Offcanvas

보안 / 애플리케이션 / 클라우드

아웃룩 보안 허점 '이메일 자동 포워딩' 차단법

2018.12.13 Susan Bradley  |  CSO
지난 수년간 많은 전문가가 이메일은 죽어가고 있고, 더는 기업이 사용하지 않게 되리라 전망했다. 그러나 이메일은 아직도 중요한 기업용 툴이다. 해커가 시스템과 계정 정보를 탈취하는 주요 경로이기도 하다. 실제로 피싱 문제는 지금도 심각하며, 개선되지 않고 있다.

이런 가운데 마이크로소프트 오피스 365 관리자가 이메일 공격을 막을 수 있는 유용한 방법이 있다. 이런 공격은 주로 아웃룩에 이메일을 포워드하는 숨겨진 룰을 만드는 식인데 이것을 막는 것이다. 이런 숨겨진 룰은 종종 해커가 탈취한 계정 정보로 은행 계좌에서 돈을 옮길 때 사용하기도 한다. 일반적으로 은행에서 보내는 인증 이메일을 해커에게 자동으로 전송하도록 아웃룩 룰을 설정하는 것이다. 물론 해커에게 전송한 후 메일은 삭제된다. 그러면 사용자는 전혀 모르는 상태에서 계좌의 돈을 빼앗기게 된다.

해커는 악성 애플리케이션을 시스템에 설치하는 데도 아웃룩 룰을 사용한다. 마이크로소프트의 보안 오피스 365(Securing Office 365) 블로그를 보면, 해커가 포워딩 룰을 악용할 수 있는(실제로는 하는) 다양한 방법에 대한 정보가 올라와 있다.

숨겨진 아웃룩 포워딩 룰을 찾아 없애기
그렇다면 이런 공격에 어떻게 대응해야 할까? 첫 단계는 사용자도 모르는 사이에 설치된 의심스러운 포워딩 룰이 있는지 확인하는 것이다. 관리자 포탈이나 파워셸 스크립트로 오피스 365의 전달 룰을 확인해 어떤 룰이 설정돼 있는지 볼 수 있다. 깃허브에서 룰을 쉽게 확인할 수 있는 오피스 365 스크립트도 찾을 수 있다. 이렇게 확인한 결과 기업과 팀에 어떤 영향을 주는 정확히 알 수 없는 룰이 포함돼 있다면 이미 데이터 유출이 발생했을 가능성이 있다.

오피스 365의 시큐어 스코어따라서 필자는 이 포워딩 룰 기능을 사용하지 않는 것을 권한다. 그러면 해커가 사용자 몰래 메일을 포워딩하는 룰을 추가할 수도 없다. 동시에 정보가 이메일을 통해 유출되거나 민감한 정보가 이메일을 통해 기업 밖으로 자동 전송되는 것도 확실히 막을 수 있다. 

이메일 포워딩 룰 기능을 끄려면 파워셸을 이용하면 된다. 혹은 오피스 365 시큐어 스코어 웹사이트에서 오피스 365의 보안 관련해 더 상세하게 설정할 수 있다. 이메일 보안을 강화하기 위해 어떤 보안 설정을 할 수 있는지 확인하려면 관리자 계정으로 로그인해야 한다. 예를 들어 필자의 경우 오피스 365 구독에서 아무런 초기 조치를 하지 않았는데도 74점을 받았다. 매우 낮은 것으로 매우 보안이 강력하다는 것을 의미한다. 필자가 가장 먼저 한 것이 이메일 포워딩 룰 기능을 비활성화하는 것이었다.

오피스 시큐어 스코어 웹사이트에 로그인 한 후 스크롤을 내리면 해야 할 여러 조치를 확인할 수 있다. 그 첫번째에서 필자는 '클라이언트 포워딩 룰 제한(Block Client Forwarding Rules)'을 선택했다.

클라이언트 포워딩 룰 기능을 비활성화하는 섹션

서 설명한 것처럼 이 기능은 민감한 정보를 외부로 빼내는 데도 악용될 수 있다. 예를 들어 해커는 은행의 이체 확인 메일을 사용자가 확인하는 것을 원치 않는다. 은행 계좌 정보를 탈취해 돈을 옮겼다는 사실을 최대한 숨기고 싶어하는 것이다. 이런 것을 막기 위해서는 더 알아보기(Learn more)를 선택한 후 적용(Apply)을 클릭하면 된다.

룰을 적용하기 위해 '설정'을 클릭한다.

일단 설정을 하면 '더(more)'를 선택해 어떤 작업이 진행되는지 볼 수 있다. 결과 룰에는 시큐어 스코어 모듈에 의해 설정된 이름이 붙게 되며, 사용자는 어떤 작업이 룰을 활성화했는지, 이 룰이 언제 활성화됐는지를 추적할 수 있다. 이메일이 거부되면 알림이 메일 발신자에 보내진다. 따라서 그들은 메일 시스템에 의해 이런 작업이 이뤄졌다는 것을 알 수 있다.

결과 룰

이런 방법을 통해 데이터 유출을 막고 정보와 민감한 데이터가 해커 손에 넘어가 악용되지 않도록 할 수 있다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.