Microsoft 365의 맬웨어 및 랜섬웨어 보호

맬웨어로부터 고객 데이터 보호

맬웨어는 바이러스, 스파이웨어 및 기타 악성 소프트웨어로 구성됩니다. Microsoft 365에는 클라이언트 또는 Microsoft 365 서버에서 맬웨어가 Microsoft 365에 도입되지 않도록 하는 보호 메커니즘이 포함되어 있습니다. 맬웨어 방지 소프트웨어의 사용은 악성 소프트웨어로부터 Microsoft 365 자산을 보호하기 위한 주요 메커니즘입니다. 맬웨어 방지 소프트웨어는 컴퓨터 바이러스, 맬웨어, 루트킷, 웜 및 기타 악성 소프트웨어가 모든 서비스 시스템에 도입되는 것을 감지하고 방지합니다. 맬웨어 방지 소프트웨어는 악성 소프트웨어에 대한 예방 및 형사 제어를 모두 제공합니다.

각 맬웨어 방지 솔루션은 소프트웨어 버전과 실행 중인 서명을 추적합니다. 적어도 매일 공급업체의 바이러스 정의 사이트에서 서명 업데이트의 자동 다운로드 및 적용은 각 서비스 팀에 적합한 맬웨어 방지 도구에 의해 중앙에서 관리됩니다. 다음 함수는 각 서비스 팀의 각 엔드포인트에서 적절한 맬웨어 방지 도구에 의해 중앙에서 관리됩니다.

  • 환경 자동 검사
  • 파일 시스템의 정기 검사(적어도 매주)
  • 파일 다운로드, 열기 또는 실행 시 실시간 파일 검색
  • 적어도 매일 공급업체의 바이러스 정의 사이트에서 서명 업데이트 자동 다운로드 및 적용
  • 검색된 맬웨어의 경고, 정리 및 완화

맬웨어 방지 도구는 맬웨어를 차단하고 Microsoft 365 서비스 팀 직원, Microsoft 365 보안 및/또는 데이터 센터를 운영하는 Microsoft organization 보안 및 규정 준수 팀에 경고를 생성합니다. 수신 담당자가 인시던트 대응 프로세스를 시작합니다. 인시던트가 추적 및 해결되고 사후 분석이 수행됩니다.

맬웨어에 대한 Exchange Online Protection

Exchange Online 대한 모든 전자 메일 메시지는 EOP(Exchange Online Protection)를 통해 이동하며, 이 메시지는 바이러스 및 기타 맬웨어에 대한 시스템을 입력하고 나가는 모든 전자 메일 및 이메일 첨부 파일을 실시간으로 격리하고 검사합니다. 관리자는 필터링 기술을 설정하거나 유지 관리할 필요가 없습니다. 기본적으로 사용하도록 설정되어 있습니다. 그러나 관리자는 Exchange 관리 센터를 사용하여 회사별 필터링 사용자 지정을 수행할 수 있습니다.

다양한 맬웨어 방지 엔진을 사용하는 EOP는 알려진 모든 맬웨어를 잡아내도록 설계된 다단계 보호 기능을 제공합니다. 서비스를 통해 전송되는 메시지는 맬웨어(바이러스 및 스파이웨어 포함)를 검색합니다. 맬웨어가 감지되면 메시지가 삭제됩니다. 감염된 메시지가 삭제되고 배달되지 않는 경우 보낸 사람이나 관리자에게 알림이 전송될 수도 있습니다. 감염된 첨부 파일을 받는 사람에게 맬웨어 검색에 대해 알리는 기본 또는 사용자 지정 메시지로 대체하도록 선택할 수도 있습니다.

다음은 맬웨어 방지 보호를 제공하는 데 도움이 됩니다.

  • 맬웨어에 대한 계층화된 방어 - EOP에 사용되는 여러 맬웨어 방지 검사 엔진은 알려진 위협과 알 수 없는 위협으로부터 보호하는 데 도움이 됩니다. 이러한 엔진에는 맬웨어 발생의 초기 단계에서도 보호를 제공하는 강력한 경험적 탐지가 포함되어 있습니다. 이 다중 엔진 접근 방식은 하나의 맬웨어 방지 엔진을 사용하는 것보다 훨씬 더 많은 보호를 제공하는 것으로 나타났습니다.
  • 실시간 위협 대응 - 일부 발생 시 맬웨어 방지 팀은 서비스에서 사용하는 엔진에서 정의를 사용할 수 있더라도 위협을 감지하는 정교한 정책 규칙을 작성하기 위해 바이러스 또는 다른 형태의 맬웨어에 대한 충분한 정보를 가질 수 있습니다. 이러한 규칙은 2시간마다 글로벌 네트워크에 게시되어 organization 공격에 대한 추가 보호 계층을 제공합니다.
  • 빠른 맬웨어 방지 정의 배포 - 맬웨어 방지 팀은 맬웨어 방지 엔진을 개발하는 파트너와 긴밀한 관계를 유지합니다. 따라서 공개적으로 릴리스되기 전에 맬웨어 정의 및 패치를 받아서 통합할 수 있습니다. 이러한 파트너와의 연결을 통해 종종 우리 자신의 구제책도 개발할 수 있습니다. 서비스는 매시간 모든 맬웨어 방지 엔진에 대한 업데이트된 정의를 확인합니다.

Office 365용 Microsoft Defender

Office 365용 Microsoft Defender 맬웨어 및 바이러스를 비롯한 특정 유형의 고급 위협에 대한 추가 보호를 제공하는 이메일 필터링 서비스입니다. Exchange Online Protection 현재 알려진 맬웨어 및 바이러스에 대해 여러 엔진에서 제공하는 강력하고 계층화된 바이러스 백신 보호를 사용합니다. Office 365용 Microsoft Defender 알 수 없는 맬웨어 및 바이러스로부터 보호하는 안전한 첨부 파일이라는 기능을 통해 이 보호를 확장하고 메시징 시스템을 보호하기 위해 더 나은 제로 데이 보호를 제공합니다. 알려진 바이러스/맬웨어 서명이 없는 모든 메시지 및 첨부 파일은 다양한 기계 학습 및 분석 기술을 사용하여 악의적인 의도를 검색하는 동작 분석이 수행되는 특별한 하이퍼바이저 환경으로 라우팅됩니다. 의심스러운 활동이 감지되지 않으면 메시지가 사서함 배달을 위해 릴리스됩니다.

또한 Exchange Online Protection Microsoft 365에서 전송 중인 각 메시지를 검사하고 배달 보호 시간을 제공하여 메시지의 악성 하이퍼링크를 차단합니다. 공격자는 메시지를 받은 후 전달 서비스를 통해 안전하지 않은 사이트로 리디렉션되는 겉보기에 안전한 링크로 악의적인 URL을 숨기려고 하는 경우가 있습니다. 안전한 링크는 이러한 링크를 선택하는 경우 사용자를 사전에 보호합니다. 해당 보호는 링크를 선택할 때마다 유지되며 좋은 링크에 액세스할 수 있는 동안 악의적인 링크가 동적으로 차단됩니다.

Office 365용 Microsoft Defender 또한 풍부한 보고 및 추적 기능을 제공하므로 organization 대상이 되는 사용자와 현재 발생한 공격 범주에 대한 중요한 인사이트를 얻을 수 있습니다. 보고 및 메시지 추적을 사용하면 알 수 없는 바이러스 또는 맬웨어로 인해 차단된 메시지를 조사할 수 있으며 URL 추적 기능을 사용하면 클릭한 메시지의 개별 악성 링크를 추적할 수 있습니다.

Office 365용 Microsoft Defender 대한 자세한 내용은 Exchange Online Protection 및 Office 365용 Microsoft Defender 참조하세요.

SharePoint Online 및 랜섬웨어에 대한 비즈니스용 OneDrive 보호

다양한 형태의 랜섬웨어 공격이 있지만 가장 일반적인 형태 중 하나는 악의적인 개인이 사용자의 중요한 파일을 암호화한 다음, 암호 해독 키를 대가로 돈이나 정보와 같은 사용자에게 무언가를 요구하는 것입니다. 랜섬웨어 공격, 특히 사용자의 클라우드 스토리지에 저장된 파일을 암호화하는 랜섬웨어 공격이 증가하고 있습니다. 랜섬웨어에 대한 자세한 내용은 Microsoft Defender 보안 인텔리전스 사이트를 참조하세요.

버전 관리를 사용하면 이러한 유형의 랜섬웨어 공격으로부터 SharePoint Online 목록 및 SharePoint Online 및 비즈니스용 OneDrive 라이브러리를 보호할 수 있습니다. 버전 관리는 기본적으로 비즈니스용 OneDrive 및 SharePoint Online에서 사용하도록 설정됩니다. SharePoint Online 사이트 목록에서 버전 관리를 사용하도록 설정되었으므로 이전 버전을 살펴보고 필요한 경우 복구할 수 있습니다. 이를 통해 랜섬웨어에서 암호화를 미리 날짜 지정하는 항목 버전을 복구할 수 있습니다. 또한 일부 조직은 법적 이유 또는 감사 목적으로 목록에 여러 버전의 항목을 유지합니다.

SharePoint Online 및 비즈니스용 OneDrive 휴지통

SharePoint Online 관리자는 SharePoint Online 관리 센터를 사용하여 삭제된 사이트 모음을 복원할 수 있습니다. SharePoint Online 사용자에게는 삭제된 콘텐츠가 저장되는 휴지통이 있습니다. 필요한 경우 휴지통에 액세스하여 삭제된 문서 및 목록을 복구할 수 있습니다. 휴지통의 항목은 93일 동안 보존됩니다. 휴지통에 의해 캡처되는 데이터 형식은 다음과 같습니다.

  • 사이트 모음
  • 사이트
  • 목록
  • 라이브러리
  • 폴더
  • 목록 항목
  • 문서
  • 웹 파트 페이지

SharePoint Designer 통해 수행된 사이트 사용자 지정은 휴지통에 의해 캡처되지 않습니다. 자세한 내용은 사이트 모음 휴지통에서 삭제된 항목 복원을 참조하세요. 또한 삭제된 사이트 모음 복원을 참조하세요.

버전 관리에서는 파일을 복사하고 암호화한 다음 원래 파일을 삭제하는 랜섬웨어 공격으로부터 보호하지 않습니다. 그러나 최종 사용자는 휴지통을 활용하여 랜섬웨어 공격이 발생한 후 비즈니스용 OneDrive 파일을 복구할 수 있습니다.

다음 섹션에서는 Microsoft가 organization 및 해당 자산에 대한 사이버 공격의 위험을 완화하는 데 사용하는 방어 및 제어에 대해 자세히 설명합니다.

Microsoft가 랜섬웨어 공격으로 인한 위험을 완화하는 방법

Microsoft는 organization 및 해당 자산에 대한 랜섬웨어 공격의 위험을 완화하는 데 사용하는 방어 및 제어 기능을 구축했습니다. 자산은 각 도메인에 고유한 위험 완화 집합이 있는 도메인별로 구성할 수 있습니다.

도메인 1: 테넌트 수준 컨트롤

첫 번째 도메인은 organization 구성하는 사용자와 organization 소유하고 제어하는 인프라 및 서비스입니다. Microsoft 365의 다음 기능은 위험을 완화하고 이 도메인에 있는 자산의 성공적인 손상으로부터 복구하는 데 도움이 되도록 기본적으로 켜져 있거나 구성할 수 있습니다.

Exchange Online

  • 단일 항목 복구 및 사서함 보존을 사용하면 고객이 실수로 또는 악의적인 조기 삭제 시 사서함의 항목을 복구할 수 있습니다. 고객은 기본적으로 최대 30일 동안 구성할 수 있는 14일 이내에 삭제된 메일 메시지를 롤백할 수 있습니다.

  • Exchange Online 서비스 내에서 이러한 보존 정책의 추가 고객 구성은 다음을 허용합니다.

    • 적용할 구성 가능한 보존(1년/10년 이상)
    • 적용할 쓰기 보호에 대한 복사
    • 불변성을 달성할 수 있도록 보존 정책을 잠글 수 있는 기능
  • Exchange Online Protection 들어오는 전자 메일과 첨부 파일을 실시간으로 검사합니다. 기본적으로 사용하도록 설정되며 필터링 사용자 지정을 사용할 수 있습니다. 랜섬웨어 또는 기타 알려진 맬웨어 또는 의심되는 맬웨어가 포함된 메시지가 삭제됩니다. 이 경우 알림을 받도록 관리자를 구성할 수 있습니다.

SharePoint Online 및 비즈니스용 OneDrive Protection

SharePoint Online 및 비즈니스용 OneDrive Protection은 랜섬웨어 공격으로부터 보호하는 기능을 기본 제공했습니다.

버전 관리: 버전 관리에서 기본적으로 최소 500개 버전의 파일을 유지하고 더 많은 파일을 유지하도록 구성할 수 있으므로 랜섬웨어가 파일을 편집하고 암호화하는 경우 이전 버전의 파일을 복구할 수 있습니다.

휴지통: 랜섬웨어가 새 암호화된 파일 복사본을 만들고 이전 파일을 삭제하는 경우 고객은 93일 동안 휴지통에서 복원할 수 있습니다.

보존 보존 라이브러리: 보존 설정을 적용하여 SharePoint 또는 OneDrive 사이트에 저장된 파일을 보존할 수 있습니다. 버전이 있는 문서에 보존 설정이 적용되면 버전이 보존 보존 라이브러리에 복사되고 별도의 항목으로 존재합니다. 사용자가 파일이 손상된 것으로 의심되는 경우 보존된 복사본을 검토하여 파일 변경 내용을 조사할 수 있습니다. 그런 다음 파일 복원을 사용하여 지난 30일 이내에 파일을 복구할 수 있습니다.

Teams

Teams 채팅은 사용자 사서함과 파일이 SharePoint Online 또는 비즈니스용 OneDrive 저장되는 Exchange Online 내에 저장됩니다. Microsoft Teams 데이터는 이러한 서비스에서 사용할 수 있는 컨트롤 및 복구 메커니즘으로 보호됩니다.

도메인 2: 서비스 수준 컨트롤

두 번째 도메인은 Microsoft를 organization 구성하는 사용자와 비즈니스의 조직 기능을 실행하기 위해 Microsoft가 소유하고 제어하는 회사 인프라입니다.

회사 자산을 보호하기 위한 Microsoft의 접근 방식은 디지털 자산 전반에 걸쳐 방어와 함께 자체 제품 및 서비스를 사용하여 구현된 제로 트러스트. 제로 트러스트 원칙에 대한 자세한 내용은 제로 트러스트 아키텍처에서 확인할 수 있습니다.

Microsoft 365의 추가 기능은 도메인 1에서 사용할 수 있는 위험 완화를 확장하여 이 도메인의 자산을 추가로 보호합니다.

SharePoint Online 및 비즈니스용 OneDrive Protection

버전 관리: 랜섬웨어가 파일을 편집으로 암호화한 경우 Microsoft에서 관리하는 버전 기록 기능을 사용하여 초기 파일 생성 날짜까지 파일을 복구할 수 있습니다.

휴지통: 랜섬웨어가 새 암호화된 파일 복사본을 만들고 이전 파일을 삭제한 경우 고객은 93일 이내에 휴지통에서 복원할 수 있습니다. 93일이 지난 후에도 Microsoft에서 데이터를 복구할 수 있는 14일의 기간이 있습니다. 이 창이 지나면 데이터가 영구적으로 삭제됩니다.

Teams

도메인 1에 설명된 Teams의 위험 완화는 도메인 2에도 적용됩니다.

도메인 3: 개발자 & 서비스 인프라

세 번째 도메인은 Microsoft 365 서비스, 서비스를 제공하는 코드 및 인프라, 데이터의 스토리지 및 처리를 개발하고 운영하는 사용자입니다.

Microsoft 365 플랫폼을 보호하고 이 도메인의 위험을 완화하는 Microsoft 투자는 다음 영역에 중점을 줍니다.

  • 서비스의 보안 태세에 대한 지속적인 평가 및 유효성 검사
  • 손상으로부터 서비스를 보호하는 도구 및 아키텍처 빌드
  • 공격이 발생할 경우 위협을 감지하고 대응하는 기능 빌드

보안 상태의 지속적인 평가 및 유효성 검사

  • Microsoft는 최소 권한 원칙을 사용하여 Microsoft 365 서비스를 개발하고 운영하는 사용자와 관련된 위험을 완화합니다. 즉, 리소스에 대한 액세스 및 권한은 필요한 작업을 수행하는 데 필요한 권한으로만 제한됩니다.
    • JIT(Just-In-Time), JEA(Just-Enough-Access) 모델은 Microsoft 엔지니어에게 임시 권한을 제공하는 데 사용됩니다.
    • 엔지니어는 상승된 권한을 획득하려면 특정 작업에 대한 요청을 제출해야 합니다.
    • 요청은 Lockbox를 통해 관리되며, Azure RBAC(역할 기반 액세스 제어)를 사용하여 엔지니어가 수행할 수 있는 JIT 권한 상승 요청 유형을 제한합니다.
  • 위의 사항 외에도 모든 Microsoft 응시자는 Microsoft에서 취업을 시작하기 전에 사전 심사됩니다. 미국 Microsoft 온라인 서비스 유지 관리하는 직원은 온라인 서비스 시스템에 액세스하기 위한 필수 조건으로 Microsoft 클라우드 백그라운드 검사를 받아야 합니다.
  • 모든 Microsoft 직원은 비즈니스 행위 표준 교육과 함께 기본 보안 인식 교육을 완료해야 합니다.

서비스를 보호하는 도구 및 아키텍처

  • Microsoft의 SDL(보안 개발 수명 주기)은 애플리케이션 보안을 개선하고 취약성을 줄이기 위해 보안 소프트웨어를 개발하는 데 중점을 둡니다. 자세한 내용은 보안 및 보안 개발 및 운영 개요를 참조하세요.
  • Microsoft 365는 서비스 인프라의 여러 부분 간의 통신을 운영에 필요한 것으로만 제한합니다.
  • 네트워크 트래픽은 네트워크 공격을 감지, 방지 및 완화하는 데 도움이 되도록 경계 지점에서 추가 네트워크 방화벽을 사용하여 보호됩니다.
  • Microsoft 365 서비스는 고객이 명시적으로 요청하고 승인하지 않는 한 엔지니어가 고객 데이터에 액세스할 필요 없이 작동하도록 설계됩니다. 자세한 내용은 Microsoft에서 고객 데이터를 수집하고 처리하는 방법을 참조하세요.

검색 및 응답 기능

  • Microsoft 365는 Microsoft 365 서비스에 대한 위협을 감지하고 대응하기 위해 시스템의 지속적인 보안 모니터링에 참여합니다.
  • 중앙 집중식 로깅은 보안 인시던트일 수 있는 활동에 대한 로그 이벤트를 수집하고 분석합니다. 로그 데이터는 경고 시스템에 업로드되고 거의 실시간으로 경고를 생성할 때 분석됩니다.
  • 클라우드 기반 도구를 사용하면 검색된 위협에 신속하게 대응할 수 있습니다. 이러한 도구를 사용하면 자동으로 트리거된 작업을 사용하여 수정할 수 있습니다.
  • 자동 수정이 불가능한 경우 경고는 감지된 위협을 완화하기 위해 실시간으로 작동할 수 있는 도구 집합을 갖춘 적절한 통화 중인 엔지니어에게 전송됩니다.

랜섬웨어 공격으로부터 복구

Microsoft 365의 랜섬웨어 공격으로부터 복구하는 단계는 Microsoft 365의 랜섬웨어 공격으로부터 복구를 참조하세요.

추가 랜섬웨어 리소스

Microsoft의 주요 정보

Microsoft 365

Microsoft Defender XDR

Microsoft Azure

Microsoft Defender for Cloud Apps

Microsoft 보안 팀 블로그 게시물