O365 Outlook 해킹 발생시 조치 방법

O365 Outlook 해킹 발생시 조치 방법이다.

어느날 갑자기 

수천건의 리텐 메일이 메일이 와 있다.

수신처가 다 다르고 메일 제목을 보면 스팸 메일로 보내진것 같다.

맞다 메일이 해킹되어 이런 일이 발생 된것이다.

우선 관리자 계정으로  M365 관리 센터로 들어가서 해킹 당한 계정으로 간다.

해당 계정에 대해 로그인을 차단을 하자 안그러면 더 큰 문제가 발생 할 수 있다.

다음은

https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM/UsersManagementMenuBlade/SignIns

Azure Active Directory admin center

Azure AD 관리자 센터로 들어가서 

필터 추가 하여 해킹 당한 계정으로 검색 해보자.

몇십초 단위로 여러나라에서 접속한 기록을 확인 할 수 있다.

여기서 특이점은 보안 강화로 다단계 인증으로 걸어놨는데 단일 단계 인증으로 접속이 된것이다.

이를 방지 하기 위해서는

위 방법으로 설정을 해줘야 한다. 

위 방법으로 할 경우 많은 부분이 변경 됨으로 

https://docs.microsoft.com/ko-kr/azure/active-directory/fundamentals/concept-fundamentals-security-defaults

Azure Active Directory 보안 기본값 - Microsoft Entra

위 내용을 자세히 읽어보고 진행 하기 바란다.

 

DKIM 설정

2차 인증이 아닌 단일 단계 인증으로만 해도 위조 메일을 보낼 수 있다.

이번에 해킹 당한게 2차 인증까지 털린게 아닌 1차 패스워드가 노출 되어서 위조 메일로 보내진것으로 보인다.

https://security.microsoft.com/dkimv2

DKIM 설을 하기위해서는 해당 도메인 CNAME 을 등록후 사용이 가능하다.

 

조건부엑세스

https://aad.portal.azure.com/

Azure Active Directory > 보안 -> 명명된 위치 -> 위치추가

차단이 필요한 IP 추가

그리고 조건부 액세스 정책을 추가 하면 된다.

하지만 이 서비스를 실행 하기위해서는 E3 이상의 서비스를 받고 있어야 한다.

 

E3 이상으로 서비스를 받고 있다면 조건부 액세스를 설정하고 사용을 하면 되고

그 이하 서비스를 받고 있다면 2차 인증과 주기적인 암호 변경 그리고 DKIM 을 실행 시키자.