Office 365용 Defender로 피싱을 차단하는 방법

Office 365용 Defender로 피싱을 차단하는 방법

2024년 4월 14일

이 기술 및 교육 문서의 목적은 보안 분석가, IT 관리자 및 시스템 엔지니어가 피싱 공격을 효과적으로 차단하기 위해 MDO(Microsoft Defender for Office 365)를 구성하고 최적화하는 방법을 안내하는 것입니다. 피싱은 자격 증명을 도용하거나 악성 코드를 설치하거나 피해자를 속여 기밀 정보를 누설하도록 하는 것을 목표로 하는 가장 널리 퍼져 있고 위험한 사이버 위협 중 하나로 남아 있습니다. MDO는 기본 EOP(Exchange Online Protection) 보호를 뛰어 넘는 강력한 피싱 방지 기능 제품군을 제공하여 정교한 공격에 대한 고급 방어 기능을 제공합니다[1].

소개

피싱 공격은 일반적인 이메일에서 스피어 피싱, 웨일링, 비즈니스 이메일 손상(BEC)으로 알려진 고도로 표적화되고 설득력 있는 캠페인으로 발전했습니다. 이러한 전술은 인간의 신뢰를 악용하고 기존 방어 수단을 우회할 수 있습니다. Office 365용 Microsoft Defender는 인공 지능, 기계 학습 및 행동 분석을 사용하여 악성 이메일이 사용자의 받은 편지함에 도달하기 전에 이를 탐지하고 차단함으로써 이러한 지능형 위협에 맞서도록 설계되었습니다[2].

이 실무 가이드에서는 스푸핑 방지, 사서함 인텔리전스, 가장 방지, 보안 링크 및 첨부 파일을 포함하여 MDO의 피싱 방지 정책 구성을 다룹니다. 독자가 피싱 공격에 대한 조직의 방어를 강화하고 사용자에게 모범 사례를 교육할 수 있도록 단계별 지침, 구성 예 및 검증 방법이 제공됩니다.

피싱 방지를 위해 Defender for Office 365가 필수적인 이유는 무엇인가요?

  • 고급 보호: EOP를 넘어 제로 데이 위협 및 다형성 공격을 탐지합니다.
  • 위협 인텔리전스: Microsoft의 방대한 위협 인텔리전스를 활용하여 새로운 공격 벡터와 패턴을 식별합니다.
  • 행동 분석: 이메일과 URL의 행동을 분석하여 피싱을 나타내는 이상 징후를 식별합니다.
  • 가장 보호: 신뢰할 수 있는 경영진, 브랜드 또는 파트너를 사칭하려는 이메일로부터 보호합니다.
  • 보안 링크 및 첨부 파일: 클릭하거나 열 때 URL과 첨부 파일을 실시간으로 검사하여 악성 콘텐츠로부터 보호합니다.
  • 가시성 및 보고: 피싱 공격을 이해하고 대응할 수 있는 자세한 보고 및 조사 도구를 제공합니다.

전제조건

Office 365용 Microsoft Defender에서 피싱 방지 정책을 구성하고 최적화하려면 다음 항목이 필요합니다.

  1. 라이선스: Microsoft Defender for Office 365 Plan 1 또는 Plan 2가 포함된 라이선스입니다. 이는 일반적으로 Microsoft 365 E5 Security, Microsoft 365 E5, Office 365 E5와 같은 패키지의 일부이거나 추가 기능으로 구입할 수 있습니다[3].
  2. 관리 액세스: Microsoft 365 Defender 포털(https://security.microsoft.com)에서 보안 관리자 또는 규정 준수 관리자 권한이 있는 계정입니다.
  3. 확인된 도메인: Microsoft 365에서 전자 메일 도메인을 구성하고 확인해야 합니다.
  4. 이메일 DNS 레코드: SPF(Sender Policy Framework), DKIM(DomainKeys Identified Mail) 및 DMARC(Domain-based Message Authentication, Reporting, and Conformance)가 도메인에 대해 올바르게 구성되어야 합니다. 이는 스푸핑 및 사칭을 방지하는 데 매우 중요합니다.

단계별: MDO에서 피싱 방지 정책 구성

사용자를 보호하기 위해 사용자 지정 피싱 방지 정책을 구성해 보겠습니다.

1. Microsoft 365 Defender 포털에 액세스

  1. 브라우저를 열고 https://security.microsoft.com으로 이동합니다.
  2. 필요한 권한이 있는 계정으로 로그인하세요.

2. 사용자 지정 피싱 방지 정책 만들기

MDO에는 기본 피싱 방지 정책이 있지만 특정 사용자 그룹(예: 임원, 고위험 사용자)에 대한 사용자 지정 정책을 만들고 보호 설정을 조정하는 것이 좋습니다.

  1. 왼쪽 탐색 창에서 이메일 및 공동 작업 > 정책 및 규칙 > 위협 정책을 선택합니다.
  2. 정책 섹션에서 피싱 방지를 클릭합니다.
  3. 만들기를 클릭하여 새 정책 마법사를 시작합니다.

1단계: 정책 이름 지정

  1. 이름: 피싱방지정책사용자 정의 - 경영진(또는 대상 그룹을 설명하는 이름).
  2. 설명: '임원 및 고위험 사용자를 위한 고급 피싱 보호'
  3. 다음을 클릭합니다.

2단계: 사용자, 그룹 및 도메인

  1. 사용자, 그룹 또는 도메인: 이 정책을 적용할 사용자 또는 그룹을 선택합니다. 이 예에서는 경영진이 포함된 보안 그룹을 선택합니다.
    • : 전체 조직에 지원하기 전에 소규모 테스트 그룹부터 시작하세요.
  2. 다음 사용자, 그룹 및 도메인 제외: (선택 사항) 이 정책에서 제외해야 하는 엔터티를 추가합니다.
  3. 다음을 클릭합니다.

3단계: 피싱 기준 및 사칭 기준

이 섹션에서는 피싱 및 명의 도용에 대한 보호 수준을 구성할 수 있습니다.

  1. 피싱 임계값: '3' 또는 '4' 값을 설정하는 것이 좋습니다(기본값은 1). 값이 높을수록 더 많은 보호 기능을 제공하지만 오탐지가 증가할 수 있습니다.
  2. 사용자를 보호하도록 활성화: 사용자 추가를 클릭하고 명의 도용으로부터 보호하려는 임원이나 핵심 인물(예: CEO, CFO)의 이메일 주소를 추가합니다. MDO는 이러한 사람들을 사칭하려는 이메일을 적극적으로 모니터링합니다.
  3. 보호할 도메인 활성화: 도메인 추가를 클릭하고 자신의 도메인(예: yourcompany.com)을 추가합니다. 이는 내부 및 외부 도메인 스푸핑으로부터 보호합니다.
  4. 작업: 명의 도용으로 감지된 메시지에 대한 작업을 설정합니다.
    • 메시지가 사용자 사칭으로 감지된 경우: '메시지를 격리' 또는 '수신자의 정크 메일 폴더로 메시지 이동'.
    • 메시지가 도메인 명의 도용으로 감지된 경우: 메시지를 격리합니다.
    • 도움말: 합법적인 이메일의 손실을 방지하려면 '수신자의 정크 메일로 메시지 이동' 또는 '격리' 폴더로 시작하세요.
  5. Mailbox Intelligence: 켜기인지 확인하세요. 이를 통해 MDO는 기계 학습 인텔리전스를 사용하여 각 사용자의 정상적인 통신 패턴을 결정하고 이상 현상을 감지할 수 있습니다.
  6. 스푸핑 방지: 켜짐으로 설정되어 있는지 확인하고 인증되지 않은 스푸핑 메시지에 대한 동작을 수신자의 정크 메일 폴더로 메시지 이동 또는 메시지 격리로 설정합니다.
  7. 다음을 클릭합니다.

4단계: 검토

  1. 모든 정책 설정을 검토합니다.
  2. 만들기를 클릭합니다.

3. 안전한 첨부 파일 구성

보안 첨부 파일은 첨부 파일을 사용자에게 전달하기 전에 가상화된 환경(샌드박스)에서 열어 제로 데이 악성 코드로부터 보호합니다.

  1. 왼쪽 탐색 창에서 이메일 및 공동 작업 > 정책 및 규칙 > 위협 정책을 선택합니다.
  2. 정책 섹션에서 보안 첨부 파일을 클릭합니다.
  3. 만들기를 클릭합니다.
  4. 이름: '보안 첨부 정책'.
  5. 설명: '제로데이 악성 코드로부터 보호하기 위해 샌드박스 처리된 이메일 첨부 파일을 검사합니다.'
  6. 보안 첨부 악성코드 대응 조치: '차단'을 선택하세요.
  7. 감지된 첨부 파일 리디렉션: (선택 사항) 추가 분석을 위해 첨부 파일을 보안 사서함으로 리디렉션할 수 있습니다.
  8. 적용 대상: 사용자, 그룹 또는 도메인을 선택하고 관련 사용자 또는 그룹을 추가합니다.
  9. 만들기를 클릭합니다.

4. 안전한 링크 구성

Safe Links는 이메일과 문서의 URL을 다시 작성하여 클릭 시 실시간으로 평판을 확인하여 악성 링크로부터 보호합니다.

  1. 왼쪽 탐색 창에서 이메일 및 공동 작업 > 정책 및 규칙 > 위협 정책을 선택합니다.
  2. 정책 섹션에서 보안 링크를 클릭합니다.
  3. 만들기를 클릭합니다.
  4. 이름: 안전 링크 정책.
  5. 설명: '이메일 및 문서의 악성 URL로부터 보호합니다.'
  6. 이메일 메시지에 보안 링크 적용: 이것이 활성화되어 있는지 확인하세요.
  7. Office 365 앱의 콘텐츠에 보안 링크 적용: 이것이 활성화되어 있는지 확인하세요.
  8. 작업: 차단된 URL에 대한 작업을 구성합니다(예: '악성 URL 차단').
  9. 다음 URL을 다시 작성하지 마십시오: (선택 사항) 다시 작성해서는 안 되는 내부 URL 또는 신뢰할 수 있는 URL을 추가합니다.
  10. 적용 대상: 사용자, 그룹 또는 도메인을 선택하고 관련 사용자 또는 그룹을 추가합니다.
  11. 만들기를 클릭합니다.

검증 및 테스트

보호 기능이 예상대로 작동하는지 확인하려면 피싱 방지 정책의 효과를 검증하는 것이 중요합니다.

1. 공격 시뮬레이션 훈련 활용

MDO에는 사용자 복원력과 정책의 효율성을 테스트할 수 있는 피싱 공격 시뮬레이션 도구가 포함되어 있습니다.

  1. Microsoft 365 Defender 포털에서 이메일 및 공동 작업 > 교육 공격 시뮬레이션으로 이동합니다.
  2. 시뮬레이션 시작을 클릭합니다.
  3. 마법사를 따라 시뮬레이션된 피싱 캠페인을 만들고 테스트 사용자 그룹을 대상으로 실행합니다.
  4. 결과를 모니터링하여 얼마나 많은 사용자가 손상되었는지, MDO 정책이 시뮬레이션된 피싱 이메일을 차단했는지 여부를 확인합니다.

2. 보호 로그 확인

  1. Microsoft 365 Defender 포털에서 이메일 및 공동 작업 > 탐색기로 이동합니다.
  2. 필터를 사용하여 '피싱', '스푸핑' 또는 '맬웨어' 판정이 포함된 이메일을 찾아 정책이 악성 이메일을 탐지하고 있는지 확인합니다.

3. 보안 링크 및 첨부 파일 테스트

알려진 악성 링크(예: 보안 피싱 테스트 사이트) 또는 악성 코드 테스트 파일(예: EICAR)이 포함된 테스트 이메일을 보호된 사용자에게 보내고 MDO가 링크를 다시 작성하는지 또는 첨부 파일을 차단하는지 확인합니다.

보안 팁 및 모범 사례

  • 사용자 교육: 가장 중요한 방어선입니다. 피싱 이메일을 인식하고 신고할 수 있도록 사용자를 정기적으로 교육하세요. 학습을 강화하려면 훈련 공격 시뮬레이션을 사용하세요.
  • SPF, DKIM 및 DMARC 설정: 이러한 DNS 레코드는 이메일 인증 및 스푸핑 방지에 중요합니다. 모든 도메인에 대해 올바르게 구성되었는지 확인하세요.
  • 세부적인 정책: 다양한 사용자 그룹, 특히 위험도가 높은 그룹(예: 임원, 재무)을 위한 맞춤형 피싱 방지 정책을 만듭니다.
  • 피싱 임계값 증가: 오탐지 모니터링을 통해 보호 수준을 높이려면 사용자 지정 정책에서 피싱 임계값을 3 또는 4로 늘리는 것이 좋습니다.
  • 보고서 모니터링: MDO의 위협 방지 보고서를 정기적으로 검토하여 추세, 표적 공격 및 보호를 개선할 수 있는 영역을 식별합니다.
  • Defender for Endpoint와 통합: 이메일 보호와 엔드포인트 보호가 함께 작동하여 계층화된 방어를 수행합니다. 사용자가 악의적인 링크를 클릭하면 Defender for Endpoint는 장치에서 위협을 감지하고 해결하는 데 도움을 줄 수 있습니다.

일반적인 문제 해결

  • 합법적인 피싱 이메일 통과: 피싱 방지 정책 설정, 특히 피싱 임계값과 사칭 및 스푸핑에 대한 조치를 확인하세요. SPF, DKIM, DMARC가 올바르게 구성되어 있는지 확인하세요. 위협 탐색기에서 로그를 검토합니다.
  • 오탐지(합법적인 이메일 차단): 피싱 임계값을 더 낮은 값으로 조정합니다. 명의 도용 및 스푸핑 설정을 확인하세요. 신뢰할 수 있는 보낸 사람이나 도메인을 예외 목록에 추가합니다(필요한 경우 주의해서).
  • 다시 작성되지 않은 링크 또는 확인되지 않은 첨부 파일: 안전한 링크 및 안전한 첨부 파일 정책이 활성화되어 올바른 사용자에게 할당되었는지 확인하세요. 이메일이 MDO를 통해 라우팅되고 있는지 확인하세요.
  • 교육 공격 시뮬레이션 문제: 테스트 사용자가 올바른 그룹에 포함되어 있는지, 시뮬레이션 이메일이 사용자에게 도달하기 전에 차단할 수 있는 정책이 없는지 확인하세요.

결론

Office 365용 Microsoft Defender는 피싱에 맞서 싸우는 강력하고 필수적인 도구입니다. 피싱 방지, 안전한 첨부 파일 및 안전한 링크 정책을 구성하고 최적화함으로써 조직은 광범위한 악성 이메일 공격에 대한 강력한 방어를 구축할 수 있습니다. 고급 기술과 지속적인 사용자 교육을 결합하면 회사 ID, 데이터 및 평판을 효과적으로 보호하는 계층화된 보안 전략이 만들어집니다. 끊임없이 진화하는 피싱 전술에 효과적으로 대처하려면 지속적인 경계와 정책 조정이 필수적입니다.

참고자료:

[1] 마이크로소프트 런. Office 365용 Microsoft Defender. 이용 가능: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/microsoft-defender-for-office-365?view=o365-worldwide [2] 마이크로소프트 런. Office 365용 Microsoft Defender의 피싱 방지 정책. 사용 가능: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-about [3] 마이크로소프트 런. Office 365용 Microsoft Defender 라이선스 요구 사항. 이용 가능: [https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365] (https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365)