이번 Salesforce Summer ’26 Release에서 실무에 가장 크게 다가오는 변화는 새로운 기능 추가보다 로그인 보안 정책 변화입니다. 그중에서도 핵심으로 봐야 하는 부분은 피싱 저항 다중 인증(Phishing-Resistant MFA) 적용 확대입니다.
관리자(Admin) 계정은 물론 일반 사용자들의 로그인 경험까지 직접 영향을 받기 때문에, 이번 릴리즈에서는 무엇이 새로 추가되었나보다 무엇이 이전과 다르게 동작하는지를 먼저 확인해야 합니다.
트레슬은 이번 릴리즈를 단순한 업데이트가 아니라, 운영과 접근 보안 체계를 재정비해야 하는 중요한 시점으로 보고 있습니다.
이번 포스팅에서는 관리자 로그인 방식, SSO 구성, Sandbox 테스트 계획, 사용자 공지 방식 등 실무에서 꼭 점검이 필요한 부분들을 정리해 보겠습니다.
1. 사용자들에게 가장 크게 다가오는 변화 : 피싱 저항 다중 인증(Phishing-Resistant MFA) 강제 적용
Salesforce는 이번 릴리스를 통해 권한이 높은 사용자(Privileged User)를 대상으로 피싱 저항 다중 인증(Phishing-Resistant MFA)을 단계적으로 강제 적용할 예정입니다.
• ⏱️ 적용 일정
• Sandbox : 2026년 6월 22일부터 약 7일간 순차 적용
• Production(운영 환경) : 2026년 7월 1일부터 약 30일간 순차 적용
• 🎯 적용 대상
시스템 관리자(System Admin)와 모든 데이터 수정(Modify All Data), 모든 데이터 보기(View All Data), 애플리케이션 사용자 지정(Customize Application), Apex 작성(Author Apex) 권한을 보유한 사용자가 대상입니다.
• 🔑 핵심 포인트
중요한 것은 이미 다중 인증(MFA)을 쓰고 있느냐가 아닌, 어떤 인증 방식을 사용하고 있는가에 초점을 맞추어야 합니다. 앞으로는 보안 키(Security Key)나 내장 인증기 기반 패스키(Passkey)처럼 피싱 저항 MFA 방식의 기준이 됩니다.
즉, 기존에 흔히 사용하던 일부 인증 방식은 권한이 높은 사용자(Privileged User) 대상 요건을 충족하지 못할 수 있으므로 조직별 사용 방식을 다시 점검해야 합니다.
또한 이번 변화는 단순한 직접 로그인뿐만 아니라, 싱글 사인온(SSO) 로그인과 IdP(자격 증명 제공자)의 인증 신호 구성에도 영향을 줄 수 있어 함께 점검이 필요합니다.
📢 일반 직원 사용자(Employee User) 확대 가이드
일반 사용자에 대해서도 UI 로그인 시 MFA 요구가 확대되며, 운영 환경 기준 2026년 7월 20일부터 순차적으로 적용될 예정입니다.
로그인 흐름도 사용자명 입력 후 다음 단계에서 비밀번호 또는 패스키를 입력하는 2단계 로그인 방식으로 확대되므로, 사내 사용자 교육 자료와 테스트 시나리오를 미리 정비해야 합니다.
🚨현장에서 가장 많이 나오는 질문 TOP 3
Q1. Salesforce 인증기(Salesforce Authenticator)를 사용하고 있으면 충분할까요?
❌ 조직의 적용 방식에 따라 다를 수 있지만, 충분하지 않을 수 있습니다.
권한이 높은 사용자(Privileged User) 대상 요건을 충족하려면 패스키(Pass Key), 터치 아이디(Touch ID), YubiKey 등 조직에서 허용하는 피싱 저항 MFA 중심으로 전환이 필요합니다.
Q2. 관리자 자격 증명으로 연동(Integration)을 운영 중인데, 무엇을 해야 할까요?
🔐 연동 아키텍처를 전체적으로 점검해 보시길 바랍니다.
이번 변화의 직접적인 대상은 사용자 화면 기반(UI) 기반 로그인입니다. 사용자 로그인 화면을 거치지 않는 연동 방식은 상대적으로 영향이 적을 수 있지만, OAuth 웹 서버 흐름(OAuth Web Server Flow)처럼 중간에 사용자 로그인 화면이 개입되는 방식은 실제 영향도를 반드시 점검해야 합니다.
Q3. 예외 사용자 다중 인증 면제(Waive MFA for Exempt Users) 권한이 있으면 괜찮지 않나요?
⚡ 기존 예외 정책만으로는 충분하지 않을 수 있습니다.
Salesforce는 새 보안 요구 사항이 적용될 때 기존 예외 정책만으로는 충분하지 않다고 안내하고 있습니다. 자동화 테스트 등 정당한 예외 사례는 별도 승인 또는 대체 절차가 필요한지 확인해야 합니다.
2. 릴리즈 전 꼭 챙겨야 할 운영 포인트
지난 4월부터 Pre-Release org 오픈과 릴리즈 노트 검토 기간이 지나면서, 이제 6월 샌드박스 테스트와 운영 환경 반영을 앞두고 있습니다.
지금 시점에서 중요한 것은 릴리즈 후 대응이 아니라, 샌드박스에서 먼저 로그인과 운영 영향도를 테스트하는 것입니다.
1) 다중 구성 SAML 프레임 워크 전환 (Multiple-Configuration SAML Framework)
싱글 사인온(SSO)을 운영 중인 조직은 로그인 보안 이슈와 별개로, 인증 구조 자체가 Summer '26 Release 기준에 맞는지를 꼭 점검해야 합니다.
이번 릴리즈에서는 특히 단일 구성 SAML 프레임워크 지원이 종료되고 다중 구성 SAML 프레임워크로의 전환이 필요합니다. 여러 외부 자격 증명 제공자(IdP)를 다루는 조직일수록 구조를 미리 정리하고 샌드박스에서 검증하는 편이 안전합니다.
2) 라이트닝 동기화(Lighting Sync) 종료 대응
라이트닝 동기화(Lighting Sync)의 예상 종료일이 안내된 만큼 대체 방안을 함께 검토해야 합니다.
현재 라이트닝 동기화를 사용 중인 조직이라면 Einstein Activity Capture 등 대체 방안으로 마이그레이션을 미리 검토해 두는 것을 추천드립니다.
3. 관리자 관점에서 봐야할 주요 기능 및 기본값 변화
• 🧱 신규 조직에서 Chatter가 기본 비활성화 (Off)
새로 생성되는 Salesforce 조직에서는 Chatter가 비활성화 상태로 제공됩니다. 케이스 피드(Case Feed)나 Experience Cloud 등 Chatte와 연결된 기능을 사용하는 조직이라면 초기 설정 단계에서 활성화 여부를 꼭 확인해야 합니다.
• 🛡️ 권한 거버넌스 강화
권한 의존성(Permission Dependency) 추적이 강화되어, 특정 권한을 변경할 때 연쇄적으로 영향을 받는 종속 권한들을 더 쉽게 확인할 수 있게 되어, 어드민의 권한 변경 실수를 줄이는 데 도움이 됩니다.
대기열(Queue) 접근 제어 옵션도 현재 설정값과 영향 범위를 확인해야 합니다.
• 📊 Flow 및 자동화 영역 개선
배포 시 이메일 템플릿 참조가 깨지는 문제 완화, 유효성 검사 패널 개선, 오류 경로(Fault Path) 접기 등의 변화는 어드민의 체감 생산성을 크게 높여줄 수 있습니다. 특히 샌드박스와 운영 환경 간 배포 품질을 안정화하는 데 도움이 됩니다.
• 💻 API v67 기본 보안 동작 강화
API 버전 67부터는 새 Apex의 기본 보안 동작이 더 보수적으로 적용됩니다. 데이터베이스 작업은 사용자 모드(User Mode) 및 공유 규칙(Sharing)을 더 안전한 방향으로 따르도록 기본값이 변경됩니다.
개발팀뿐만 아니라 관리자도 권한 관련 예외 동작이 없는지 테스트 범위에 포함해야 합니다.
4. 지금 당장 시작해야 할 5가지 액션 아이템
• 우리 조직의 권한이 높은 사용자(Privileged User)가 누구인지 명확하게 식별하기
• 관리자 전원의 노트북/PC에 패스키(Passkey) 또는 하드웨어 보안 키 등록 정책 수립하기
• 싱글 사인온(SSO) 연동 조직의 경우, IdP가 MFA 신호를 올바르게 전달하는지 검증하기
• 6월 22일 시작되는 샌드박스 일정에 맞춰 실제 로그인 및 주요 웹 연동 시나리오 테스트하기
• 일반 사용자 대상 공지 가이드와 헬프데스크 지원 절차 마련하기
5. 트레슬의 한마디
트레슬은 이번 릴리즈를 화려한 신기능 도입보다는 로그인과 운영 리스크를 얼마나 잘 준비하고 방어할 수 있는지 점검해야 하는 시점으로 판단합니다. 기능은 사용하며 익숙해질 수 있지만, 로그인 정책 변화는 미리 준비하지 않으면 곧바로 업무 차질로 이어질 수 있기 때문입니다.
트레슬의 Salesforce Summer '26 가이드를 확인하시고, 여러분의 조직의 로그인 방식과 인증 구조를 다시 한 번 그려보시길 바랍니다.
이번 Salesforce Summer ’26 Release에서 실무에 가장 크게 다가오는 변화는 새로운 기능 추가보다 로그인 보안 정책 변화입니다. 그중에서도 핵심으로 봐야 하는 부분은 피싱 저항 다중 인증(Phishing-Resistant MFA) 적용 확대입니다.
관리자(Admin) 계정은 물론 일반 사용자들의 로그인 경험까지 직접 영향을 받기 때문에, 이번 릴리즈에서는 무엇이 새로 추가되었나보다 무엇이 이전과 다르게 동작하는지를 먼저 확인해야 합니다.
트레슬은 이번 릴리즈를 단순한 업데이트가 아니라, 운영과 접근 보안 체계를 재정비해야 하는 중요한 시점으로 보고 있습니다.
이번 포스팅에서는 관리자 로그인 방식, SSO 구성, Sandbox 테스트 계획, 사용자 공지 방식 등 실무에서 꼭 점검이 필요한 부분들을 정리해 보겠습니다.
1. 사용자들에게 가장 크게 다가오는 변화 : 피싱 저항 다중 인증(Phishing-Resistant MFA) 강제 적용
Salesforce는 이번 릴리스를 통해 권한이 높은 사용자(Privileged User)를 대상으로 피싱 저항 다중 인증(Phishing-Resistant MFA)을 단계적으로 강제 적용할 예정입니다.
• ⏱️ 적용 일정
• Sandbox : 2026년 6월 22일부터 약 7일간 순차 적용
• Production(운영 환경) : 2026년 7월 1일부터 약 30일간 순차 적용
• 🎯 적용 대상
시스템 관리자(System Admin)와 모든 데이터 수정(Modify All Data), 모든 데이터 보기(View All Data), 애플리케이션 사용자 지정(Customize Application), Apex 작성(Author Apex) 권한을 보유한 사용자가 대상입니다.
• 🔑 핵심 포인트
중요한 것은 이미 다중 인증(MFA)을 쓰고 있느냐가 아닌, 어떤 인증 방식을 사용하고 있는가에 초점을 맞추어야 합니다. 앞으로는 보안 키(Security Key)나 내장 인증기 기반 패스키(Passkey)처럼 피싱 저항 MFA 방식의 기준이 됩니다.
즉, 기존에 흔히 사용하던 일부 인증 방식은 권한이 높은 사용자(Privileged User) 대상 요건을 충족하지 못할 수 있으므로 조직별 사용 방식을 다시 점검해야 합니다.
또한 이번 변화는 단순한 직접 로그인뿐만 아니라, 싱글 사인온(SSO) 로그인과 IdP(자격 증명 제공자)의 인증 신호 구성에도 영향을 줄 수 있어 함께 점검이 필요합니다.
📢 일반 직원 사용자(Employee User) 확대 가이드
일반 사용자에 대해서도 UI 로그인 시 MFA 요구가 확대되며, 운영 환경 기준 2026년 7월 20일부터 순차적으로 적용될 예정입니다.
로그인 흐름도 사용자명 입력 후 다음 단계에서 비밀번호 또는 패스키를 입력하는 2단계 로그인 방식으로 확대되므로, 사내 사용자 교육 자료와 테스트 시나리오를 미리 정비해야 합니다.
🚨현장에서 가장 많이 나오는 질문 TOP 3
Q1. Salesforce 인증기(Salesforce Authenticator)를 사용하고 있으면 충분할까요?
❌ 조직의 적용 방식에 따라 다를 수 있지만, 충분하지 않을 수 있습니다.
권한이 높은 사용자(Privileged User) 대상 요건을 충족하려면 패스키(Pass Key), 터치 아이디(Touch ID), YubiKey 등 조직에서 허용하는 피싱 저항 MFA 중심으로 전환이 필요합니다.
Q2. 관리자 자격 증명으로 연동(Integration)을 운영 중인데, 무엇을 해야 할까요?
🔐 연동 아키텍처를 전체적으로 점검해 보시길 바랍니다.
이번 변화의 직접적인 대상은 사용자 화면 기반(UI) 기반 로그인입니다. 사용자 로그인 화면을 거치지 않는 연동 방식은 상대적으로 영향이 적을 수 있지만, OAuth 웹 서버 흐름(OAuth Web Server Flow)처럼 중간에 사용자 로그인 화면이 개입되는 방식은 실제 영향도를 반드시 점검해야 합니다.
Q3. 예외 사용자 다중 인증 면제(Waive MFA for Exempt Users) 권한이 있으면 괜찮지 않나요?
⚡ 기존 예외 정책만으로는 충분하지 않을 수 있습니다.
Salesforce는 새 보안 요구 사항이 적용될 때 기존 예외 정책만으로는 충분하지 않다고 안내하고 있습니다. 자동화 테스트 등 정당한 예외 사례는 별도 승인 또는 대체 절차가 필요한지 확인해야 합니다.
2. 릴리즈 전 꼭 챙겨야 할 운영 포인트
지난 4월부터 Pre-Release org 오픈과 릴리즈 노트 검토 기간이 지나면서, 이제 6월 샌드박스 테스트와 운영 환경 반영을 앞두고 있습니다.
지금 시점에서 중요한 것은 릴리즈 후 대응이 아니라, 샌드박스에서 먼저 로그인과 운영 영향도를 테스트하는 것입니다.
1) 다중 구성 SAML 프레임 워크 전환 (Multiple-Configuration SAML Framework)
싱글 사인온(SSO)을 운영 중인 조직은 로그인 보안 이슈와 별개로, 인증 구조 자체가 Summer '26 Release 기준에 맞는지를 꼭 점검해야 합니다.
이번 릴리즈에서는 특히 단일 구성 SAML 프레임워크 지원이 종료되고 다중 구성 SAML 프레임워크로의 전환이 필요합니다. 여러 외부 자격 증명 제공자(IdP)를 다루는 조직일수록 구조를 미리 정리하고 샌드박스에서 검증하는 편이 안전합니다.
2) 라이트닝 동기화(Lighting Sync) 종료 대응
라이트닝 동기화(Lighting Sync)의 예상 종료일이 안내된 만큼 대체 방안을 함께 검토해야 합니다.
현재 라이트닝 동기화를 사용 중인 조직이라면 Einstein Activity Capture 등 대체 방안으로 마이그레이션을 미리 검토해 두는 것을 추천드립니다.
3. 관리자 관점에서 봐야할 주요 기능 및 기본값 변화
• 🧱 신규 조직에서 Chatter가 기본 비활성화 (Off)
새로 생성되는 Salesforce 조직에서는 Chatter가 비활성화 상태로 제공됩니다. 케이스 피드(Case Feed)나 Experience Cloud 등 Chatte와 연결된 기능을 사용하는 조직이라면 초기 설정 단계에서 활성화 여부를 꼭 확인해야 합니다.
• 🛡️ 권한 거버넌스 강화
권한 의존성(Permission Dependency) 추적이 강화되어, 특정 권한을 변경할 때 연쇄적으로 영향을 받는 종속 권한들을 더 쉽게 확인할 수 있게 되어, 어드민의 권한 변경 실수를 줄이는 데 도움이 됩니다.
대기열(Queue) 접근 제어 옵션도 현재 설정값과 영향 범위를 확인해야 합니다.
• 📊 Flow 및 자동화 영역 개선
배포 시 이메일 템플릿 참조가 깨지는 문제 완화, 유효성 검사 패널 개선, 오류 경로(Fault Path) 접기 등의 변화는 어드민의 체감 생산성을 크게 높여줄 수 있습니다. 특히 샌드박스와 운영 환경 간 배포 품질을 안정화하는 데 도움이 됩니다.
• 💻 API v67 기본 보안 동작 강화
API 버전 67부터는 새 Apex의 기본 보안 동작이 더 보수적으로 적용됩니다. 데이터베이스 작업은 사용자 모드(User Mode) 및 공유 규칙(Sharing)을 더 안전한 방향으로 따르도록 기본값이 변경됩니다.
개발팀뿐만 아니라 관리자도 권한 관련 예외 동작이 없는지 테스트 범위에 포함해야 합니다.
4. 지금 당장 시작해야 할 5가지 액션 아이템
• 우리 조직의 권한이 높은 사용자(Privileged User)가 누구인지 명확하게 식별하기
• 관리자 전원의 노트북/PC에 패스키(Passkey) 또는 하드웨어 보안 키 등록 정책 수립하기
• 싱글 사인온(SSO) 연동 조직의 경우, IdP가 MFA 신호를 올바르게 전달하는지 검증하기
• 6월 22일 시작되는 샌드박스 일정에 맞춰 실제 로그인 및 주요 웹 연동 시나리오 테스트하기
• 일반 사용자 대상 공지 가이드와 헬프데스크 지원 절차 마련하기
5. 트레슬의 한마디
트레슬은 이번 릴리즈를 화려한 신기능 도입보다는 로그인과 운영 리스크를 얼마나 잘 준비하고 방어할 수 있는지 점검해야 하는 시점으로 판단합니다. 기능은 사용하며 익숙해질 수 있지만, 로그인 정책 변화는 미리 준비하지 않으면 곧바로 업무 차질로 이어질 수 있기 때문입니다.
트레슬의 Salesforce Summer '26 가이드를 확인하시고, 여러분의 조직의 로그인 방식과 인증 구조를 다시 한 번 그려보시길 바랍니다.
Salesforce 도입 및 운영에 어려움을 겪고 계시다면?
트레슬 전문가와 함께 현재 구조를 점검해 보세요!