기업에서 100대의 컴퓨터와 100명의 직원이 있다고 가정해 보겠습니다. 새로운 직원이 입사할 때마다 그 직원의 PC에 일일이 프로그램을 설치하고, 파일 서버 폴더 접근 권한을 따로 설정하며, 프린터 연결을 개별적으로 해줘야 한다면 IT 관리자는 끔찍한 비효율에 시달릴 것입니다. 윈도우 서버 환경에서 이 모든 문제를 한 번에 해결하는 핵심 기술이 바로 ‘액티브 디렉터리(Active Directory, AD)’입니다.
오늘은 기업 네트워크의 뼈대이자 심장이라 불리는 액티브 디렉터리의 정확한 개념과 사용 이유, 그리고 클라우드 시대의 Azure AD(Microsoft Entra ID)까지 자세히 알아보겠습니다.
액티브 디렉터리(Active Directory)란 정확히 무엇인가요?
액티브 디렉터리(Active Directory)는 마이크로소프트 윈도우 서버 운영체제(OS)가 제공하는 ‘디렉터리 서비스(Directory Service)‘입니다. 이름 그대로 ‘디렉터리’, 즉 네트워크상에 존재하는 모든 자원(리소스)의 정보를 저장하고 관리하는 ‘중앙화된 데이터베이스’입니다.
‘디렉터리 서비스’의 의미
가장 쉬운 비유는 ‘회사의 통합 주소록’입니다. 이 주소록에는 직원 목록(사용자 계정)만 있는 것이 아니라, 회사 내의 모든 PC(컴퓨터 계정), 프린터, 파일 서버, 그룹(부서) 등 모든 정보가 체계적으로 저장되어 있습니다.
하지만 AD는 단순한 주소록을 넘어, 이 정보들을 기반으로 ‘인증(Authentication)‘과 ‘권한 부여(Authorization)‘를 수행합니다. 즉, “이 사용자가 정말 우리 회사 직원이 맞는가?”를 확인하고(로그인), “이 직원이 재무팀 폴더에 접근할 자격이 있는가?”를 통제합니다.
AD의 핵심: ‘도메인(Domain)’
액티브 디렉터리를 구축하면 관리자는 ‘도메인’이라는 것을 만듭니다. (예: mycompany.local 또는 mycompany.com) 이 도메인은 AD가 관리하는 논리적인 영역(울타리)입니다.
직원의 PC가 이 도메인에 ‘가입(Join)’되는 순간, 그 PC는 더 이상 개인 PC가 아닌, 회사의 중앙 통제를 받는 ‘도메인 PC’가 됩니다. 이제 직원은 PC를 켤 때 자신의 개인 계정이 아닌, AD가 발급한 ‘도메인 계정’으로 로그인해야 합니다.
액티브 디렉터리(Active Directory)를 사용하는 이유 (핵심 장점)
기업이 윈도우 서버를 도입하고 AD를 구축하는 이유는 명확합니다.
1. 중앙 집중식 계정 관리 (SSO)
가장 큰 장점입니다. 직원은 AD가 발급한 단 하나의 ID와 비밀번호만 기억하면 됩니다. 이 계정 하나로 자신의 PC 로그인, 사내 이메일(Exchange Server) 접속, 파일 서버 접근, 공유 프린터 사용 등 모든 업무 시스템을 이용할 수 있습니다(Single Sign-On, SSO). 퇴사자가 발생하면 관리자는 이 계정 하나만 비활성화하면 모든 접근이 즉시 차단됩니다.
2. 강력한 보안 및 정책 적용 (GPO)
AD의 꽃이라 불리는 기능입니다. ‘그룹 정책 개체(Group Policy Object, GPO)’를 통해 관리자는 회사 내 모든 PC의 설정을 중앙에서 강제로 통제할 수 있습니다.
- “모든 직원 PC의 화면 보호기를 10분 뒤에 강제로 실행하고 비밀번호를 요구하라.”
- “영업팀 PC에서는 USB 메모리 사용을 금지하라.”
- “인사팀 PC에는 특정 보안 프로그램을 강제로 설치하라.”
- “사용자가 제어판에 접근하거나 프로그램을 마음대로 설치하지 못하게 하라.”
이 모든 정책을 수백 대의 PC에 한 번에 적용하여 강력한 보안 표준을 유지할 수 있습니다.
3. 리소스 공유 및 접근 제어
파일 서버에 ‘영업팀 폴더’, ‘인사팀 폴더’를 만들고, 오직 ‘영업팀’ 그룹에 속한 사용자만 해당 폴더에 접근하도록 권한을 설정할 수 있습니다. 사용자가 아닌 그룹을 기반으로 권한을 관리하므로 매우 효율적입니다.
AD의 주요 구성 요소
AD를 이해하기 위해 알아야 할 몇 가지 기본 용어가 있습니다.
- 도메인 컨트롤러 (Domain Controller, DC): 액티브 디렉터리 데이터베이스(주소록)가 실제로 설치된 윈도우 서버 컴퓨터를 말합니다. AD의 두뇌이자 심장부입니다.
- OU (조직 단위, Organizational Unit): 도메인 내에서 사용자나 컴퓨터를 관리하기 쉽게 담아두는 ‘폴더’ 개념입니다. 보통 ‘영업부’, ‘인사부’ 등 회사의 조직도를 따라 구성합니다. GPO를 적용하는 기본 단위가 됩니다.
- 그룹 (Group): 권한 부여를 위한 ‘묶음’입니다. ‘영업부 직원’이라는 OU 안에 ‘영업팀장’ 그룹, ‘영업사원’ 그룹을 만들어 권한을 차등 부여할 수 있습니다.
액티브 디렉터리의 진화: Azure AD (Microsoft Entra ID)
지금까지 설명한 전통적인 AD는 회사 내부에 서버를 두는 ‘온프레미스(On-premise)’ 방식입니다.
온프레미스 AD vs 클라우드 AD (Azure AD)
하지만 클라우드 시대가 도래하면서, 직원들은 더 이상 사내 네트워크에서만 일하지 않습니다. 외부에서 SaaS(예: Microsoft 365, Salesforce) 서비스에 접속해야 합니다.
- 온프레미스 AD: 사내망(내부 네트워크)의 PC와 서버를 인증하는 데 강력합니다.
- Azure AD (Microsoft Entra ID): 클라우드 서비스(M365, Teams, Azure) 사용자를 인증하는 데 특화되어 있습니다. (참고: 2023년, MS는 Azure AD의 공식 명칭을 ‘Microsoft Entra ID’로 변경했습니다.)
하이브리드 AD (Hybrid AD)
현실적으로 대부분의 기업은 이 두 가지를 모두 사용합니다. 사내 PC 로그인은 온프레미스 AD로, M365(팀즈, 아웃룩) 로그인은 Azure AD로 해야 한다면 매우 불편할 것입니다.
이를 위해 ‘하이브리드 AD’를 구축합니다. 온프레미스 AD의 사용자 계정 정보를 Azure AD로 동기화(AD Connect 사용)하여, 직원이 단 하나의 계정으로 사내망과 클라우드 서비스 모두에 로그인할 수 있게 하는 방식입니다.
액티브 디렉터리 구축 시 고려사항
AD는 매우 강력하지만, 구축과 운영에는 전문 지식이 필요합니다.
라이선스 및 비용
AD를 사용하려면 윈도우 서버 라이선스뿐만 아니라, AD에 접속하는 사용자 또는 기기 수만큼 ‘클라이언트 접속 라이선스(CAL, Client Access License)’가 별도로 필요합니다.
관리 및 유지보수
AD의 핵심인 도메인 컨트롤러(DC)는 365일 안정적으로 작동해야 합니다. DC가 멈추면 회사의 모든 PC 로그인이 마비되는 재앙이 발생할 수 있습니다. 따라서 최소 2대 이상의 DC를 이중화하여 운영하고, 정기적인 백업과 관리를 수행할 전문 IT 관리자가 필요합니다.
▣ Microsoft Windows Server 공식 홈페이지 : https://www.microsoft.com/ko-kr/windows-server
▣ Microsoft Entra ID (구 Azure AD) 공식 홈페이지 : https://www.microsoft.com/ko-kr/security/business/microsoft-entra-id
윈도우 샌드박스 설치 및 사용법 (Windows Sandbox), 위험한 파일 안전하게 실행하는 1회용 가상 PC
윈도우 11 코파일럿 사용법 총정리 (끄기, 단축키, 챗GPT-4 활용 팁)