단일 요소 비밀번호 로그인 사용 중단에 대한 계획¶
모든 고객의 보안 태세를 보강하기 위해 Snowflake는 비밀번호를 사용하는 모든 사용자에 대해 다단계 인증(MFA)을 요구하고, 모든 서비스 사용자에게 비밀번호를 허용하지 않는 변경 사항을 적용하고 있습니다. 이러한 변경 사항은 여러 동작 변경 릴리스(BCRs)에 걸쳐 적용될 예정입니다. 이 항목에서는 단일 요소 비밀번호 로그인이 어떻게 더 이상 사용되지 않는지 설명하므로 이에 따라 계획을 세울 수 있습니다.
참고
이 항목에서 설명되는 사용 중단 프로세스는 리더 계정, 카탈로그 열기 계정 및 평가판 계정에는 적용되지 않습니다. 이러한 유형의 계정은 단일 요소 비밀번호를 사용하여 계속 로그인할 수 있습니다.
롤아웃 프로세스 이해¶
단일 요소 비밀번호 로그인 사용 중단의 롤아웃은 여러 단계로 나뉘어 진행됩니다.
각 마일스톤은 Snowflake의 확립된 동작 변경 릴리스 프로세스를 사용하여 구현됩니다. 이 과정에서 Snowflake는 매달 동작 변경 번들 을 릴리스합니다. 동작 변경 번들에 변경 사항이 포함되므로 새로운 제한 사항의 적용은 번들의 수명 주기와 일치하게 됩니다.
각 마일스톤의 적용을 계획할 수 있도록 동작 변경 번들의 수명 주기에 대한 자세한 내용은 동작 변경 정책 섹션을 참조하십시오.
인간 사용자 대 서비스 사용자¶
Snowflake의 사용자 오브젝트가 항상 실제 사용자와 일치하는 것은 아닙니다. 예를 들어, 애플리케이션이나 서비스 등 사람과의 상호 작용 없이 Snowflake에 로그인하는 사용자가 있습니다. 이러한 사용자는 서비스 사용자 로 간주됩니다.
관리자는 사용자 오브젝트의 TYPE
매개 변수를 사용하여 사용자가 인간 사용자인지 서비스 사용자인지 정의합니다.
인간 사용자의 경우
TYPE=PERSON
.TYPE
매개 변수를 설정하지 않거나 NULL 로 설정하면 사용자는 인간 사용자로 취급됩니다.서비스 사용자의 경우
TYPE=SERVICE
.참고
LEGACY_SERVICE
사용자 유형은 고객이 서비스 사용자를 보안 인증 방식으로 변환하는 데 도움이 됩니다. 사용자 유형을LEGACY_SERVICE
로 설정하면 일시적으로 애플리케이션 또는 서비스임에도 불구하고 비밀번호로 인증할 수 있습니다. 이 항목에 설명된 롤아웃에는 이 사용자 유형의 점진적인 사용 중단이 포함됩니다.
인간 사용자와 서비스 사용자를 구분하는 것이 중요한 이유는 이번 출시가 이 두 가지 유형의 사용자에게 서로 다른 영향을 미치기 때문입니다. 두 가지 유형의 사용자에 대한 보안 태세를 보강하기 위해 단일 요소 비밀번호 로그인 사용 중단은 다음과 같이 구성됩니다.
비밀번호 인증을 사용하는 모든 인간 사용자 는 두 번째 인증 요소를 사용해야 합니다. Snowflake가 이 목표를 달성하는 방법을 설명하는 타임라인은 사용자를 위한 마일스톤 섹션을 참조하십시오.
현재 비밀번호 인증을 사용하는 모든 서비스 사용자 는 보다 안전한 인증 방법으로 마이그레이션해야 합니다. Snowflake가 이 목표를 달성하는 방법을 설명하는 타임라인은 서비스 사용자를 위한 마일스톤 섹션을 참조하십시오.
사용 중단 타임라인¶
다음 테이블에는 단일 요소 비밀번호 로그인 사용 중단 일정이 나와 있습니다.
예상 날짜 |
영향을 받는 사용자 |
마일스톤 |
---|---|---|
2025년 6월 - 2025년 8월 |
인간 사용자 |
|
2025년 8월 - 2025년 10월 |
인간 사용자 |
|
2025년 11월 - 2026년 1월 |
서비스 사용자 |
|
2026년 3월 - 2026년 5월 |
인간 사용자 |
|
2026년 6월 - 2026년 8월 |
서비스 사용자 |
사용자를 위한 마일스톤¶
목표: 비밀번호로 인증하는 모든 사용자는 두 번째 인증 요소를 사용해야 합니다.
이 목표를 달성하기 위한 롤아웃은 다음과 같은 마일스톤으로 구성됩니다. 각 마일스톤은 동작 변경 번들의 릴리스(즉, 테스트 기간 시작)로 시작하여 번들이 일반적으로 활성화되면 종료됩니다. 마일스톤과 관련된 제한 사항은 번들을 활성화하는 즉시 적용됩니다.
- 2025_04 번들 (2025년 6월 - 2025년 8월) [1] : 모든 Snowsight 사용자(신규 및 기존)에 대한 필수 MFA
인간 사용자는 비밀번호를 사용하여 Snowsight 에 액세스할 때 예외 없이 두 번째 요소로 인증해야 합니다.
다음 사항에 유의하십시오.
이 마일스톤은 Snowsight 에만 적용됩니다. 인간 사용자는 Snowsight 를 사용하여 MFA 에 등록한 후에도 비즈니스 인텔리전스(BI) 및 유사한 도구에서 단일 요소 비밀번호로 Snowflake 서비스에 계속 액세스할 수 있습니다. 이러한 다른 도구에 대해 MFA 를 적용하도록 선택할 수 있으며, 이미 MFA 에 등록되어 있고 MFA 외부에서 Snowsight 를 사용하는 사용자는 계속해서 MFA 를 사용하게 됩니다.
Snowsight 에 대한 선택적 MFA 등록을 구현한 인증 정책이 재정의됩니다.
Snowflake OAuth 로 인증하는 사용자는 Snowsight 로그인 인터페이스를 사용하므로 MFA 에 등록되어 있어야 합니다.
통합 인증 사용자는 이 변경의 영향을 받지 않으며 변경 없이 Snowsight 에 계속 액세스할 수 있습니다.
기존 서비스 사용자(
TYPE=LEGACY_SERVICE
)는 이번 변경의 영향을 받지 않으며, 단일 요소 비밀번호를 사용하여 Snowsight 에 계속 액세스할 수 있습니다.
- 2025_07 번들 (2025년 8월 - 2025년 10월) [1] : 모든 신규 사용자에 대한 필수 MFA
동작 변경 번들을 활성화한 후 생성되는 모든 사용자는 BI 도구 등을 사용하는 사용자를 포함하여 두 번째 요소로 인증해야 합니다.
번들이 활성화되기 전에 존재했던 사용자는 영향을 받지 않습니다. 이러한 비밀번호 사용자는 2026년 3월까지 두 번째 인증 요소 없이 BI 도구 또는 이와 유사한 도구(Snowsight 제외)를 계속 사용할 수 있습니다.
예를 들어, 관리자가 2025년 9월 10일에 이 마일스톤과 관련된 동작 변경 번들을 선택한다고 가정해 보겠습니다. 이 날짜 이후에 생성된 모든 인간 사용자는 서페이스에 관계없이 두 번째 인증 요소를 사용해야 합니다. 이 날짜 이전에 존재했던 사용자는 BI 도구에서는 비밀번호 전용 인증을 계속 사용할 수 있지만, Snowsight 에서는 사용할 수 없습니다.
- 발표 예정 번들(2026년 3월 - 2026년 5월) [1] : 모든 인간 사용자에게 필수 MFA (예외 없음)
이 마일스톤과 관련된 동작 변경 번들을 활성화하면 모든 신규 및 기존 사용자는 예외 없이 비밀번호로 인증할 때 두 번째 요소를 사용해야 합니다.
서비스 사용자를 위한 마일스톤¶
목표: 모든 서비스 사용자는 보안 인증 방식을 사용해야 합니다.
이 목표를 달성하기 위한 롤아웃은 다음과 같은 마일스톤으로 구성됩니다. 각 마일스톤은 동작 변경 번들의 릴리스로 시작하여 번들이 일반적으로 활성화되면 종료됩니다. 마일스톤과 관련된 제한 사항은 번들을 활성화하는 즉시 적용됩니다.
TYPE=SERVICE
가 적용된 사용자는 예외 없이 비밀번호 인증을 사용할 수 없습니다. 일시적으로 서비스 및 애플리케이션이 비밀번호로 인증할 수 있도록 하기 위해 Snowflake는 LEGACY_SERVICE
사용자 유형을 제공했습니다. 단일 요소 비밀번호 로그인에서 탈피하기 위한 마이그레이션은 이 LEGACY_SERVICE
사용자 유형의 점진적인 사용 중단에 초점을 맞추므로 사람이 아닌 모든 사용자는 SERVICE
유형이어야 합니다.
- 발표 예정 번들(2025년 11월~2026년 1월) [2] : 신규 레거시 서비스 사용자 없음
동작 변경 번들을 활성화한 후에 생성되는 모든 비인간 사용자는 비밀번호를 사용할 수 없는
SERVICE
유형이어야 합니다. 새 사용자 오브젝트를 생성할 때LEGACY_SERVICE
유형은 더 이상 사용할 수 없습니다. 또한 관리자는 기존 사용자의 유형을LEGACY_SERVICE
로 변경할 수 없습니다.예를 들어, 관리자가 2025년 12월 10일에 이 마일스톤과 관련된 동작 변경 번들을 선택한다고 가정해 보겠습니다. 이 날짜 이후에는 CREATE USER 또는 ALTER USER 명령을 실행할 때
TYPE=LEGACY_SERVICE
옵션이 유효하지 않습니다.
- 발표 예정 번들(2026년 6월 - 2026년 8월) [2] : 레거시 서비스 사용자 없음
이 마일스톤과 관련된 동작 변경 번들을 활성화하면 사람이 아닌 모든 사용자가 비밀번호를 사용하여 인증할 수 없도록 차단됩니다.
LEGACY_SERVICE
사용자 유형은 완전히 사용되지 않습니다.TYPE=LEGACY_SERVICE
를 사용하는 모든 기존 사용자 오브젝트는TYPE=SERVICE
로 마이그레이션되어 비밀번호를 사용할 수 없게 됩니다.
모든 날짜는 예상일이며 번들의 릴리스 및 수명 주기에 따라 달라질 수 있습니다. 이 라이프사이클을 이해하려면 월간 동작 변경 번들 섹션을 참조하십시오.
일정에 앞선 MFA 요구¶
단일 요소 비밀번호 로그인 방지와 관련된 보안이 개선되었으므로 이 항목에 제공된 일정보다 먼저 구현하는 것이 좋습니다. 이 섹션에서는 롤아웃이 완료될 때까지 기다리지 않고 제한을 적용하는 방법에 대해 설명합니다.
의무적으로 MFA 를 배포하면 Snowsight 와 다른 환경 및 신규 사용자와 기존 사용자를 구분할 수 있습니다. 사용자 지정 인증 정책 을 사용하여 롤아웃 프로세스가 완료될 때까지 기다릴 필요 없이 모든 클라이언트 유형에 걸쳐 모든 사용자에 대해 MFA 를 즉시 적용할 수 있습니다.
새 인증 정책의 모든 매개 변수를 신중하게 정의해야 하지만, 최소한 다음 매개 변수를 포함해야 단일 요소 비밀번호 로그인 방지라는 목표를 달성할 수 있습니다.
CREATE AUTHENTICATION POLICY require_mfa_policy
MFA_AUTHENTICATION_METHODS = ('PASSWORD')
MFA_ENROLLMENT = REQUIRED;
이러한 매개 변수에 대한 자세한 내용은 CREATE AUTHENTICATION POLICY 섹션을 참조하십시오.
모든 인간 사용자의 인증을 관리하도록 계정에 대한 인증 정책을 설정하려면, 다음 문을 실행합니다.
USE ROLE ACCOUNTADMIN; ALTER ACCOUNT SET AUTHENTICATION POLICY require_mfa_policy;
다단계 인증 등록하기¶
사용자가 자발적으로 MFA 에 등록하는 방법에 대한 자세한 내용은 다단계 인증(MFA) 등록하기 섹션을 참조하십시오.