eDiscovery 솔루션 시리즈: 데이터 유출 시나리오 - 검색 및 제거

중요

이 문서는 클래식 eDiscovery(프리미엄) 환경에만 적용됩니다. 클래식 eDiscovery(프리미엄) 환경은 2025년 8월에 사용 중지되며 사용 중지 후 Microsoft Purview 포털에서 환경 옵션으로 사용할 수 없습니다.

이 전환에 대한 계획을 일찍 시작하고 Microsoft Purview 포털에서 새 eDiscovery 환경을 사용하는 것이 좋습니다. 최신 eDiscovery 기능 및 기능을 사용하는 방법에 대한 자세한 내용은 eDiscovery에 대해 알아보기를 참조하세요.

데이터 유출이란 무엇이며 왜 관심을 가져야 하나요? 데이터 유출은 신뢰할 수 없는 환경으로 기밀 문서가 방출되는 것을 말합니다. 데이터 유출 인시던트가 감지되면 유출의 크기와 위치를 신속하게 평가하고 주변의 사용자 활동을 검사한 다음 시스템에서 유출된 데이터를 영구적으로 제거하는 것이 중요합니다.

팁

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 평가판 허브에서 지금 시작합니다. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

데이터 유출 시나리오

Contoso의 수석 정보 보안 책임자입니다. 직원이 무의식적으로 이메일을 통해 여러 사람과 기밀 문서를 공유한 데이터 유출 상황을 알 수 있습니다. 내부 및 외부에서 이 문서를 받은 사람을 신속하게 평가하려고 합니다. 식별되면 다른 조사자와 사례 결과를 공유하여 검토한 다음 Office 365 데이터를 영구적으로 제거하려고 합니다. 조사가 완료되면 영구 제거의 증거와 함께 향후 참조할 수 있도록 케이스의 기타 세부 정보를 기록한 보고서를 작성합니다.

이 문서의 범위

이 문서에서는 Microsoft 365에서 메시지를 영구적으로 제거하여 액세스할 수 없거나 복구할 수 없도록 하는 방법에 대한 지침 목록을 제공합니다. 삭제된 항목 보존 기간이 만료될 때까지 메시지를 삭제하고 복구할 수 있도록 하려면 organization 전자 메일 메시지 검색 및 삭제를 참조하세요.

데이터 유출 인시던트 관리를 위한 워크플로

데이터 유출 인시던트 관리 방법은 다음과 같습니다.

1단계: 사례에 액세스하고 규정 준수 경계를 설정할 수 있는 사용자 관리(선택 사항)
2단계: eDiscovery 사례 만들기
3단계: 유출된 데이터 검색
4단계: 사례 결과 검토 및 유효성 검사
5단계: 메시지 추적 로그를 사용하여 유출된 데이터가 공유된 방법을 검사
6단계: 사서함 준비
7단계: 유출된 데이터 영구 삭제
8단계: 삭제 증명 확인, 제공 및 감사

시작하기 전에 알아야 할 사항

• 이 문서에 설명된 데이터 유출 워크플로는 Microsoft Teams에서 채팅 메시지를 삭제하지 않습니다. Teams 채팅 메시지를 검색하고 삭제하려면 Teams 에서 채팅 메시지 검색 및 제거를 참조하세요.
• 사서함이 보류 중이면 보존 기간이 만료되거나 보류가 해제될 때까지 삭제된 메시지가 복구 가능한 항목 폴더에 유지됩니다. 6단계 에서는 사서함에서 보류를 제거하는 방법을 설명합니다. 보류를 제거하기 전에 레코드 관리 또는 법률 부서에 문의하세요. organization 사서함이 보류 중인지 아니면 데이터 유출 인시던트가 우선하는지 여부를 정의하는 정책이 있을 수 있습니다.
• 데이터 유출 조사자가 사례에 액세스할 수 있는 사용자를 검색하고 관리할 수 있는 사용자 사서함을 제어하려면 규정 준수 경계를 설정하고 1단계에 설명된 사용자 지정 역할 그룹을 만들 수 있습니다. 이렇게 하려면 조직 관리 역할 그룹의 구성원이거나 역할 관리 역할이 할당되어야 합니다. 사용자 또는 organization 관리자가 이미 규정 준수 경계를 설정한 경우 1단계를 건너뛸 수 있습니다.
• 사례를 만들려면 eDiscovery Manager 역할 그룹의 구성원이거나 사례 관리 역할이 할당된 사용자 지정 역할 그룹의 구성원이어야 합니다. 구성원이 아닌 경우 Microsoft 365 관리자에게 eDiscovery 관리자 역할 그룹에 사용자를 추가하도록 요청합니다.
• 콘텐츠 검색을 만들고 실행하려면 eDiscovery 관리자 역할 그룹의 구성원이거나 준수 검색 관리 역할을 할당 받아야 합니다. 메시지를 삭제하려면 조직 관리 역할 그룹의 구성원이거나 검색 및 제거 관리 역할을 할당 받아야 합니다. 역할 그룹에 사용자를 추가하는 방법에 대한 자세한 내용은 eDiscovery 권한 할당을 참조하세요.
• 8단계에서 감사 로그 eDiscovery 활동을 검색하려면 organization 대해 감사를 설정해야 합니다. 지난 90일 이내에 수행된 활동을 검색할 수 있습니다. 감사를 사용하도록 설정하고 사용하는 방법에 대한 자세한 내용은 8단계 의 데이터 유출 조사 프로세스 감사 섹션을 참조하세요.

(선택 사항) 1단계: 사례에 액세스하고 규정 준수 경계를 설정할 수 있는 사용자 관리

조직 관행에 따라 데이터 유출 인시던트 조사 및 규정 준수 경계 설정에 사용되는 eDiscovery 사례에 액세스할 수 있는 사용자를 제어해야 합니다. 이 작업을 수행하는 가장 쉬운 방법은 Microsoft Purview 포털에서 기존 역할 그룹의 구성원으로 조사자를 추가한 다음, eDiscovery 사례의 구성원으로 역할 그룹을 추가하는 것입니다. 기본 제공 eDiscovery 역할 그룹에 대한 자세한 내용과 eDiscovery 케이스에 구성원을 추가하는 방법은 eDiscovery 권한 할당을 참조하세요.

조직의 요구 사항에 맞는 새 역할 그룹을 만들 수도 있습니다. 예를 들어 organization 데이터 유출 조사자 그룹이 모든 데이터 유출 사례에 액세스하고 공동 작업하도록 할 수 있습니다. "데이터 유출 조사자" 역할 그룹을 만들고, 적절한 역할(내보내기, RMS 암호 해독, 검토, 미리 보기, 규정 준수 검색 및 사례 관리)을 할당하고, 역할 그룹에 데이터 유출 조사자를 추가한 다음, 역할 그룹을 데이터 유출 eDiscovery 사례의 구성원으로 추가하여 이 작업을 수행할 수 있습니다. 이 작업을 수행하는 방법에 대한 자세한 지침은 Office 365 eDiscovery 조사에 대한 규정 준수 경계 설정을 참조하세요.

2단계: eDiscovery 사례 만들기

eDiscovery 케이스는 데이터 유출 조사를 관리하는 효과적인 방법을 제공합니다. 1단계에서 만든 역할 그룹에 멤버를 추가하고, 역할 그룹을 새 eDiscovery 사례의 멤버로 추가하고, 반복 검색을 수행하여 유출된 데이터를 찾고, 공유할 보고서를 내보내고, 사례의 상태 추적한 다음, 필요한 경우 사례의 세부 정보를 다시 참조할 수 있습니다. 데이터 유출 인시던트에 사용되는 eDiscovery 사례에 대한 명명 규칙을 설정하고, 필요한 경우 나중에 찾아서 참조할 수 있도록 사례 이름 및 설명에 가능한 한 많은 정보를 제공하는 것이 좋습니다.

새 사례를 만들려면 Microsoft Purview 포털에서 eDiscovery를 사용할 수 있습니다. eDiscovery 시작(Standard)에서 "새 사례 만들기"를 참조하세요.

3단계: 유출된 데이터 검색

이제 사례 및 관리형 액세스를 만들었으므로 사례를 사용하여 반복적으로 검색하여 유출된 데이터를 찾고 유출된 데이터가 포함된 사서함을 식별할 수 있습니다. 7단계에서 동일한 메시지를 삭제하기 위해 전자 메일 메시지를 찾는 데 사용한 것과 동일한 검색 쿼리를 사용합니다.

eDiscovery 사례와 연결된 콘텐츠 검색을 만들려면 eDiscovery(Standard) 사례에서 콘텐츠 검색을 참조하세요.

중요

검색 쿼리에 사용하는 키워드에는 현재 찾고 있는 실제로 유출된 데이터를 포함할 수 있습니다. 예를 들어 사회 보장 번호가 포함된 문서를 검색하고 검색 키워드(keyword) 사용하는 경우 추가 유출을 방지하려면 나중에 쿼리를 삭제해야 합니다. 8단계 에서 검색 쿼리 삭제를 참조하세요.

4단계: 사례 결과 검토 및 유효성 검사

콘텐츠 검색을 만든 후에는 검색 결과를 검토하고 유효성을 검사하고 삭제해야 하는 전자 메일 메시지로만 구성되는지 확인해야 합니다. 콘텐츠 검색에서 검색 결과를 내보내지 않고 1,000개 전자 메일 메시지의 무작위 샘플링을 미리 볼 수 있어 추가 데이터 유출을 방지할 수 있습니다.

검토할 사서함이 1,000개 이상 또는 사서함당 100개 이상의 전자 메일 메시지가 있는 경우 날짜 범위 또는 보낸 사람/받는 사람과 같은 추가 키워드 또는 조건을 사용하여 초기 검색을 여러 검색으로 나누고 각 검색 결과를 개별적으로 검토할 수 있습니다. 7단계에서 메시지를 삭제할 때 사용할 모든 검색 쿼리를 적어 두세요.

유출된 데이터가 포함된 전자 메일 메시지를 찾으면 메시지를 받은 사람들을 확인하여 외부에서 공유되었는지 확인합니다. 메시지를 추가로 추적하려면 메시지 추적 로그를 사용할 수 있도록 보낸 사람 정보 및 날짜 범위를 수집할 수 있습니다. 이 프로세스는 5단계에서 설명합니다.

검색 결과를 확인한 후에는 다른 사용자와 공유하여 이차 검토를 수행할 수 있습니다. 1단계에서 케이스에 할당된 사람은 eDiscovery 및 Microsoft Purview eDiscovery(프리미엄) 둘 다에서 케이스 콘텐츠를 검토하고 케이스 결과를 승인할 수 있습니다. 실제 콘텐츠를 내보내지 않고도 보고서를 생성할 수 있습니다. 8단계에서 설명하는 삭제 증명과 동일한 보고서를 사용할 수도 있습니다.

통계 보고서를 생성하려면 다음을 수행합니다.

1. eDiscovery 사례의 검색 페이지로 이동하여 보고서를 생성할 검색을 선택합니다.

2. 플라이아웃 페이지에서 추가 > 내보내기 보고서를 선택합니다.

   보고서 내보내기 페이지가 표시됩니다.

   

3. 인식할 수 없는 형식의 항목을 포함하여 모든 항목이 암호화되거나 다른 이유로 인덱싱되지 않은 항목을 선택한 다음 보고서 생성을 선택합니다.

4. eDiscovery의 경우 내보내기를 선택하여 내보내 기 작업 목록을 표시합니다. 새로 고침을 선택하여 만든 내보내기 작업을 표시하도록 목록을 업데이트해야 할 수 있습니다.

5. 내보내기 작업을 선택한 다음 플라이아웃 페이지에서 보고서 다운로드 를 선택합니다.

   

요약 내보내기 보고서에는 결과와 함께 찾은 위치 수와 검색 결과의 크기가 포함됩니다. 이를 사용하여 삭제 후 생성된 보고서와 비교하고 삭제 증명으로 제공할 수 있습니다. 결과 보고서에는 각 메시지의 전자 메일을 읽은 경우 제목, 보낸 사람, 받는 사람을 포함하여 검색 결과에 대한 보다 자세한 요약이 포함되어 있습니다. 이 보고서의 세부 정보에 실제 유출된 데이터가 포함된 경우 조사가 완료되면 Results.csv 파일을 영구적으로 삭제해야 합니다.

5단계: 메시지 추적 로그를 사용하여 유출된 데이터가 공유된 방법을 검사

유출된 데이터가 있는 전자 메일이 공유되었는지 자세히 조사하려면 필요에 따라 보낸 사람 정보 및 4단계에서 수집한 날짜 범위 정보를 사용하여 메시지 추적 로그를 쿼리할 수 있습니다. 메시지 추적을 위한 보존 기간은 실시간 데이터는 30일, 기록 데이터는 90일입니다.

Microsoft Purview 포털에서 메시지 추적을 사용하거나 Exchange Online PowerShell에서 해당 cmdlet을 사용할 수 있습니다. 메시지 추적은 반환되는 데이터의 완전성을 완벽하게 보장하지 않는다는 점에 유의해야 합니다. 메시지 추적 사용에 대한 자세한 내용은 다음을 참조하세요.

• 보안 및 준수 센터의 메시지 추적
• 보안 & 규정 준수 센터의 새 메시지 추적

6단계: 사서함 준비

검색 결과에 삭제해야 하는 메시지만 포함되어 있는지 검토하고 유효성을 검사한 후에는 유출된 데이터를 삭제할 때 7단계에서 사용할 영향을 받은 사서함의 전자 메일 주소 목록을 수집해야 합니다. 유출된 데이터가 포함된 사서함에서 단일 항목 복구를 사용할 수 있는지 또는 해당 사서함이 보류 중인지에 따라 전자 메일 메시지를 영구적으로 삭제하려면 사서함을 준비해야 할 수도 있습니다.

유출된 데이터가 있는 사서함 주소 목록 가져오기

참고

제한된 시간 동안 클래식 eDiscovery 환경은 새 Microsoft Purview 포털에서 사용할 수 있습니다. eDiscovery 환경 설정에서 Purview 포털 클래식 eDiscovery 환경을 사용하도록 설정하여 새 Microsoft Purview 포털에서 클래식 환경을 표시합니다.

유출된 데이터가 있는 사서함의 이메일 주소 목록을 수집하는 방법에는 두 가지가 있습니다.

옵션 1: 유출된 데이터가 있는 사서함 주소 목록 가져오기

1. eDiscovery 사례를 열고 검색 페이지로 이동하여 적절한 콘텐츠 검색을 선택합니다.

2. 플라이아웃 페이지에서 결과 보기를 선택합니다.

3. 개별 결과 드롭다운 목록에서 통계 검색을 선택합니다.

4. 유형 드롭다운 목록에서 상위 위치를 선택합니다.

   

   검색 결과가 포함된 사서함 목록이 표시됩니다. 검색 쿼리와 일치하는 각 사서함의 항목 수도 표시됩니다.

5. 목록에서 정보를 복사하여 파일에 저장하거나 다운로드 를 선택하여 CSV 파일에 정보를 다운로드합니다.

옵션 2: 내보내기 보고서에서 사서함 위치 가져오기

4단계에서 다운로드한 요약 내보내기 보고서를 엽니다. 보고서의 첫 번째 열에서 각 사서함의 전자 메일 주소가 위치 아래에 나열됩니다.

유출된 데이터를 삭제할 수 있도록 사서함 준비

단일 항목 복구를 사용하도록 설정하거나 사서함이 보류된 경우 영구적으로 삭제(제거됨) 메시지가 복구 가능한 항목 폴더에 유지됩니다. 따라서 유출된 데이터를 제거하려면 기존 사서함 구성을 검사 단일 항목 복구를 사용하지 않도록 설정하고 보류 또는 보존 정책을 제거해야 합니다. 한 번에 하나의 사서함을 준비한 다음 다른 사서함에서 동일한 명령을 실행하거나 PowerShell 스크립트를 만들어 여러 사서함을 동시에 준비할 수 있습니다.

• 단일 항목 복구를 사용하는 경우 또는 사서함이 보류 중이거나 보존 정책에 할당된 경우 검사 방법에 대한 지침은 보류 중인 클라우드 기반 사서함의 복구 가능한 항목 폴더에 있는 항목 삭제의 "1단계: 사서함에 대한 정보 수집"을 참조하세요.
• 단일 항목 복구를 사용하지 않도록 설정하는 방법에 대한 지침은 보류 중인 클라우드 기반 사서함의 복구 가능한 항목 폴더에 있는 항목 삭제의 "2단계: 사서함 준비"를 참조하세요.
• 사서함에서 보존 또는 보존 정책을 제거하는 방법에 대한 지침은 보류 중인 클라우드 기반 사서함의 복구 가능한 항목 폴더에 있는 항목 삭제의 "3단계: 사서함에서 모든 보류 제거"를 참조하세요.
• 보류 중인 클라우드 기반 사서함의 복구 가능한 항목 폴더에 있는 항목 삭제의 "4단계: 사서함에서 지연 보존 제거"를 참조하세요. 보류 유형이 제거된 후 사서함에 배치되는 지연 보존을 제거하는 방법에 대한 지침은 다음을 참조하세요.

중요

보류 또는 보존 정책을 제거하기 전에 레코드 관리 또는 법률 부서에 문의하세요. organization 사서함이 보류 중인지 아니면 데이터 유출 인시던트가 우선하는지 여부를 정의하는 정책이 있을 수 있습니다.

유출된 데이터가 영구적으로 삭제되었는지 확인한 후 사서함을 이전 구성으로 되돌리기 합니다. 7단계의 세부 정보를 참조하세요.

7단계: 유출된 데이터 영구 삭제

6단계에서 수집하고 준비한 사서함 위치와 3단계에서 만들고 구체화한 검색 쿼리를 사용하여 유출된 데이터가 포함된 전자 메일 메시지를 찾으면 이제 유출된 데이터를 영구적으로 삭제할 수 있습니다. 앞에서 설명한 대로 메시지를 삭제하려면 조직 관리 역할 그룹의 구성원이거나 검색 및 제거 관리 역할이 할당되어야 합니다. 역할 그룹에 사용자를 추가하는 방법에 대한 자세한 내용은 eDiscovery 권한 할당을 참조하세요.

유출된 메시지를 삭제하려면 전자 메일 메시지 검색 및 삭제를 참조하세요.

유출된 데이터를 삭제할 때 다음 제한을 염두에 두세요.

• 검색 및 제거 작업을 수행하여 항목을 삭제하는 데 사용할 수 있는 검색의 최대 사서함 수는 50,000개입니다. 3단계에서 만든 검색이 50,000개 이상의 사서함을 검색하는 경우 제거 작업이 실패합니다. 일반적으로 단일 검색에서 50,000개 이상의 편지함을 검색하는 작업은 조직의 모든 편지함을 포함하도록 검색을 구성할 때 발생할 수 있습니다. 이 제한은 50,000개 미만의 사서함에 검색 쿼리와 일치하는 항목이 포함된 경우에도 적용됩니다.

• 사서함마다 한 번에 최대 10개의 항목을 제거할 수 있습니다. 메시지를 검색하고 제거하는 기능은 인시던트 응답 도구로 고안되었으므로 이러한 제한은 사서함에서 메시지가 빠르게 제거되도록 합니다. 이 기능은 사용자 사서함을 정리하기 위한 것이 아닙니다.

중요

eDiscovery(프리미엄) 사례의 검토 집합에 있는 전자 메일 항목은 이 문서의 절차를 사용하여 삭제할 수 없습니다. 검토 집합의 항목은 Azure Storage 위치에 복사 및 저장되는 라이브 서비스의 항목 복사본이기 때문입니다. 즉, 3단계에서 만든 콘텐츠 검색에서 반환되지 않습니다. 검토 집합에서 항목을 삭제하려면 검토 집합이 포함된 eDiscovery(프리미엄) 사례를 삭제해야 합니다. 자세한 내용은 eDiscovery(프리미엄) 사례 닫기 또는 삭제하기를 참조하세요.

8단계: 삭제 증명 확인, 제공 및 감사

데이터 유출 인시던트 관리 워크플로의 마지막 단계는 eDiscovery 사례로 이동하고 해당 데이터를 삭제하는 데 사용된 것과 동일한 검색 쿼리를 다시 실행하여 결과가 반환되지 않는지 확인하여 유출된 데이터가 사서함에서 영구적으로 제거되었는지 확인하는 것입니다. 유출된 데이터가 영구적으로 제거된 것을 확인한 후에는 보고서를 내보낼 수 있고, 이것을 원본 보고서와 함께 삭제 증명으로 포함할 수 있습니다. 그런 다음 나중에 참조해야 하는 경우 다시 열 수 있는 사례를 닫 을 수 있습니다. 또한 사서함을 이전 상태로 되돌리기, 유출된 데이터를 찾는 데 사용되는 검색 쿼리를 삭제하고, 데이터 유출 인시던트 관리 시 수행되는 작업의 감사 레코드를 검색할 수도 있습니다.

사서함을 이전 상태로 되돌리기

유출된 데이터가 삭제되기 전에 사서함을 준비하도록 6단계에서 사서함 구성을 변경한 경우 이전 상태로 되돌리기 합니다. 보류 중인 클라우드 기반 사서함의 복구 가능한 항목 폴더에서 항목 삭제에서 "6단계: 사서함을 이전 상태로 되돌리기"를 참조하세요.

검색 쿼리 삭제

3단계에서 만들고 사용한 검색 쿼리의 키워드에 실제 유출된 모든 데이터가 포함된 경우 추가 데이터 유출을 방지하기 위해 검색 쿼리를 삭제해야 합니다.

참고

제한된 시간 동안 클래식 eDiscovery 환경은 새 Microsoft Purview 포털에서 사용할 수 있습니다. eDiscovery 환경 설정에서 Purview 포털 클래식 eDiscovery 환경을 사용하도록 설정하여 새 Microsoft Purview 포털에서 클래식 환경을 표시합니다.

1. Microsoft Purview 포털에서 eDiscovery 사례를 열고 검색 페이지로 이동하여 적절한 콘텐츠 검색을 선택합니다.

2. 플라이아웃 페이지에서 삭제를 선택합니다.

   

데이터 유출 조사 프로세스 감사

조사 중에 수행된 eDiscovery 활동에 대한 감사 로그를 검색할 수 있습니다. 감사 로그를 검색하여 7단계에서 실행한 New-ComplianceSearchAction -Purge 명령에 대한 감사 레코드를 반환하여 유출된 데이터를 삭제할 수도 있습니다. 자세한 내용은 다음 항목을 참조하세요.

• 감사 로그 검색
• 감사 로그에서 eDiscovery 활동 검색