 정책은 디바이스 상태를 신호로 사용할 수 있습니다.
예. Conditional Access 정책은 디바이스 상태를 신호로 사용할 수 있습니다. Microsoft Entra에서 디바이스 관련 조건에는 디바이스 플랫폼(iOS, Android, Windows, macOS)과—“상태”와 더 관련이 큰 것으로—디바이스가 Microsoft Intune에 의해 준수(compliant)로 표시되었는지(디바이스 준수) 여부 및/또는 디바이스가 Hybrid Azure AD joined / Microsoft Entra joined인지 여부가 포함됩니다. Conditional Access는 또한 디바이스 필터(filter for devices)를 사용하여 디바이스 특성에 따라 디바이스를 포함/제외할 수 있습니다. 이러한 디바이스 신호를 통해 “준수 디바이스 필요(Require a compliant device)” 또는 “Hybrid Azure AD joined 디바이스에서만 액세스 허용(Allow access only from Hybrid Azure AD joined devices)”과 같은 정책을 적용할 수 있습니다. 이는 민감한 앱에 대한 액세스를 부여하기 전에 디바이스 상태/건강을 검증하는 일반적인 Zero Trust 패턴입니다. “아니요”는 디바이스 컨텍스트가 액세스 결정을 내리는 데 사용되는 핵심 Conditional Access 입력(신호) 중 하나이므로 틀립니다.
Conditional Access 정책은 1차 인증이 완료되기 전에 적용된다.
아니오. Conditional Access 정책은 1차 인증이 완료되기 전에 적용되지 않습니다. Conditional Access 평가는 Entra ID가 사용자를 식별하고 로그인 컨텍스트(누가 로그인하는지, 어떤 app/resource에 액세스하는지, 기타 조건)를 이해할 수 있어야 합니다. 이러한 식별은 사용자가 기본 자격 증명(첫 번째 factor)을 제출한 후에 이루어집니다. 첫 번째 factor 이후에 Conditional Access가 평가되며, 그 다음에 MFA 프롬프트, compliant device 요구, 또는 액세스 차단과 같은 추가 요구 사항(controls)을 적용할 수 있습니다. 즉, CA는 사용자가 알려지기 전에 실행되는 pre-authentication 게이트가 아니라, 초기 인증 이후 추가 단계를 요구할 수 있는 로그인 프로세스의 일부입니다. “예”라고 답하면 Conditional Access를 네트워크 계층의 pre-auth controls(일부 VPN/NAC 시나리오 등)와 혼동한 것입니다. Entra에서 CA는 로그인 중에 평가되는 identity 기반 정책이며, 1차 인증 완료 이전에는 적용되지 않습니다.
Conditional access 정책은 사용자가 특정 애플리케이션에 액세스하려고 시도할 때 multi-factor authentication (MFA)을 트리거할 수 있습니다.
예. Conditional Access는 사용자가 특정 애플리케이션에 액세스하려고 시도할 때 MFA를 트리거할 수 있습니다. 가장 일반적인 Conditional Access 구성 중 하나는 다음과 같습니다. 정책을 특정 사용자/그룹에 할당하고, 하나 이상의 cloud app(예: Exchange Online, SharePoint Online, Azure Management 또는 특정 enterprise application)을 대상으로 지정한 다음, grant control을 “Require multi-factor authentication”으로 설정합니다. 이를 통해 애플리케이션별 step-up authentication이 가능해집니다. 사용자는 저위험 앱에는 비밀번호만으로 sign in할 수 있지만, 민감한 애플리케이션에 액세스할 때는 Conditional Access가 액세스를 허용(토큰 발급)하기 전에 MFA를 요구합니다. “아니요”라고 답하는 것은 부정확합니다. “Require MFA”는 Conditional Access에 기본 제공되는 grant control이며, 정책 범위를 특정 cloud app으로 지정하는 것은 고가치 리소스를 보호하는 데 사용되는 핵심 기능이기 때문입니다.
HOTSPOT - 문장을 올바르게 완성하는 답을 선택하세요. 핫 영역:
______은(는) 온-프레미스 Active Directory 신호를 활용하여 고급 위협을 식별, 탐지 및 조사하는 클라우드 기반 솔루션입니다.
정답: C. Microsoft Defender for Identity. Microsoft Defender for Identity는 온-프레미스 Active Directory(AD)의 신호를 사용하여 고급 위협, 손상된 ID, 악의적인 내부자 행위를 식별하고 탐지하며 조사하는 데 도움을 주도록 특별히 설계된 클라우드 기반 보안 솔루션입니다. 일반적으로 도메인 컨트롤러(Defender for Identity sensors를 통해)에서 텔레메트리를 수집하고 AD 관련 활동을 분석하여 의심스러운 동작과 공격 패턴을 드러냅니다. 다른 선택지가 틀린 이유: - A. Microsoft Defender for Cloud Apps는 SaaS 애플리케이션 검색, shadow IT, 앱 거버넌스, 클라우드 앱 사용 제어/모니터링(CASB 기능)에 중점을 둡니다. 주로 온-프레미스 AD 신호를 다루는 솔루션이 아닙니다. - B. Microsoft Defender for Endpoint는 엔드포인트 디바이스(Windows, macOS, Linux, 모바일)에 대한 EDR, 취약점 관리, 공격 표면 감소에 중점을 두며, AD 도메인 컨트롤러 텔레메트리를 다루는 것이 아닙니다. - D. Microsoft Defender for Office 365는 이메일 및 협업(Exchange, SharePoint, OneDrive, Teams)을 피싱, 멀웨어, business email compromise로부터 보호하며, 온-프레미스 AD 신호 기반의 ID 위협 탐지와는 관련이 없습니다.
Cloud Pass를 다운로드하여 모든 Microsoft SC-900 연습 문제를 무료로 이용하세요.
이동 중에도 모든 문제를 풀고 싶으신가요?
무료 앱 받기
Cloud Pass를 무료로 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.
