위험에 노출된 이메일 계정에 대응

• 적용 대상:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

팁

Office 365용 Microsoft Defender 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.

사용자 자격 증명은 조사의 핵심인 Microsoft Entra ID 계정에 대한 액세스를 제어합니다. 공격자가 계정에 액세스하면 연결된 Microsoft 365 사서함, SharePoint 폴더 또는 사용자의 OneDrive에 있는 파일에 액세스할 수 있습니다. 손상된 사용자의 수정 및 조사는 영향을 받는 계정 및 계정과 연결된 서비스에 중점을 둡니다.

공격자는 종종 손상된 사용자의 사서함을 사용하여 organization 내부 및 외부의 받는 사람에게 보냅니다. BEC(비즈니스 Email 손상)는 다작 유형의 공격이며 이 문서에서 다룹니다.

이 문서에서는 계정 손상의 증상(특히 사서함)과 손상된 계정의 제어권을 다시 회복하는 방법을 설명합니다.

중요

다음 단추를 사용하면 의심스러운 계정 활동을 테스트하고 식별할 수 있습니다. 이 문서의 지침과 함께 이 테스트를 사용하여 잠재적으로 손상된 계정에 대한 인사이트를 얻고 필요한 수정 작업을 결정합니다.

테스트 실행: 손상된 계정

손상된 Microsoft 365 전자 메일 계정의 일반적인 증상

다음 작업 중 하나 이상이 Microsoft 365 사서함과 연결된 계정이 손상되었음을 나타낼 수 있습니다.

• 사서함이 전자 메일을 보내지 못하도록 차단됩니다.
• 의심스러운 활동. 예를 들어 누락되거나 삭제된 전자 메일입니다.
• 의심스러운 받은 편지함 규칙. 예시:
  • 전자 메일을 알 수 없는 주소로 자동으로 전달하는 규칙입니다.
  • 노트, 정크 Email 또는 RSS 구독 폴더로 메시지를 이동하는 규칙입니다.
• 보낸 항목 또는 삭제된 항목 폴더에는 의심스러운 메시지가 포함됩니다. 예를 들어"나는 런던에 갇혀, 돈을 보내."
• GAL(전체 주소 목록)에서 사용자의 연락처를 변경합니다. 예를 들어 이름, 전화 번호 또는 우편 번호입니다.
• 자주 암호 변경 또는 설명할 수 없는 계정 잠금.
• 최근에 외부 전자 메일 전달이 추가되었습니다.
• 의심스러운 전자 메일 메시지 서명. 예를 들어 가짜 은행 서명 또는 처방약 서명입니다.

사서함에 이러한 증상이 있는 경우 다음 섹션의 단계를 사용하여 계정을 다시 제어할 수 있습니다.

손상된 Microsoft 365 메일 사용 계정에 Email 함수 보호 및 복원

공격자가 계정에 대한 액세스 권한을 얻은 후 가능한 한 빨리 계정에 대한 액세스를 차단해야 합니다.

다음 단계에서는 공격자가 지속성을 유지하고 나중에 계정을 다시 제어할 수 있는 알려진 방법을 다룹니다. 각 단계를 해결해야 합니다.

1단계: 영향을 받는 사용자 계정 사용 안 함

• 손상된 계정을 사용하지 않도록 설정하는 것이 바람직하며 조사를 완료할 때까지 권장됩니다.

  1. 필요한 경우 다음 명령을 실행하여 PowerShell에 Microsoft Graph PowerShell 모듈을 설치합니다.

     Install-Module -Name Microsoft.Graph -Scope CurrentUser
     

  2. 다음 명령을 실행하여 Microsoft Graph에 연결합니다.

     Connect-MgGraph -Scopes "User.ReadWrite.All"
     

  3. 라는 $user<변수에 사용자 계정의 세부 정보를 저장하려면 UPN>을 사용자의 계정 이름(사용자 계정 이름 또는 UPN)으로 바꾼 다음 다음 명령을 실행합니다.

     $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
     

     예시:

     $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
     

  4. 다음 명령을 실행하여 사용자 계정을 사용하지 않도록 설정합니다.

     Update-MgUser -UserId $user.Id -AccountEnabled $false
     

  자세한 구문 및 매개 변수 정보는 Update-MgUser를 참조하세요.

• 계정을 사용하지 않도록 설정할 수 없는 경우 다음으로 가장 좋은 단계는 암호를 재설정하는 것입니다. 자세한 내용은 비즈니스용 Microsoft 365에서 암호 재설정을 참조하세요.

  • 대문자와 소문자, 하나 이상의 숫자 및 하나 이상의 특수 문자와 같은 강력한 암호를 사용해야 합니다.
  • 공격자가 이 시점에서 사서함에 액세스할 수 있으므로 전자 메일을 통해 사용자에게 새 암호를 보내지 마세요.
  • 공격자가 추측할 수 없는 고유한 암호를 사용합니다. 암호 기록 요구 사항이 허용하는 경우에도 마지막 5개의 암호를 다시 사용하지 마세요.
  • 계정이 Active Directory에서 동기화된 경우 Active Directory에서 암호를 재설정하고 두 번 다시 설정하여 통과 해시 공격의 위험을 완화합니다. 자세한 내용은 Set-ADAccountPassword를 참조하세요.
  • 사용자의 ID가 Microsoft 365와 페더레이션된 경우 온-프레미스 환경에서 계정 암호를 변경한 다음 관리자에게 손상 사실을 알려야 합니다.
  • 앱 암호를 업데이트해야 합니다. 암호를 재설정하면 앱 암호가 자동으로 해지되지 않습니다. 사용자가 직접 기존 앱 암호를 삭제하고 새 암호를 만들어야 합니다. 자세한 내용은 2단계 인증을 위한 앱 암호 관리를 참조하세요.

• 계정에 대해 MFA(다단계 인증)를 사용하도록 설정하고 적용하는 것이 좋습니다. MFA는 계정 손상으로부터 효과적으로 보호하며 관리자 권한이 있는 계정에 필수적입니다.

  자세한 내용은 다음 문서를 참조하세요.

  • 다단계 인증 설정
  • 관리자에게 피싱 방지 MFA 필요

2단계: 사용자 액세스 취소

이 단계는 도난당한 자격 증명을 사용하여 활성 액세스를 즉시 무효화하고 공격자가 더 중요한 데이터에 액세스하거나 손상된 계정에서 무단 작업을 수행하지 못하도록 방지합니다.

1. 관리자 권한 PowerShell 창( 관리자 권한으로 실행을 선택하여 여는 PowerShell 창)에서 다음 명령을 실행합니다.

   Set-ExecutionPolicy RemoteSigned
   

2. 필요한 경우 다음 명령을 실행하여 Microsoft Graph PowerShell에 필요한 모듈을 설치합니다.

   Install-Module Microsoft.Graph.Authentication
   
   Install-Module Microsoft.Graph.Users.Actions
   

3. 다음 명령을 실행하여 Microsoft Graph에 연결합니다.

   Connect-MgGraph -Scopes User.RevokeSessions.All
   

4. 라는 $user<변수에 사용자 계정의 세부 정보를 저장하려면 UPN>을 사용자의 계정(사용자 계정 이름 또는 UPN)으로 바꾼 다음 다음 명령을 실행합니다.

   $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
   

   예시:

   $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
   

5. 다음 명령을 실행하여 사용자의 로그인 세션을 취소합니다.

   Revoke-MgUserSignInSession -UserId $user.Id
   

자세한 내용은 Microsoft Entra ID 긴급 상황에서 사용자 액세스 취소를 참조하세요.

3단계: 영향을 받는 사용자에 대한 MFA 등록 디바이스 검토

공격자가 추가한 의심스러운 디바이스를 식별하고 제거합니다. 또한 사용자의 계정을 보호하기 위해 인식할 수 없는 MFA 메서드가 제거되었는지 확인합니다.

지침은 MFA 메서드 제거를 참조하세요.

4단계: 사용자 동의를 사용하여 애플리케이션 목록 검토

허용되지 않아야 하는 애플리케이션을 제거하고 해지합니다.

지침은 애플리케이션 검토를 참조하세요.

5단계: 사용자에게 할당된 관리 역할 검토

허용되지 않아야 하는 역할을 제거합니다.

자세한 내용은 다음 문서를 참조하세요.

• Azure Portal 사용하여 Azure 역할 할당 나열
• Microsoft Entra 역할 할당 나열
• Microsoft Purview 규정 준수 포털의 사용 권한
• Microsoft Defender 포털에서 권한 Office 365용 Microsoft Defender

6단계: 메일 전달자 검토

공격자가 추가한 의심스러운 사서함 전달을 제거합니다.

1. Exchange Online PowerShell에 연결합니다.

2. 사서함 전달(SMTP 전달이라고도 함)이 사서함에 구성되어 있는지 확인하려면 ID>를 사서함<의 이름, 전자 메일 주소 또는 계정 이름으로 바꾼 다음 다음 명령을 실행합니다.

   Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
   

   예시:

   Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*
   

   다음 속성의 값을 관찰합니다.

   • ForwardingAddress: 비블랭크 값은 전자 메일이 지정된 내부 받는 사람에게 전달되고 있음을 의미합니다.
   • ForwardingSmtpAddress: 비블랭크 값은 전자 메일이 지정된 외부 받는 사람에게 전달되고 있음을 의미합니다. ForwardingAddress 및 ForwardingSmtpAddress가 모두 구성된 경우 전자 메일은 ForwardingAddress 내부 수신자에게만 전달됩니다.
   • DeliverToMailboxAndForward: ForwardingAddress 또는 ForwardingSmtpAddress에서 지정한 받는 사람에게 메시지를 전달하고 전달하는 방법을 제어합니다.
     • True: 메시지가 이 사서함에 배달되고 지정된 받는 사람에게 전달됩니다.
     • False: 메시지가 지정된 받는 사람에게 전달됩니다. 메시지는 이 사서함으로 배달되지 않습니다.

3. 받은 편지함 규칙이 사서함에서 전자 메일을 전달하는지 확인하려면 ID>를 사서함<의 이름, 전자 메일 주소 또는 계정 이름으로 바꾼 다음 다음 명령을 실행합니다.

   Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   예시:

   Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   다음 속성의 값을 관찰합니다.

   • 사용: 규칙 사용 여부(True) 또는 사용 안 함(False)

   • RedirectTo: 비블랭크 값은 전자 메일이 지정된 받는 사람에게 리디렉션되고 있음을 의미합니다. 메시지는 이 사서함으로 배달되지 않습니다.

   • ForwardTo: 비블랭크 값은 전자 메일이 지정된 받는 사람에게 전달되고 있음을 의미합니다.

   • ForwardAsAttachmentTo: 비어 있지 않은 값은 전자 메일이 전자 메일 첨부 파일로 지정된 받는 사람에게 전달되고 있음을 의미합니다.

   • ID: 규칙의 전역적으로 고유한 값입니다. 규칙의 전체 세부 정보를 보려면 ID를 ID> 값으로 바꾼 <다음 다음 명령을 실행합니다.

     Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
     

     예시:

     Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
     

자세한 내용은 Microsoft 365에서 외부 전자 메일 전달 구성 및 제어를 참조하세요.

조사 수행

사용자가 비정상적인 증상을 보고하는 경우 철저한 조사를 수행하는 것이 중요합니다. Microsoft Entra 관리 센터 및 Microsoft Defender 포털은 사용자 계정에서 의심스러운 활동을 검사하는 데 도움이 되는 몇 가지 도구를 제공합니다. 수정 단계를 완료할 때까지 의심스러운 활동이 시작된 후 감사 로그를 검토해야 합니다.

• Microsoft Entra 로그인 로그 및 Microsoft Entra 관리 센터 기타 위험 보고서: 다음 열의 값을 검사합니다.

  • IP 주소
  • 로그인 위치
  • 로그인 시간
  • 로그인 성공 또는 실패

  자세한 내용은 다음 문서를 참조하세요.

  • Microsoft Entra 감사 로그란?
  • Microsoft Entra 로그인 로그란?

• Azure 감사 로그: 자세한 내용은 Azure 보안 로깅 및 감사를 참조하세요.

• Defender 포털의 감사 로그: 의심스러운 활동이 발생하기 직전에 시작되는 날짜 범위를 사용하여 활동에 대한 로그를 필터링합니다. 초기 검색 중에 특정 활동을 필터링하지 마세요.

  자세한 내용은 감사 로그 검색을 참조하세요.

제공된 로그를 분석하여 추가 주의가 필요한 특정 시간 프레임을 정확히 파악할 수 있습니다. 식별되면 이 기간 동안 사용자가 보낸 메시지를 검토하여 더 많은 인사이트를 얻습니다.

• Defender 포털의 메시지 추적: Outlook 또는 웹용 Outlook 계정의 보낸 항목 폴더의 내용을 확인합니다.

  자세한 내용은 Microsoft Defender 포털의 메시지 추적을 참조하세요.

조사가 완료된 후

1. 조사 중에 계정을 사용하지 않도록 설정한 경우 암호를 다시 설정한 다음 이 문서의 앞부분에서 설명한 대로 계정을 사용하도록 설정합니다.

2. 계정이 스팸 또는 대량의 전자 메일을 보내는 데 사용된 경우 사서함이 메일을 보내지 못하도록 차단되었을 수 있습니다. 제한된 엔터티 페이지에서 차단된 사용자 제거 페이지에 설명된 대로 제한된 엔터티 페이지에서 사용자를 제거합니다.

추가 리소스

Microsoft 365에서 Outlook 규칙 및 사용자 지정 양식 주입 공격 감지 및 재구성

불법 동의 허용 검색 및 수정

스팸, 비스팸, 피싱, 의심스러운 이메일 및 파일을 Microsoft에 보고