2019.09.27

How To : 인튠을 이용해 기업 전체에 아웃룩 앱을 배포하는 방법

Susan Bradley | CSO
해커가 마이크로소프트 익스체인지 온라인(Microsoft Exchange Online)을 공격하는 방법은 기본 인증(Basic Authentication)이 활성화된 시스템을 경유하는 것이다. 테넌트 내에서 레거시 인증을 비활성화한 계정의 해킹 비율이 전체 평균보다 현저하게 낮은 것도 이 때문이다. 마이크로소프트는 익스체인지 웹 서비스(Exchange Web Services)의 기본 인증을 2020년 10월 13일부터 비활성화할 예정이다.

최근 마이크로소프트는 이보다 한발 더 나아간 조치를 발표했다. EWS, EAS, IMAP, POP은 물론 익스체인지 온라인(Exchange Online)에 접속할 수 있는 RPS의 기본 인증까지 같은 날짜를 기해 중단하기로 했다. 물론 오스 2.0(OAuth 2.0)을 이용해 이들 프로토콜에 접속하는 애플리케이션은 다른 수정이나 차단 없이 계속 작동한다. 따라서 오피스 365의 보안을 강화하기 위해서는 기본 인증을 비활성화할 것이 좋다.

그렇다면 오피스 365에 구체적으로 어떤 조치를 해야 할까? 안드로이드나 애플 아이폰의 네이티브 이메일 애플리케이션 대신 아웃룩 애플리케이션을 사용하도록 하는 것이 좋은 출발점이 된다. 온프레미스 익스체인지에서 오피스 365로 전환할 계획이 있다면, 바로 이런 작업을 실행하는 것이 좋다. 이 애플리케이션은 추가 프로토콜과 이메일 플랫폼을 지원하므로, 사용자가 휴대폰에서 개인 이메일은 물론 업무용 이메일을 받아도 모든 이메일을 아웃룩으로 전환할 수 있기 때문이다.

이러한 전환 작업을 하는 방법은 다양하다. 중소기업은 사용자와 논의해, 휴대폰의 앱 스토어에서 애플리케이션을 찾는 방법을 안내하면 된다. 이후 이를 다운로드해 새 애플리케이션에서 이메일 계정을 설정하면 된다. 오토디스커버(Autodiscover)가 적절하게 설정을 했다면 이제 해야 할 작업은 애플리케이션을 다운로드하도록 직원에게 알리고 이메일 주소와 암호를 입력하는 것뿐이다. 이 애플리케이션이 적합한 메일 서버로 자동 연결한다.

다른 방법은 인튠(Intune)을 이용해 사용자에게 아웃룩 앱을 배포하는 것이다. 사실 아웃룩 앱을 일괄 배포하는 방법이 더 좋다. 아웃룩 앱을 적절하게 설정하고 사람들이 변화에 익숙해지는 동안 기존 네이티브 휴대폰 앱을 그대로 사용할 수 있도록 허용하는 것도 가능하다.

인튠으로 아웃룩으로 전환하기
인튠으로 아웃룩으로 전환하는 방법은 애저 포탈(Azure Portal)에서 관리자로 로그인해 작업하는 것이 간단하다. '추가(Add)'를 클릭하고 'iOS'를 선택한 후 아웃룩 앱을 찾을 수 있다. '앱 정보(App information)'를 클릭해 자동으로 제공되는 정보도 확인하자.
 
인튠을 이용해 사용자에게 아웃룩 애플리케이션을 배포할 수 있다.

이제 '할당(Assignments)'과 '그룹 추가(Add grou)'를 클릭한 후 '할당 형태(Assignment type)에서 '필수(Required)'를 선택한다. 그래야 모바일 기기에 앱을 강제할 수 있다.
 
이메일 정책 설정하기

이제 '포함된 그룹(Included Groups)'을 선택하고 이를 적용할 그룹을 선택하거나 모든 사용자 혹은 모든 기기를 적용하도록 선택한다. 일단 포함된 할당으로 설정하면 하단의 '확인(OK)'을 누른다. 사용자가 아웃룩 앱에서 기업 정보를 복사해 개인앱으로 옮기지 못하도록 정책을 만들려면 이를 제한하는 정책을 설정할 수도 있다.
 
할당 정책

이런 앱 보호 정책을 만들려면 먼저 브라우저를 연 후 애저 포탈에서 관련 페이지로 이동한다. '정책 추가(Add a policy)'를 클릭하고 정책 이름을 입력한다. iOS 플랫폼을 선택한 후 '필요한 앱 선택(Add a policy)'을 클릭한다. 모든 앱을 체크하고 하단의 '선택(Select)'을 클릭한다. 이제 '설정 구성(Configure required settings)'을 클릭한 후 다음과 같이 설정하면 된다.

- 앱이 다른 앱과 데이터를 주고받을 수 있도록 허용(Allow the app to transfer data to other apps): 정책 관리 앱(Policy managed apps)
- '다른 것으로 저장(Save As)' 기능 차단: 예(Yes)
- 기업 데이터를 저장할 수 있는 스토리지 서비스 선택, 예를 들면 기업용 원드라이브(OneDrive for Business) 혹은 쉐어포인트
- 다른 앱의 잘라내기, 복사하기, 붙이기 제한(Restrict cut, copy and paste with other apps): 관리 대상 앱에 대한 붙여넣기 정책

작업을 모두 마쳤으면 하단의 '확인(OK)'을 누른다. 새 정책을 저장하려면 하단의 '만들기(Create)' 버튼을 누르면 된다. 이제 정책을 만들었으므로 이 정책을 아웃룩 앱을 배포할 때 사용했던 것과 같은 그룹에 적용해 보자. 새 정책을 클릭한 후 '할당(Assignments)'을 클릭하고 '그룹 선택(Select groups)'을 눌러 포함한다. 이제 이전에 아웃룩 앱 할당을 위해 선택한 것과 같은 그룹을 고른 후 '선택(Select)'을 클릭한다.

이제 기업 전체에서 아웃룩 앱을 사용할 수 있게 됐다. 이 앱은 최신 인증을 지원한다. 일단 네이티브 휴대폰 앱을 쓰지 않게 되면 아무런 문제 없이 기본 인증을 비활성화할 수 있다. 일부 사용자는 아웃룩 앱의 집중화된 화면을 좋아할 수도 있고 다른 이들은 이런 화면 구성을 비활성화하고 메일 대화를 스레드 형태로 보지 않도록 설정할 수도 있다. 이제 마지막으로 설정, 계정, 암호로 이동해서 기존 계정을 삭제해 메인 이메일 애플리케이션을 비활성화할 수 있다.

오피스 365 기능은 계속 추가되고 있고 이러한 신기능은 우리가 계정 추출 공격(credential harvesting attack)에 노출되는 것을 막는 데 도움이 된다. 더 안전한 환경으로 전환하고 애플리케이션 보안을 강화하기 위해 아웃룩 앱으로 전환할 것을 강력하게 권고한다. ciokr@idg.co.kr


2019.09.27

How To : 인튠을 이용해 기업 전체에 아웃룩 앱을 배포하는 방법

Susan Bradley | CSO
해커가 마이크로소프트 익스체인지 온라인(Microsoft Exchange Online)을 공격하는 방법은 기본 인증(Basic Authentication)이 활성화된 시스템을 경유하는 것이다. 테넌트 내에서 레거시 인증을 비활성화한 계정의 해킹 비율이 전체 평균보다 현저하게 낮은 것도 이 때문이다. 마이크로소프트는 익스체인지 웹 서비스(Exchange Web Services)의 기본 인증을 2020년 10월 13일부터 비활성화할 예정이다.

최근 마이크로소프트는 이보다 한발 더 나아간 조치를 발표했다. EWS, EAS, IMAP, POP은 물론 익스체인지 온라인(Exchange Online)에 접속할 수 있는 RPS의 기본 인증까지 같은 날짜를 기해 중단하기로 했다. 물론 오스 2.0(OAuth 2.0)을 이용해 이들 프로토콜에 접속하는 애플리케이션은 다른 수정이나 차단 없이 계속 작동한다. 따라서 오피스 365의 보안을 강화하기 위해서는 기본 인증을 비활성화할 것이 좋다.

그렇다면 오피스 365에 구체적으로 어떤 조치를 해야 할까? 안드로이드나 애플 아이폰의 네이티브 이메일 애플리케이션 대신 아웃룩 애플리케이션을 사용하도록 하는 것이 좋은 출발점이 된다. 온프레미스 익스체인지에서 오피스 365로 전환할 계획이 있다면, 바로 이런 작업을 실행하는 것이 좋다. 이 애플리케이션은 추가 프로토콜과 이메일 플랫폼을 지원하므로, 사용자가 휴대폰에서 개인 이메일은 물론 업무용 이메일을 받아도 모든 이메일을 아웃룩으로 전환할 수 있기 때문이다.

이러한 전환 작업을 하는 방법은 다양하다. 중소기업은 사용자와 논의해, 휴대폰의 앱 스토어에서 애플리케이션을 찾는 방법을 안내하면 된다. 이후 이를 다운로드해 새 애플리케이션에서 이메일 계정을 설정하면 된다. 오토디스커버(Autodiscover)가 적절하게 설정을 했다면 이제 해야 할 작업은 애플리케이션을 다운로드하도록 직원에게 알리고 이메일 주소와 암호를 입력하는 것뿐이다. 이 애플리케이션이 적합한 메일 서버로 자동 연결한다.

다른 방법은 인튠(Intune)을 이용해 사용자에게 아웃룩 앱을 배포하는 것이다. 사실 아웃룩 앱을 일괄 배포하는 방법이 더 좋다. 아웃룩 앱을 적절하게 설정하고 사람들이 변화에 익숙해지는 동안 기존 네이티브 휴대폰 앱을 그대로 사용할 수 있도록 허용하는 것도 가능하다.

인튠으로 아웃룩으로 전환하기
인튠으로 아웃룩으로 전환하는 방법은 애저 포탈(Azure Portal)에서 관리자로 로그인해 작업하는 것이 간단하다. '추가(Add)'를 클릭하고 'iOS'를 선택한 후 아웃룩 앱을 찾을 수 있다. '앱 정보(App information)'를 클릭해 자동으로 제공되는 정보도 확인하자.
 
인튠을 이용해 사용자에게 아웃룩 애플리케이션을 배포할 수 있다.

이제 '할당(Assignments)'과 '그룹 추가(Add grou)'를 클릭한 후 '할당 형태(Assignment type)에서 '필수(Required)'를 선택한다. 그래야 모바일 기기에 앱을 강제할 수 있다.
 
이메일 정책 설정하기

이제 '포함된 그룹(Included Groups)'을 선택하고 이를 적용할 그룹을 선택하거나 모든 사용자 혹은 모든 기기를 적용하도록 선택한다. 일단 포함된 할당으로 설정하면 하단의 '확인(OK)'을 누른다. 사용자가 아웃룩 앱에서 기업 정보를 복사해 개인앱으로 옮기지 못하도록 정책을 만들려면 이를 제한하는 정책을 설정할 수도 있다.
 
할당 정책

이런 앱 보호 정책을 만들려면 먼저 브라우저를 연 후 애저 포탈에서 관련 페이지로 이동한다. '정책 추가(Add a policy)'를 클릭하고 정책 이름을 입력한다. iOS 플랫폼을 선택한 후 '필요한 앱 선택(Add a policy)'을 클릭한다. 모든 앱을 체크하고 하단의 '선택(Select)'을 클릭한다. 이제 '설정 구성(Configure required settings)'을 클릭한 후 다음과 같이 설정하면 된다.

- 앱이 다른 앱과 데이터를 주고받을 수 있도록 허용(Allow the app to transfer data to other apps): 정책 관리 앱(Policy managed apps)
- '다른 것으로 저장(Save As)' 기능 차단: 예(Yes)
- 기업 데이터를 저장할 수 있는 스토리지 서비스 선택, 예를 들면 기업용 원드라이브(OneDrive for Business) 혹은 쉐어포인트
- 다른 앱의 잘라내기, 복사하기, 붙이기 제한(Restrict cut, copy and paste with other apps): 관리 대상 앱에 대한 붙여넣기 정책

작업을 모두 마쳤으면 하단의 '확인(OK)'을 누른다. 새 정책을 저장하려면 하단의 '만들기(Create)' 버튼을 누르면 된다. 이제 정책을 만들었으므로 이 정책을 아웃룩 앱을 배포할 때 사용했던 것과 같은 그룹에 적용해 보자. 새 정책을 클릭한 후 '할당(Assignments)'을 클릭하고 '그룹 선택(Select groups)'을 눌러 포함한다. 이제 이전에 아웃룩 앱 할당을 위해 선택한 것과 같은 그룹을 고른 후 '선택(Select)'을 클릭한다.

이제 기업 전체에서 아웃룩 앱을 사용할 수 있게 됐다. 이 앱은 최신 인증을 지원한다. 일단 네이티브 휴대폰 앱을 쓰지 않게 되면 아무런 문제 없이 기본 인증을 비활성화할 수 있다. 일부 사용자는 아웃룩 앱의 집중화된 화면을 좋아할 수도 있고 다른 이들은 이런 화면 구성을 비활성화하고 메일 대화를 스레드 형태로 보지 않도록 설정할 수도 있다. 이제 마지막으로 설정, 계정, 암호로 이동해서 기존 계정을 삭제해 메인 이메일 애플리케이션을 비활성화할 수 있다.

오피스 365 기능은 계속 추가되고 있고 이러한 신기능은 우리가 계정 추출 공격(credential harvesting attack)에 노출되는 것을 막는 데 도움이 된다. 더 안전한 환경으로 전환하고 애플리케이션 보안을 강화하기 위해 아웃룩 앱으로 전환할 것을 강력하게 권고한다. ciokr@idg.co.kr


X