Microsoft 365 네이티브 보안의 장단점
기업에서 가장 넓은 공격 표면 보안
우리가 조직 내에서 효율을 높이기 위해 채택한 기술이 액세스 권한을 얻으려는 악의적 행위자에게도 의도치 않게 동일한 효과를 내는 경우가 많을 수 있습니다.
Microsoft 365 및 Google Workspace와 같은 비즈니스 생산성 및 협업 제품군은 이런 상충 관계를 나타내는 좋은 사례입니다. 이러한 제품군에는 손쉽게 액세스하도록 설계된 매우 다양한 애플리케이션이 포함되며, 이들 앱 사이에서 데이터가 이동하면서 결과적으로 넓은 공격면이 형성되고, 내부망 이동이 ��쉬워지며, 침입할 길을 찾은 공격자에게 부적절한 액세스 권한이 제공됩니다.
이런 애플리케이션 제품군 도입이 늘어날수록 공격자가 그 안에서 취약성을 찾으려고 하는 동기가 강해집니다. 최근 Okta 설문조사에 따르면, Microsoft 365는 경쟁사 서비스에 비해 고객 수가 두 배 가까이 많으므로 특히 가치가 큰 표적입니다.
그렇다고 해서 Microsoft 365를 사용하지 않을 필요는 없습니다. Microsoft는 보안에 막대한 투자를 하고 365 제품군에서 네이티브 보안을 제공합니다. 공유 책임 모델에서 제안하듯이, 오히려 Microsoft의 인기와 그에 수반되는 위험 때문에 추가적 보안 서비스로 제품군을 보완해야 합니다. 이렇게 하면 독립적인 Microsoft 취약점과 시스템과 더욱 관련이 깊은 약점 모두에 대해 조직의 보안 상태가 강화됩니다.
가장 중요한 첫 단계는 무엇일까요? 조직에서 Microsoft 365가 처음에 제공했던 효율을 저하하지 않는 채로 이러한 조치를 취하려면 어떻게 해야 할까요?
1단계: 피싱 보호 강화
최근 조사에 따르면, 사이버 공격의 대부분, 즉 90% 이상이 피싱으로 시작됩니다.
Microsoft 365에서는 피싱을 예방하기 위해 네이티브 이메일 스캔을 사용하여 악의적 메시지를 필터링합니다. 데이터에 따르면 이 서비스로 모든 공격을 차단하지는 못하는 것으로 나옵니다. Cloudflare에서는 2020년에 Microsoft 365 이메일 사용자가 네이티브 보안을 뚫고 도달한 90만 개가 넘는 피싱 이메일을 받은 것을 확인했습니다. 이렇게 통과한 이메일 중 약 50%가 최근에 생성된 도메인과 관련이 있었고 나머지 중 15%에는 악의적 URL이 포함되어 있었습니다.
또한, Microsoft 이메일은 대부분의 다른 클라우드 이메일 공급자와 마찬가지로 다음과 같은 다른 종류의 공격에는 취약합니다.
시간차 피싱: 공격자가 애초에 정상적인 사이트로 연결되는 링크가 포함된 이메일을 보냅니다. 이메일이 표적으로 삼은 편지함에 도착하면 공격자가 이 URL이 악의적 사이트로 리디렉션되도록 설정합니다.
Microsoft 인프라의 악의적 사용: 공격자가 Microsoft의 클라우드 서비스를 사용하여 악성 페이지를 호스팅합니다. 이 전술은 가끔 Microsoft의 이메일 스캔 기능을 통과하는 데 성공하기도 합니다.
Microsoft의 '공유 책임' 원칙에 따라, 공격을 예방하기 위해 추가적인 보호 계층이 필요할 수도 있습니다. 중요한 시작 지점은 다음과 같습니다.
이메일 링크 격리: 틈새를 파고들거나 나중에 정상적인 사이트의 연결을 교체하는 악의적 링크로부터 사용자를 보호합니다. Microsoft에서는 일반적인 브라우저 격리를 플러그인으로 제공하지만, 로컬에서 격리를 실행하면 메모리 사용량이 많고 사용자 경험이 느려질 수 있습니다. 대신, 더욱 안정적인 서비스를 고려해 보세요. 이 서비스는 클라우드에서 실행되고, 트래픽이 심한 스크린-스트리밍을 사용하지 않으며, 사용자가 승인되지 않은 사이트에 로그인 정보를 입력하는 등의 위험할 만한 행동을 하지 못하게 예방합니다.
최신 클라우드 이메일 보안: 심리 분석, 발신자 신뢰 그래프, 자동 차단 및 Microsoft 365에서 탐지하지 못하는 것으로 알려진 악의적 이메일을 탐지하도록 조정된 다른 도구가 내장되어 있습니다.
2단계: 맬웨어 스캔 개선
피싱을 예방하는 것은 중요한 보안 단계이지만, 유일한 단계는 전혀 아닙니다. 엔드포인트 기기와 필수적인 네트워크 인프라에 맬웨어를 설치하는 데 다른 공격 유형이 사용되기도 합니다. 이는 이메일, 다운로드를 자동으로 트리거하는 악의적 웹 사이트 등의 수단을 통해서 발생할 수 있습니다.
Microsoft 365의 주요 안티맬웨어 서비스는 Defender라고 하며, 엔드포인트 기기에 설치됩니다. 브라우저 플러그인인 Application Guard도 악의적 웹 사이트와 맬웨어를 안전하게 샌드박스에 가두므로 도움이 될 수 있습니다.
Microsoft가 보안에 대해 더욱 광범위하게 투자하고 있기 때문에 Defender도 맬웨어 감지 기능이 우수합니다. 그러나 일부조사에서는 유사한 다른 제품에 비해 감지율이 떨어진다는 결과가 나왔습니다. 또한, 이 기능의 특정 요소 때문에 허점이 생길 수도 있습니다.
이 서비스는 사용자가 시스템상의 위치를 맬웨어 스캔에서 제외할 수 있도록 허용합니다. 비표준 코드를 사용하는 앱에서는 일반적으로 사용하는 방법이지만, 여전히 잠재적 위험이 있습니다. 또한, 보안 연구자들은 Windows 운영 체제의 특정 버전에서 제외된 위치의 목록이 보호되지 않은 채 저장되는 것을 발견했습니다. 이는 로컬 액세스 권한이 있는 공격자가 감지를 피하려면 어떤 시스템 위치에 맬웨어를 설치해야 할지 알 수 있다는 것입니다.
Defender는 기본적으로 Microsoft Edge 브라우저에서만 작동합니다. 플러그인은 다른 브라우저에서도 사용할 수 있습니다. 하지만 사용자가 어떤 이유로든 플러그인을 설치하지 않을 경우 타사 브라우저도 약점으로 작용할 수 있습니다.
Application Guard의 경우, 동일한 플러그인 문제가 적용되고 로컬 브라우저를 격리하면 기기 성능이 낮아지는 경우가 많아서 사용자가 격리 기능을 꺼버리게 될 수도 있습니다.
이런 보호를 강화하려면 조직에서는 다음과 같은 여러 가지 방법을 고려해야 합니다.
추가적 엔드포인트 보호: 최상의 위협 인텔리전스의 도움을 받으며, 이들의 규칙 세트와 차단 목록은 사용자가 쉽게 비활성화할 수 없습니다.
다단계 인증(MFA): 단순한 사용자 이름/비밀번호 이상의 조합을 사용하여 애플리케이션에 대한 액세스 권한을 제공합니다. 다른 인증 '요소'로는 하드웨어 보안 토큰, 사용자의 휴대폰으로 전송된 일회용 코드가 포함됩니다. 공격자가 맬웨어를 설치하는 경우, MFA는 해당 맬웨어가 회사 애플리케이션에 액세스하는 데 사용되지 못하도록 차단합니다.
이메일 링크 격리: 앞서 언급했듯이, 격리된 웹 활동은 클라우드에서 실행되어야 하고, 모든 브라우저에서 쉽게 작동해야 하며, 최신 기술을 사용하여 사이트에 장애를 일으키지 말아야 합니다.
3단계: 권한 상승 차단
강력한 이메일 및 맬웨어 보호가 적용되어 있는 조직이라도 공격자가 어떤 형태로든 Microsoft 365 인스턴스에 대한 권한을 얻는 상황에 대비해야 합니다. 이러한 대비는 최신 보안의 핵심 원칙입니다. 이는 주로 네트워크에서 위치를 옮길 때는 "절대 신뢰하지 않고 항상 확인"을 요청하는 Zero Trust 원칙으로 요약하는 경우가 많습니다.
Microsoft 365에서는 사용자에게 부�여되는 액세스와 권한을 관리하기 위한 여러 가지 서비스를 제공합니다. 그러나 BeyondTrust 조사에 따르면, 최근 몇 년 사이에 권한 상승은 Microsoft 365에서 발견되는 가장 일반적인 형태의 취약점이 되었습니다. 이런 사고에서, 공격자는 사용자 계정에 대한 액세스 권한을 얻고 액세스 가능한 시스템과 설정의 다양성을 넓혀서 내부망 이동, 자격 증명 절도, 표적 애플리케이션의 해킹을 지원합니다.
예방을 위한 한 가지 중요한 단계는 관리와 관련이 있습니다. 즉, 최대한 많은 사용자에게서 관리자 권한을 제거하는 것입니다. 과도한 부담에 시달리는 IT 부서에서는 효율을 높이고 지원 티켓을 줄이기 위해 사용자에게 과도한 액세스 권한을 제공하고 싶은 유혹이 들 수 있습니다. 이는 단기적으로는 유용해 보이지만, 최신 보안의 또 다른 원칙은 사용자에게 최대한 적은 액세스 권한을 부여하는 것입니다. 게다가 앞서 언급한 BeyondTrust 보고서에서는 관리자 권한을 제거하면 더욱 광범위하게 지원 티켓을 줄일 수 있다며, "사용자에게 컴퓨터를 고장 낼 권한이 없으면 더 잘 작동한다"고 언급한 바 있습니다.
조직에서는 클라우드 액세스 보안 브로커(CASB) 시스템도 고려할 수 있습니다. 이는 사용자가 Microsoft 365와 같은 클라우드 서비스에 액세스하는 방법에 대한 가시성과 제어를 지원하며, 여기에는 사용자가 공유하는 파일과 데이터 종류도 포함됩니다. Microsoft는 에서네이티브 CASB 서비스도 제공합니다. 하지만 조직에서는 광범위한 Zero Trust 플랫폼에 구축된 타사 CASB를 선택해서 다른 Zero Trust 서비스와 통합하고 자사 보안 상태에 별도의 위협 인텔리전스를 적용하고 싶을 수도 있습니다.
효율에 대한 영향 최소화
조직에서는 전반적인 팀 생산성과 기술적 효율을 높이기 위해 Microsoft 365를 도입하는 경우가 많습니다. 따라서 이들 조직에서는 앞서 언급한 권고 사항이 사용자가 근무할 때 성가신 단계를 더하거나, 인터넷 속도를 느리게 하거나, 아예 일부 애플리케이션을 사용하지 못하게 하는 것이 아닌지 우려할 수도 있습니다.
Microsoft의 중앙 집중형 네이티브 보안만 사용하는 것이 가장 효율적인 방법처럼 보일 수 있습니다. 그러나 적절한 추가 서비스를 사용하면 효율을 낮추지 않고도 남아 있는 공백이 메워집니다. 조직에서는 다음과 같은 보안 서비스를 찾아야 합니다.
이런 특성들이 조직과 그 직원에게 유연성을 부여하고, 우수한 네트워크 성능을 제공하며, 보안 최신화 과정을 매우 쉽게 진행할 수 있도록 해줍니다.
향후 계획
Cloudflare에서는 클라우드 이메일 보안, 이메일 링크 격리, 클라우드 액세스 보안 브로커, MFA 공급업체와의 통합 등 광범위한 Zero Trust 보안 서비스에서 앞서 언급한 보안 기능 다수를 제공합니다.
그러나 앞서 설명하였듯이, Microsoft 365의 네이티브 보안을 보완하려면 효율성을 그대로 보존하는 데 치중해야 합니다. Cloudflare에서는 업계에서 유일하게 이러한 효율을 제공하도록 아키텍처를 설계하였으며, 그렇게 할 수 있었던 이유는 다음과 같습니다.
약 95%의 인터넷 사용자에게 상호 연결성이 우수한 네트워크를 몇 밀리초 이내로 지원하여 직원들이 어디서 근무하든 여전히 Microsoft 서버에 빠르고 직접적으로 액세스하도록 합니다.
모든 보안 서비스를 어디서나 실행할 수 있는 균일한 네트워크 패브릭을 통해, Cloudflare를 통과하는 트래픽에 지연이 더해지지 않습니다.
Microsoft와 강력한 파트너십을 맺어 Cloudflare 보안 서비스를 Microsoft 365 도구와 매끄럽게 통합합니다.
Cloudflare의 고유한 아키텍처로 어떻게 보안과 비즈니스 효율을 모두 지킬 수 있는지 알아보려면 Cloudflare Zero Trust를 참조하세요.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
Microsoft 및 Microsoft 365는 Microsoft 그룹사의 상표입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
Microsoft 365의 네이티브 보안 기능
Microsoft의 공유 책임 모델
직원의 업무 효율을 해치지 않으면서 Microsoft 365의 보안 기반을 보완하기 위한 전략