손상된 전자 메일 계정에 응답

• 적용 대상:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

팁

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 다.

Microsoft 365 사서함, 데이터 및 기타 서비스에 대한 액세스는 자격 증명(예: 사용자 이름 및 암호 또는 PIN)에 의해 제어됩니다. 의도한 사용자 이외의 사용자가 해당 자격 증명을 도용하면 연결된 계정이 손상된 것으로 간주됩니다.

공격자가 자격 증명을 훔쳐 계정에 액세스한 후 연결된 Microsoft 365 사서함, SharePoint 폴더 또는 사용자의 OneDrive에 있는 파일에 액세스할 수 있습니다. 공격자는 종종 손상된 사서함을 사용하여 organization 내부 및 외부의 받는 사람에게 원래 사용자로 전자 메일을 보냅니다. 전자 메일을 사용하여 외부 수신자에게 데이터를 보내는 공격자를 데이터 반출이라고 합니다.

이 문서에서는 계정 손상의 증상과 손상된 계정을 다시 제어하는 방법을 설명합니다.

손상된 Microsoft 전자 메일 계정의 증상

사용자는 Microsoft 365 사서함에서 비정상적인 활동을 알아차리고 보고할 수 있습니다. 예를 들면

• 누락되거나 삭제된 전자 메일과 같은 의심스러운 활동입니다.
• 보낸 사람의 보낸 편지함 폴더에 있는 해당 전자 메일 없이 손상된 계정에서 전자 메일을 받는 사용자입니다.
• 사용자 또는 관리자가 만들지 않은 받은 편지함 규칙입니다. 이러한 규칙은 자동으로 전자 메일을 알 수 없는 주소로 전달하거나 노트, 정크 Email 또는 RSS 구독 폴더로 메시지를 이동할 수 있습니다.
• 사용자의 표시 이름이 전역 주소 목록에서 변경됩니다.
• 사용자의 사서함에서 메일 보내기가 차단됩니다.
• Microsoft Outlook 또는 웹용 Outlook 보낸 편지함 또는 삭제된 항목 폴더(이전의 Outlook Web App)에는 손상된 계정에 대한 일반적인 메시지(예: "런던에 갇혀 있어 돈을 보내세요.")가 포함됩니다.
• 비정상적인 프로필 변경. 예를 들어 이름, 전화 번호 또는 우편 번호가 업데이트됩니다.
• 여러 번 자주 암호를 변경합니다.
• 최근에 메일 전달이 추가되었습니다.
• 최근 비정상적인 서명이 추가되었습니다. 예를 들어 가짜 은행 서명 또는 처방약 서명입니다.

사용자가 이러한 증상 또는 기타 비정상적인 증상을 보고하는 경우 조사해야 합니다. Microsoft Defender 포털 및 Azure Portal 사용자 계정에서 의심스러운 활동을 조사하는 데 도움이 되는 다음 도구를 제공합니다.

• Microsoft Defender 포털의 통합 감사 로그: 의심스러운 활동이 오늘까지 발생하기 직전에 시작되는 날짜 범위를 사용하여 활동 로그를 필터링합니다. 검색하는 동안 특정 활동을 필터링하지 마세요. 자세한 내용은 감사 로그 검색을 참조하세요.

• Microsoft Entra 로그인 로그 및 Microsoft Entra 관리 센터 기타 위험 보고서: 다음 열의 값을 검사합니다.

  • IP 주소 검토
  • 로그인 위치
  • 로그인 시간
  • 로그인 성공 또는 실패

중요

다음 단추를 사용하면 의심스러운 계정 활동을 테스트하고 식별할 수 있습니다. 이 정보를 사용하여 손상된 계정을 복구할 수 있습니다.

테스트 실행: 손상된 계정

손상된 Microsoft 365 계정 및 사서함으로 전자 메일 기능 보호 및 복원

사용자가 계정에 다시 액세스한 후에도 공격자는 공격자가 계정 제어를 다시 시작할 수 있도록 백도어 항목을 남겼을 수 있습니다.

계정을 다시 제어하려면 다음 단계를 모두 수행합니다. 문제가 의심되는 즉시 가능한 한 빨리 단계를 진행하여 공격자가 계정 제어를 다시 시작하지 않도록 합니다. 또한 이러한 단계를 통해 공격자가 계정에 추가했을 수 있는 백도어 항목을 제거할 수 있습니다. 이러한 단계를 수행한 후에는 바이러스 검사를 실행하여 클라이언트 컴퓨터가 손상되지 않도록 하는 것이 좋습니다.

1단계: 사용자 암호 다시 설정

다른 사람을 위해 비즈니스 암호 재설정하기의 절차를 따르세요.

중요

• 공격자가 이 시점에서 사서함에 계속 액세스할 수 있으므로 전자 메일을 통해 사용자에게 새 암호를 보내지 마세요.

• 대문자와 소문자, 하나 이상의 숫자 및 하나 이상의 특수 문자와 같은 강력한 암호를 사용해야 합니다.

• 암호 기록 요구 사항이 허용하는 경우에도 마지막 5개의 암호를 다시 사용하지 마세요. 공격자가 추측할 수 없는 고유한 암호를 사용합니다.

• 온-프레미스 ID가 Microsoft 365와 페더레이션된 경우 온-프레미스 계정 암호를 온-프레미스에서 변경한 다음 관리자에게 손상 사실을 알려야 합니다.

• 앱 암호를 업데이트해야 합니다. 암호를 재설정하면 앱 암호가 자동으로 해지되지 않습니다. 사용자가 직접 기존 앱 암호를 삭제하고 새 암호를 만들어야 합니다. 지침은 2단계 인증을 위한 앱 암호 관리를 참조하세요.

• 계정에 MFA(다단계 인증)를 사용하도록 설정하는 것이 좋습니다. MFA는 계정 손상을 방지하는 좋은 방법이며 관리 권한이 있는 계정에 매우 중요합니다. 지침은 다단계 인증 설정을 참조하세요.

2단계: 의심스러운 전자 메일 전달 주소 제거

1. 의 Microsoft 365 관리 센터 https://admin.microsoft.com사용자활성 사용자>로 이동합니다. 또는 활성 사용자 페이지로 직접 이동하려면 를 사용합니다 https://admin.microsoft.com/Adminportal/Home#/users.

2. 활성 사용자 페이지에서 사용자 계정을 찾아 이름 옆에 있는 검사 상자 이외의 행의 아무 곳이나 클릭하여 선택합니다.

3. 열리는 세부 정보 플라이아웃에서 메일 탭을 선택합니다.

4. Email 전달 섹션에 적용된 값은 메일 전달이 계정에 구성되어 있음을 나타냅니다.

   전자 메일 전달 관리를 선택하고 이 사서함으로 전송된 모든 전자 메일 전달 검사 상자가 열리는 전자 메일 전달 관리 플라이아웃의 선택을 취소한 다음 변경 내용 저장을 선택합니다.

3단계: 의심스러운 받은 편지함 규칙 사용 안 함

1. 웹용 Outlook을 사용하여 사용자의 사서함에 로그인합니다..

2. 설정(기어 아이콘)을 선택하고 검색 상자에 '규칙'을 입력한 다음 결과에서 받은 편지함 규칙을 선택합니다.

3. 열리는 플라이아웃의 규칙 탭에서 기존 규칙을 검토하고 의심스러운 규칙을 끄거나 삭제합니다.

4단계: 사용자가 메일을 보내지 못하도록 차단 해제

계정이 스팸 또는 대량의 전자 메일을 보내는 데 사용된 경우 사서함이 메일을 보내지 못하도록 차단되었을 수 있습니다.

사서함의 전자 메일 보내기 차단을 해제하려면 제한된 엔터티 페이지에서 차단된 사용자 제거의 절차를 따릅니다.

5단계 선택 사항 : 사용자 계정 로그인을 차단하기

중요

액세스를 다시 사용하도록 설정하는 것이 안전하다고 판단될 때까지 계정의 로그인을 차단할 수 있습니다.

1. 의 Microsoft 365 관리 센터 https://admin.microsoft.com다음 단계를 수행합니다.

   1. 사용자>활성 사용자로 이동합니다. 또는 활성 사용자 페이지로 직접 이동하려면 를 사용합니다 https://admin.microsoft.com/Adminportal/Home#/users.
   2. 활성 사용자 페이지에서 다음 단계 중 하나를 수행하여 목록에서 사용자 계정을 찾아 선택합니다.
      • 이름 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하여 사용자를 선택합니다. 열리는 세부 정보 플라이아웃에서 플라이아웃 맨 위에 있는 로그인 차단을 선택합니다.
      • 이름 옆에 있는 검사 상자를 선택하여 사용자를 선택합니다. 추가 작업>로그인 상태 편집을 선택합니다.
   3. 열리는 로그인 차단 플라이아웃에서 정보를 읽고, 이 사용자의 로그인 차단을 선택하고, 변경 내용 저장을 선택한 다음, 플라이아웃 맨 위에서 닫기를 선택합니다.

2. 의 EAC(Exchange 관리 센터)에서 https://admin.exchange.microsoft.com다음 단계를 수행합니다.

   1. 받는 사람사서함으로 > 이동합니다. 또는 사서함 페이지로 직접 이동하려면 를 사용합니다 https://admin.exchange.microsoft.com/#/mailboxes.
   2. 사서함 페이지에서 다음 단계 중 하나를 수행하여 목록에서 사용자를 찾아 선택합니다.
      • 이름 옆에 표시되는 둥근 검사 상자가 아닌 행의 아무 곳이나 클릭하여 사용자를 선택합니다.
      • 이름 옆에 표시되는 둥근 검사 상자를 선택한 다음 페이지에 표시되는 편집 작업을 선택하여 사용자를 선택합니다.
   3. 열리는 세부 정보 플라이아웃에서 다음 단계를 수행합니다.

      1. 일반 탭이 선택되어 있는지 확인한 다음, Email 앱 & 모바일 디바이스 섹션에서 전자 메일 앱 설정 관리를 선택합니다.

      2. 열리는 메일 앱 플라이아웃에 대한 설정 관리에서 토글을 사용 안 함으로 변경하여 사용 가능한 모든 설정을 사용하지 않도록 설정합니다.

         • Outlook 데스크톱(MAPI)
         • Exchange 웹 서비스
         • 모바일(Exchange ActiveSync)
         • IMAP
         • POP3
         • 웹용 Outlook

         전자 메일 앱 플라이아웃에 대한 설정 관리에서 완료되면 저장을 선택한 다음 플라이아웃 맨 위에서 닫기를 선택합니다.

6단계 선택 사항: 모든 관리 역할 그룹에서 손상된 것으로 의심되는 계정 제거하기

참고

계정이 보호된 후 관리 역할 그룹에서 사용자의 멤버 자격을 복원할 수 있습니다.

1. https://admin.microsoft.com의 Microsoft 365 관리 센터에서 다음 단계를 수행합니다.

   1. 사용자>활성 사용자로 이동합니다. 또는 활성 사용자 페이지로 직접 이동하려면 를 사용합니다 https://admin.microsoft.com/Adminportal/Home#/users.

   2. 활성 사용자 페이지에서 다음 단계 중 하나를 수행하여 목록에서 사용자 계정을 찾아 선택합니다.

      • 이름 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하여 사용자를 선택합니다. 열리는 세부 정보 플라이아웃에서 계정 탭이 선택되어 있는지 확인한 다음 역할 섹션에서역할 관리를 선택합니다.
      • 이름 옆에 있는 검사 상자를 선택하여 사용자를 선택합니다. 추가 작업>역할 관리를 선택합니다.

   3. 열리는 관리자 역할 관리 플라이아웃에서 다음 단계를 수행합니다.

      • 나중에 복원하려는 정보를 기록합니다.
      • 사용자를 선택하여 관리 역할 멤버 자격을 제거합니다 (관리 센터 액세스 없음).

      관리자 역할 관리 플라이아웃을 마쳤으면 변경 내용 저장을 선택합니다.

2. 의 Microsoft Defender 포털에서 https://security.microsoft.com다음 단계를 수행합니다.

   1. 권한>Email & 협업 역할 역할>로 이동합니다. 또는 https://security.microsoft.com/emailandcollabpermissions을 통해 권한 페이지로 바로 이동하세요.
   2. 사용 권한 페이지의 목록에서 역할 그룹을 선택합니다.
   3. 열리는 세부 정보 플라이아웃의 멤버 섹션에서 사용자 계정을 찾습니다. 역할 그룹에 사용자 계정이 포함되어 있는 경우 다음 단계를 수행합니다.
      1. 멤버 섹션에서 편집을 선택합니다.
      2. 열리는 플라이아웃의 구성원 선택 탭에서 편집을 선택합니다.
      3. 열리는 멤버 선택 플라이아웃에서 제거를 선택합니다.
      4. 표시되는 구성원 섹션에서 이름 옆에 있는 검사 상자를 선택하여 사용자 계정을 선택하고 제거를 선택한 다음 완료를 선택합니다.
      5. 편집 멤버 선택 플라이아웃에서 저장을 선택합니다.
      6. 역할 그룹 세부 정보 플라이아웃에서 닫기를 선택합니다.
   4. 목록의 각 역할 그룹에 대해 이전 단계를 반복합니다.

3. https://admin.exchange.microsoft.com/의 Exchange 관리 센터에서 다음 단계를 수행합니다.

   1. 역할>관리 역할로 이동합니다. 또는 관리 역할 페이지로 직접 이동하려면 를 사용합니다https://admin.exchange.microsoft.com/#/adminRoles.

   2. 관리 역할 페이지에서 이름 옆에 표시되는 라운드 검사 상자 이외의 행의 아무 곳이나 클릭하여 목록에서 역할 그룹을 선택합니다.

   3. 열리는 세부 정보 플라이아웃에서 할당된 탭을 선택한 다음, 사용자 계정을 찾습니다. 역할 그룹에 사용자 계정이 포함되어 있는 경우 다음 단계를 수행합니다.

      1. 사용자 계정을 선택합니다.
      2. 표시되는 삭제 작업을 선택하고 예, 경고 대화 상자에서 제거를 선택한 다음 플라이아웃 맨 위에서 닫기를 선택합니다.

   4. 목록의 각 역할 그룹에 대해 이전 단계를 반복합니다.

7단계 선택 사항 : 추가 예비 단계

1. Outlook 또는 웹용 Outlook 계정의 보낸 편지함 폴더의 내용을 확인합니다.

   연락처 목록에 있는 사용자에게 계정이 손상되었음을 알려야 할 수 있습니다. 예를 들어 공격자가 연락처에 돈을 요청하는 메시지를 보냈거나 공격자가 컴퓨터를 납치하기 위해 바이러스를 보냈을 수 있습니다.

2. 이 계정을 대체 전자 메일 계정으로 사용하는 다른 서비스에 대한 계정도 손상되었을 수 있습니다. 이 Microsoft 365 organization 계정에 대해 이 문서의 단계를 수행한 후 다른 계정에 대해 다음 단계를 수행합니다.

3. 계정의 연락처 정보(예: 전화 번호 및 주소)를 확인합니다.

참고 항목

• Microsoft 365에서 Outlook 규칙 및 사용자 지정 양식 주입 공격 감지 및 재구성
• 불법 동의 허용 검색 및 수정
• 인터넷 범죄 불만 센터
• 증권 거래 위원회 - “피싱” 사기
• Microsoft와 관리자에게 스팸 전자 메일을 직접 보고하려면 보고서 메시지 추가 기능을 사용하세요.