피싱 방지 (Anti-phishing Protection) 정책 설정

강의 대본

피싱 방지부터 살펴보도록 하겠습니다. 검색 알고리즘과 머신러닝 기능을 이용해서 사용자 및 도메인 위조 공격을 감지하게 되는데요. 사서함 인텔리전스 기능이 각 조직원들의 자주 연락하는 연락처 목록을 확인해서 맞춤으로 피싱 방지 서비스를 제공하게 됩니다. 이제 우리 피싱 방지 정책을 진행할 건데요. 제가 실제 화면을 하나씩 캡처해서 여러분들께 보여드리도록 하겠습니다. 피싱은 IP, MAC, ARP, DNS 주소를 속여서 공격자의 주소로 통신하도록 하는 공격 또는 회사의 임원, 거래처 사람을 가장해서 공격하는 방식이라고 아까 배워봤죠. 다른 공격 방식에 비해서 피싱은 대부분의 사용자가 쉽게 알아채지 못하는 특징이 있습니다. 그래서 반드시 이 정책부터 설정을 하도록 합니다. 관리자로 로그인을 하셔야겠죠. 피싱 방지 정책은 보안 및 준수에서 위협 관리로 이동을 하시고 정책으로 이동을 하시면 ATP를 설정을 하실 수 있는 화면이 보여지는데요. 그 중에 ATP 피싱 방지 정책으로 가셔야겠죠. 이 설정은 전역 관리자 또는 보안 관리자가 설정할 수 있습니다. 피싱 방지를 클릭을 하게 되면 화면이 보여지죠. 이 부분은 저희 회사 것이기 때문에 여러분들은 없으실 거예요. 만약에 미리 만들어 놓은 정책이 있다면 저희와 같이 보여 주실 거예요. 최초 기본 정책이 없으니까 만들기 누릅니다. 이 화면 보이시죠? 강의는 가능하면 그냥 쭉 듣고 흘리시지 마시고 창을 하나 같이 띄워 놓고 여러분의 정책을 같이 화면을 보면서 설정하는 것으로 진행하는 것이 효율적입니다. 제일 앞에는 정책 이름을 지정을 하는 겁니다. 그냥 기본적으로 영업팀 피싱 방지 정책이라고 했는데 여러분은 여러분 회사 또는 여러분 팀에 맞는 이름을 넣으시면 됩니다. 설명은 넣으셔도 되고 넣지 않으셔도 돼요. 다음 누릅니다. 그러면 적용 대상이라고 보여지게 되죠. 피싱 방지를 적용할 대상을 설정하는 화면입니다. 대상은 특정 사람 또는 메일 그룹 그리고 Office 365에 등록된 도메인을 선택을 하실 수가 있는데요. 메일 그룹은 화면에 보이시는 것처럼 Office 365 그룹이 아닙니다. 메일 그룹이셔야 해요. 받는 사람에다가 제가 박영규 그리고 박영구 이렇게 넣었구요. 일반적으로는 이렇게 그냥 사람만 넣어도 되지만 받는 사람의 도메인을 선택을 해서 라이선스를 가진 사용자 모두 우리 회사 전체가 되는 게 맞죠. 조건 추가를 통해서 제외 대상도 설정이 가능합니다. 다 적용을 할 건데 이 사람은 예외로 다 받겠다 하시면 되겠죠. 물론 위험한 방법입니다. 설정 다 하시면 다음 누릅니다. 그러면 설정을 검토할 수 있게 됩니다. 보시면 정책 이름은 영업팀 피싱 방지 정책이고요. 설명 간단하게 들어가 있고 적용 대상은 이 사람과 이 사람 두 명한테 이 피싱 방지 정책을 설정을 하는 겁니다. 하고 이 정책 만들기 누릅니다. 정책이 보여지게 되죠. 우선순위는 1이고 수정한 날짜는 언제고 정책 설정. 그래서 위쪽에는 정책의 우선순위와 설정일 그리고 정책에 대한 기본 설정, 그리고 이제 세 가지가 보여집니다. 가장, 스푸핑, 고급 설정 고급 설정은 피싱에 대한 임계값을 설정하게 되는데요. 우리 이제 정책을 이름과 누가 적용을 받을지만 있잖아요. 편집 눌러서 수정도 하실 수 있고요. 가장, 스푸핑, 고급 설정에 대한 편집을 해서 정책 설정을 하도록 할게요. 먼저 가장에 대한 내용을 편집을 해 볼게요. 기본 모양은 이렇게 생겼습니다. 편집 눌러서 들어갑니다. 그러면 가장 정책을 편집을 하게 되는데요. 가장에 사용될 것 같은 내부 또는 외부 사용자를 추가를 하는 거예요. 이거는 정책 만들 때 설정한 대상과는 다른 항목입니다. 예를 들어서 대표 또는 회계팀, 고객사 이런 사람들을 가장을 해서 공격하는 걸 방어하기 위해서 이렇게 기업 내에서 가장해서 공격을 할 때 큰 피해를 주는 사람들을 등록을 하는 거죠. 예를 들면 대표님을 가장해서 누군가가 피싱을 해버리면 다 속겠죠. 그래서 이렇게 가장해서 공격할 때 피해가 큰 사람들을 넣는 거예요. 여기에는 최대 60명까지 등록이 가능하고요. 여기에 등록된 사람을 보호하는 게 아니에요. 여기에 등록한 사람으로 가장하지 못하도록 주요 인물로 등록하는 것뿐입니다. 내부 직원뿐만 아니라 외부의 파트너사 또는 고객사, 특히나 회계사무소 이런 사람들로 등록이 가능합니다. 내용을 넣고요. 저장 누릅니다. 그러면 보호할 도메인 추가 메뉴로 이동을 하게 되는데요. Office 365에 등록된 도메인 전체 또는 내가 소유한 도메인 보기를 통해서 그 특정 도메인을 선택을 할 수도 있습니다. 사용자 지정 도메인은 Office 365에 등록된 도메인 외에 내가 소유하고 있는 별도 도메인 또는 파트너사나 고객사의 도메인도 추가가 가능합니다. 마찬가지로 가장에 사용될 것 같은 도메인을 추가하는 거예요. 그리고 저장 누릅니다. 그럼 이제 작업이 보여지는데요. 작업은 공격이 의심되는 즉 가장된 메일이 발견되었을 때 어떻게 처리할지를 선택할 수 있는 옵션입니다. 사람을 가장했을 때와 도메인을 가장했을 때 각각 설정할 수 있어요. 우리 위에서 가장 사용자, 가장 도메인 다 추가했죠. 그래서 각각 설정을 하게 되는데요. 다른 전자메일 주소로 메시지를 리디렉션, 공격으로 의심되는 메일 발견이 되면 받는 사람에게는 보내지 않고 지정한 메일 주소로 전달을 하는 거고요. 메시지를 받는 사람의 정크메일 폴더로 이동하는 거는 말 그대로 그냥 정크메일 폴더로 이동을 하는 거고요. 메시지 격리는 격리함으로 보내고 관리자가 확인을 하고 받는 사람한테 보내줄지 아니면 그대로 삭제할지를 결정하는 겁니다. 메시지를 배달하고 숨은 참조줄에 다른 주소를 추가하는 것은 받는 사람에게 정상적으로 배달을 하지만 숨은 참조에 지정된 메일 주소로 똑같이 전달을 하는 거죠. 배달되기 전 메시지 삭제, 작업 적용 안 함은 말 그대로 배달되기 전에 메시지를 삭제하거나 작업을 아예 적용을 안 하는 거죠. 그래서 우리는 메시지 격리를 통해서 메시지를 격리함으로 보내고 관리자가 확인하고 받는 사람에게 보낼지 삭제할지 결정하는 거였죠. 그래서 권장 설정은 메시지 격리가 되겠습니다. 그리고 아래쪽 가장 보안 팁 켜기를 클릭을 하시게 되면 세 가지 경우가 발견되었을 때 사용자에게 참고로 알려줄 수 있도록 모두 다 설정을 합니다. 되셨죠. 그래서 권장은 메시지 격리하고 가장 보안 팁 켜기를 통해 설정, 설정, 설정입니다. 저장 누릅니다. 사서함 인텔리전스 메뉴로 넘어가게 되는데요. 사서함 인텔리전스는 사서함 자동 분석 사용 여부입니다. 즉 자주 대화하는 상대랑 사용자 전자메일 패턴을 인공지능이 관리하도록 사용하거나 또는 사용하지 않도록 설정하는 겁니다. 이 설정을 사용하게 되면 해당 연락처가 정상적인 전자메일인지 아니면 가장된 메일인지를 구별을 할 수가 있는 거죠. 사서함 인텔리전스를 사용하시겠습니까? 예, 켜세요. 사서함 인텔리전스 기반 가장 보호를 사용하시겠습니까? 예, 켜세요. 가장한 사용자가 전자메일을 보낸 경우에 메시지 격리 선택합니다. 그리고 저장 누르겠습니다. 다음 메뉴죠. 신뢰할 수 있는 보낸 사람 및 도메인 추가는 정상적인 메일을 ATP가 오탐하는 경우가 있어요 그러면 안전하다 라고 생각하는 사람이나 도메인을 별도로 편집을 할 수 있습니다 보낸 사람과 이 도메인은 무조건 신뢰하겠다 라고 하는 거죠 자 하고 저장 누릅니다 그러면 이와 같이 가장 정책이 쭉 내가 원하는 대로 설정된 걸 볼 수 있고요 검토를 통해서 뭐 잘못한 거 있다라고 하면은 화면 보시면서 편집을 하면 되겠죠 끝났으면 다음 정책으로 넘어갈게요 가장 아래에 있었던 스푸핑 입니다 스푸핑 가셔서 편집 누릅니다 스푸핑은 간단히 말하면 도메인을 위장하는 경우죠 스푸핑 방지 보호 사용을 권장합니다. 저장 누르시고요. 인증되지 않은 보낸 사람 기능 사용 역시 설정으로 진행을 합니다. 내부 도메인 스푸핑에 대해서 문제가 없는 거는 타사 보낸 사람 도메인을 사용을 해서 회사 설문을 위해 우리 회사 직원에게 대량 메일을 보내는 경우 그다음에 외부 회사에서 사용자를 대신해서 광고 또는 제품 업데이트를 보낸 경우 또는 정기적으로 조직 내의 다른 사용자에게 전자메일을 보내는 경우 그리고 내부 응용 프로그램이 알림을 보낸 경우 이거 합법적인 거죠 문제 없는 거예요 스푸핑으로 그 다음에 외부 도메인인 경우에는 보낸 사람이 메일링 리스트라고 하는 메일 그룹에 있고 또 이 메일링 리스트에서 원본 보낸 사람으로부터 메일 그룹의 모든 참가자에게 전자메일이 전달된 경우 있을 수 있죠 외부 회사는 다른 회사를 대신해서 전자메일을 전송한 경우 자동화된 보고서 리포트 이런 거 있죠 그런 것들은 스푸핑에 해당이 되지 않습니다 그리고 이제 작업으로 넘어갑니다 작업은 스푸핑이 발견되었을 때 어떻게 처리할지를 결정을 하는데요 이와 같이 메시지를 받는 사람의 정크메일 폴더로 이동을 할 건지 아니면 메시지를 격리를 하실 건지 선택을 하시면 되겠습니다 자, 설정 검토 살펴보도록 하겠습니다. 마지막 스푸핑 설정이 어떻게 됐는지 보는 건데요. 스푸핑 방지 보호 사용을 설정을 켰고요. 네, 인증되지 않은 사람에게 스푸핑 방지를 쓸 건지 설정을 해주시고요. 작업은 메시지를 받는 사람의 정크메일 폴더로 이동을 했습니다. 여러분은 격리를 하셔도 돼요. 이렇게 스푸핑 설정 완료가 됐고요 다음은 고급 설정입니다 마찬가지로 편집 누릅니다 편집 누르면 1. 표준부터 4. 매우 적극적이 있는데요 피싱 메시지를 처리하기 위해서 표준 수준을 설정하는 부분입니다 표준에 두시면 피싱으로 의심되는 전자 메일을 표준 방식으로 처리하는 거예요 적극적에는 높은 또는 매우 높은 확신을 가진 피싱으로 의심되는 전자메일을 처리하는 거고요 더 적극적인은 보통 또는 높음 매우 높은 신뢰도로 피싱되는 전자메일 최대 적극적인은 낮은, 중간, 높은, 매우 높음까지도 다 처리를 하는 거죠 여러분들이 어떻게 처리하실지를 설정을 해 주시면 되겠습니다 여기 고급 설정까지 마치게 되면은요 피싱 방지 정책 설정이 가장부터 스푸핑 고급 설정까지 모두가 완료된 것으로 보시면 되겠습니다 언제든지 편집을 통해서 여러분들이 정책을 수정하실 수 있습니다