손상된 전자 메일 계정에 응답

• 적용 대상:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

팁

Office 365용 Microsoft Defender 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.

자격 증명은 Microsoft 365 사서함, 데이터 및 기타 서비스에 대한 액세스를 제어합니다. 누군가가 해당 자격 증명을 훔치면 연결된 계정이 손상된 것으로 간주됩니다.

공격자가 자격 증명을 훔쳐 계정에 액세스한 후 연결된 Microsoft 365 사서함, SharePoint 폴더 또는 사용자의 OneDrive에 있는 파일에 액세스할 수 있습니다. 공격자는 종종 손상된 사서함을 사용하여 organization 내부 및 외부의 받는 사람에게 원래 사용자로 전자 메일을 보냅니다. 전자 메일을 사용하여 외부 수신자에게 데이터를 보내는 공격자를 데이터 반출이라고 합니다.

이 문서에서는 계정 손상의 증상과 손상된 계정을 다시 제어하는 방법을 설명합니다.

손상된 Microsoft 전자 메일 계정의 증상

사용자는 Microsoft 365 사서함에서 비정상적인 활동을 알아차리고 보고할 수 있습니다. 예시:

• 누락되거나 삭제된 전자 메일과 같은 의심스러운 활동입니다.
• 보낸 사람의 보낸 편지함 폴더에 있는 해당 전자 메일 없이 손상된 계정에서 전자 메일을 받는 사용자입니다.
• 의심스러운 받은 편지함 규칙. 이러한 규칙은 자동으로 전자 메일을 알 수 없는 주소로 전달하거나 노트, 정크 Email 또는 RSS 구독 폴더로 메시지를 이동할 수 있습니다.
• 사용자의 표시 이름이 전역 주소 목록에서 변경됩니다.
• 사용자의 사서함에서 메일 보내기가 차단됩니다.
• Microsoft Outlook 또는 웹용 Outlook 보낸 편지함 또는 삭제된 항목 폴더(이전의 Outlook Web App)에는 손상된 계정에 대한 일반적인 메시지(예: "런던에 갇혀 있어 돈을 보내세요.")가 포함됩니다.
• 비정상적인 프로필 변경. 예를 들어 이름, 전화 번호 또는 우편 번호 업데이트가 있습니다.
• 여러 번 자주 암호를 변경합니다.
• 최근에 외부 전자 메일 전달이 추가되었습니다.
• 비정상적인 전자 메일 메시지 서명입니다. 예를 들어 가짜 은행 서명 또는 처방약 서명입니다.

사용자가 이러한 증상 또는 기타 비정상적인 증상을 보고하는지 즉시 조사해야 합니다. Microsoft Defender 포털 및 Azure Portal 사용자 계정에서 의심스러운 활동을 조사하는 데 도움이 되는 다음 도구를 제공합니다.

• Microsoft Defender 포털의 통합 감사 로그: 의심스러운 활동이 오늘까지 발생하기 직전에 시작되는 날짜 범위를 사용하여 활동 로그를 필터링합니다. 검색하는 동안 특정 활동을 필터링하지 마세요. 자세한 내용은 감사 로그 검색을 참조하세요.

• Microsoft Entra 로그인 로그 및 Microsoft Entra 관리 센터 기타 위험 보고서: 다음 열의 값을 검사합니다.

  • IP 주소 검토
  • 로그인 위치
  • 로그인 시간
  • 로그인 성공 또는 실패

중요

다음 단추를 사용하면 의심스러운 계정 활동을 테스트하고 식별할 수 있습니다. 이 정보를 사용하여 손상된 계정을 복구할 수 있습니다.

테스트 실행: 손상된 계정

손상된 Microsoft 365 계정 및 사서함으로 전자 메일 기능 보호 및 복원

사용자가 계정에 다시 액세스한 후에도 공격자는 계정을 다시 제어할 수 있는 백도어 항목을 남길 수 있습니다.

계정을 다시 제어하려면 다음 단계를 모두 수행합니다. 문제가 의심되는 즉시 가능한 한 빨리 단계를 진행하여 공격자가 계정을 다시 제어하지 않도록 합니다. 또한 이러한 단계를 통해 공격자가 계정에 추가한 백도어 항목을 제거할 수 있습니다. 이러한 단계를 수행한 후에는 바이러스 검사를 실행하여 클라이언트 컴퓨터가 손상되지 않도록 하는 것이 좋습니다.

1단계: 사용자 암호 다시 설정

다른 사람을 위해 비즈니스 암호 재설정하기의 절차를 따르세요.

중요

• 공격자가 이 시점에서 사서함에 계속 액세스할 수 있으므로 전자 메일을 통해 사용자에게 새 암호를 보내지 마세요.

• 대문자와 소문자, 하나 이상의 숫자 및 하나 이상의 특수 문자와 같은 강력한 암호를 사용해야 합니다.

• 암호 기록 요구 사항이 허용하는 경우에도 마지막 5개의 암호를 다시 사용하지 마세요. 공격자가 추측할 수 없는 고유한 암호를 사용합니다.

• 사용자의 ID가 Microsoft 365와 페더레이션된 경우 온-프레미스 환경에서 계정 암호를 변경한 다음 관리자에게 손상 사실을 알려야 합니다.

• 앱 암호를 업데이트해야 합니다. 암호를 재설정하면 앱 암호가 자동으로 해지되지 않습니다. 사용자가 직접 기존 앱 암호를 삭제하고 새 암호를 만들어야 합니다. 지침은 2단계 인증을 위한 앱 암호 관리를 참조하세요.

• 계정에 MFA(다단계 인증)를 사용하도록 설정하는 것이 좋습니다. MFA는 계정 손상을 방지하는 좋은 방법이며 관리 권한이 있는 계정에 매우 중요합니다. 지침은 다단계 인증 설정을 참조하세요.

2단계: 의심스러운 전자 메일 전달 주소 제거

1. 의 Microsoft 365 관리 센터 https://admin.microsoft.com사용자활성 사용자>로 이동합니다. 또는 활성 사용자 페이지로 직접 이동하려면 를 사용합니다 https://admin.microsoft.com/Adminportal/Home#/users.

2. 활성 사용자 페이지에서 사용자 계정을 찾아 이름 옆에 있는 검사 상자 이외의 행의 아무 곳이나 클릭하여 선택합니다.

3. 열리는 세부 정보 플라이아웃에서 메일 탭을 선택합니다.

4. 메일 탭의 Email 전달 섹션에 적용된 값은 메일 전달이 계정에 구성되어 있음을 나타냅니다. 제거하려면 다음 단계를 수행합니다.

   • 전자 메일 전달 관리를 선택합니다.
   • 열리는 전자 메일 전달 관리 플라이아웃에서 이 사서함으로 전송된 모든 전자 메일 전달 검사 상자의 선택을 취소한 다음 변경 내용 저장을 선택합니다.

3단계: 의심스러운 받은 편지함 규칙 사용 안 함

1. 웹용 Outlook을 사용하여 사용자의 사서함에 로그인합니다..

2. 설정(기어 아이콘)을 선택하고, 검색 설정 상자에 '규칙'을 입력한 다음, 결과에서 받은 편지함 규칙을 선택합니다.

3. 열리는 규칙 플라이아웃에서 기존 규칙을 검토하고 의심스러운 규칙을 끄거나 삭제합니다.

4단계: 사용자가 메일을 보내지 못하도록 차단 해제

계정이 스팸 또는 대량의 전자 메일을 보내는 데 사용된 경우 사서함이 메일을 보내지 못하도록 차단되었을 수 있습니다.

사서함의 전자 메일 보내기 차단을 해제하려면 제한된 엔터티 페이지에서 차단된 사용자 제거의 절차를 따릅니다.

5단계 선택 사항 : 사용자 계정 로그인을 차단하기

중요

액세스를 다시 사용하도록 설정하는 것이 안전하다고 판단될 때까지 계정의 로그인을 차단할 수 있습니다.

1. 의 Microsoft 365 관리 센터 https://admin.microsoft.com다음 단계를 수행합니다.

   1. 사용자>활성 사용자로 이동합니다. 또는 활성 사용자 페이지로 직접 이동하려면 를 사용합니다 https://admin.microsoft.com/Adminportal/Home#/users.
   2. 활성 사용자 페이지에서 다음 단계 중 하나를 수행하여 목록에서 사용자 계정을 찾아 선택합니다.
      • 이름 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하여 사용자를 선택합니다. 열리는 세부 정보 플라이아웃에서 플라이아웃 맨 위에 있는 로그인 차단을 선택합니다.
      • 이름 옆에 있는 검사 상자를 선택하여 사용자를 선택합니다. 추가 작업>로그인 상태 편집을 선택합니다.
   3. 열리는 로그인 차단 플라이아웃에서 정보를 읽고, 이 사용자의 로그인 차단을 선택하고, 변경 내용 저장을 선택한 다음, 플라이아웃 맨 위에서 닫기를 선택합니다.

2. 의 EAC(Exchange 관리 센터)에서 https://admin.exchange.microsoft.com다음 단계를 수행합니다.

   1. 받는 사람사서함으로 > 이동합니다. 또는 사서함 페이지로 직접 이동하려면 를 사용합니다 https://admin.exchange.microsoft.com/#/mailboxes.

   2. 사서함 관리 페이지에서 이름 옆에 표시되는 라운드 검사 상자 이외의 행의 아무 곳이나 클릭하여 목록에서 사용자를 찾아 선택합니다.

   3. 열리는 세부 정보 플라이아웃에서 다음 단계를 수행합니다.

      1. 일반 탭이 선택되어 있는지 확인한 다음, Email 앱 & 모바일 디바이스 섹션에서 전자 메일 앱 설정 관리를 선택합니다.
      2. 열리는 메일 앱 플라이아웃에 대한 설정 관리에서 토글을 사용 안 함으로 변경하여 사용 가능한 모든 설정을 사용하지 않도록 설정합니다.
         • Outlook 데스크톱(MAPI)
         • Exchange 웹 서비스
         • 모바일(Exchange ActiveSync)
         • IMAP
         • POP3
         • 웹용 Outlook

      전자 메일 앱 플라이아웃에 대한 설정 관리에서 완료되면 저장을 선택한 다음 플라이아웃 맨 위에서 닫기를 선택합니다.

6단계 선택 사항: 모든 관리 역할에서 손상된 것으로 의심되는 계정 제거

참고

계정이 보호된 후 관리 역할에서 사용자의 멤버 자격을 복원할 수 있습니다.

1. https://admin.microsoft.com의 Microsoft 365 관리 센터에서 다음 단계를 수행합니다.

   1. 사용자>활성 사용자로 이동합니다. 또는 활성 사용자 페이지로 직접 이동하려면 를 사용합니다 https://admin.microsoft.com/Adminportal/Home#/users.

   2. 활성 사용자 페이지에서 다음 단계 중 하나를 수행하여 목록에서 사용자 계정을 찾아 선택합니다.

      • 이름 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하여 사용자를 선택합니다. 열리는 세부 정보 플라이아웃에서 계정 탭이 선택되어 있는지 확인한 다음 역할 섹션에서역할 관리를 선택합니다.
      • 이름 옆에 있는 검사 상자를 선택하여 사용자를 선택합니다. 추가 작업>역할 관리를 선택합니다.

   3. 열리는 관리자 역할 관리 플라이아웃에서 다음 단계를 수행합니다.

      • 나중에 복원하려는 정보를 기록합니다.
      • 사용자를 선택하여 관리 역할 멤버 자격을 제거합니다 (관리 센터 액세스 없음).

      관리자 역할 관리 플라이아웃을 마쳤으면 변경 내용 저장을 선택합니다.

2. 의 Microsoft Defender 포털에서 https://security.microsoft.com다음 단계를 수행합니다.

   1. 권한>Email & 협업 역할 역할>로 이동합니다. 또는 https://security.microsoft.com/emailandcollabpermissions을 통해 권한 페이지로 바로 이동하세요.

   2. 사용 권한 페이지에서 이름 옆에 있는 검사 상자(예: 조직 관리)를 선택한 다음 나타나는 작업 편집을 선택하여 목록에서 역할 그룹을 선택합니다.

   3. 열리는 역할 그룹 구성원 편집 페이지에서 멤버 목록을 검토합니다. 역할 그룹에 사용자 계정이 포함된 경우 이름 옆에 있는 검사 상자를 선택한 다음 멤버 제거를 선택하여 사용자를 제거합니다.

      역할 그룹 구성원 편집 페이지에서 작업을 마쳤으면 다음을 선택합니다.

   4. 역할 그룹 검토 및 완료 페이지에서 정보를 검토한 다음 저장을 선택합니다.

   5. 목록의 각 역할 그룹에 대해 이전 단계를 반복합니다.

3. https://admin.exchange.microsoft.com/의 Exchange 관리 센터에서 다음 단계를 수행합니다.

   1. 역할>관리 역할로 이동합니다. 또는 관리 역할 페이지로 직접 이동하려면 를 사용합니다https://admin.exchange.microsoft.com/#/adminRoles.

   2. 관리 역할 페이지에서 이름 옆에 표시되는 라운드 검사 상자 이외의 행의 아무 곳이나 클릭하여 목록에서 역할 그룹을 선택합니다.

   3. 열리는 세부 정보 플라이아웃에서 할당된 탭을 선택한 다음, 사용자 계정을 찾습니다. 역할 그룹에 사용자 계정이 포함되어 있는 경우 다음 단계를 수행합니다.

      1. 이름 옆에 표시되는 둥근 검사 상자를 선택하여 사용자 계정을 선택합니다.
      2. 표시되는 삭제 작업을 선택하고 예, 경고 대화 상자에서 제거를 선택한 다음 플라이아웃 맨 위에서 닫기를 선택합니다.

   4. 목록의 각 역할 그룹에 대해 이전 단계를 반복합니다.

7단계 선택 사항 : 추가 예비 단계

1. Outlook 또는 웹용 Outlook 계정의 보낸 편지함 폴더의 내용을 확인합니다.

   사용자의 연락처에 계정이 손상되었음을 알려야 할 수 있습니다. 예를 들어 공격자가 연락처에 돈을 요청하는 메시지를 보냈거나 공격자가 컴퓨터를 하이재킹하기 위해 바이러스를 보냈을 수 있습니다.

2. 이 계정을 대체 전자 메일 주소로 사용하는 다른 서비스도 손상될 수 있습니다. 이 Microsoft 365 organization 계정에 대해 이 문서의 단계를 수행한 후 다른 서비스에서 해당 단계를 수행합니다.

3. 계정의 연락처 정보(예: 전화 번호 및 주소)를 확인합니다.

참고 항목

• Microsoft 365에서 Outlook 규칙 및 사용자 지정 양식 주입 공격 감지 및 재구성
• 불법 동의 허용 검색 및 수정
• 인터넷 범죄 불만 센터
• 증권 거래 위원회 - “피싱” 사기
• 메시지를 Microsoft 및/또는 관리자에게 피싱으로 보고합니다(사용자 보고 설정이 organization 구성된 방법에 따라 다름).