2020.02.28

마이크로소프트 오피스를 표적으로 하는 스크립팅 공격 방지 방법

Susan Bradley | CSO
최근 받은 편지함을 자세히 들여봤다면, 2019년 1월~7월 사이에만 피싱 공격이 400% 증가했다는 소식에 놀라지 않을 것이다. 사용자를 특정 웹사이트로 유인하거나, 오피스 문서 등을 열도록 유도하는 피싱 공격들이다. 이 가운데 오피스 문서를 열도록 유도하는 피싱 공격은 스크립트를 불러내 추가적인 작업을 실행시키는 경우가 많다. 스크립트는 작업을 호출하기 위해 악성 매크로에서 사용되는 경우가 많다.

IT 관리자는 악성 오피스 문서 문제를 극복하기 위해 어떤 조치를 취할 수 있을까? 할 수 있는 일이 많다. 먼저, 완전한 기능을 제공하는 오피스 설치가 필요한 직원들을 파악해 분류해야 한다. 다양한 형태로 오피스를 배포할 수 있다. 사용자들에게 시스템에 직접 설치하지 않고, ‘샌드박스’ 모드로 이용할 수 있는 웹 기반 오피스 버전만 제공해도 충분할까?
 
오피스 웹 버전은 데스크톱에 끼치는 영향이 제한적이다. ⓒ SUSAN BRADLEY

오피스 매크로를 실행하지 못하도록 만들어도 될까? 일반적으로, 대부분 사용자는 기본 오피스 스위트면 충분하다. 매크로 같은 고급 기능을 사용할 필요가 없다는 의미이다. 생산성을 위해 반드시 매크로를 사용해야 하는 사용자만 매크로를 사용할 수 있도록 제한할 수 있다.

전통적인 인프라의 경우, 그룹 정책으로 오피스 매크로를 제한할 수 있다. 매크로 위협은 새로운 위협이 아니다. 마이크로소프트는 오피스 2010부터 매크로 차단 기능을 제공했다. 오피스 2016부터 관리자가 웹을 통해 전달되는 문서의 매크로를 차단할 수 있는 기능을 지원했다. ‘웹 표식(Mark of the web)’이라는 메타데이터 기능이다. 관리자가 사용자가 파일을 여는 방법, 장소를 더 상세히 통제할 수 있는 기능이다.

최종 사용자 교육을 과소평가해서는 안 된다. 사용자에게 파일의 형태와 모습, 프롬프트에 대응하는 방법을 교육해야 한다. 이는 네트워크를 안전하게 유지 및 보호하는데 큰 도움을 준다.
 
오피스 2010부터는 제한된 보기 기능이 내장되어 있다. ⓒ SUSAN BRADLEY

사용자에게 외부 소스의 파일을 열었을 때 경계해야 할 부분을 찾도록 교육을 해야 한다. 모르는 사람이 보낸 파일을 연 경우에도, 문서가 안전한지 여부를 알려주는 신호를 찾도록 교육해야 한다.

모든 이메일과 첨부물을 대상으로 사용자가 파일을 열기 전에 반드시 거쳐야 하는 이메일 ‘위생’ 정책, 도구를 도입해 적용해야 한다. 그렇지만 이런 정책, 도구가 문제를 방지해준다고 생각해서는 안 된다. 공격자는 기업이 이메일을 필터링하고, 첨부 파일을 스캔한다는 사실을 잘 알고 있다. 이에 악성 파일을 첨부하는 경우는 줄어들고, 대신 클라우드에 악성 문서를 호스팅하는 사례가 증가하고 있다. 이로 인해 ‘위생’ 엔진으로 사용자를 보호하는 것이 더 어려워졌다.

마이크로소프트는 최근 마이크로소프트 365 E5 서비스 구독자를 대상으로 세이프 다큐멘트라는 새로운 프리뷰 기능을 배포했다. 제한된 보기(Protected view) 기능에 토대를 둔 서비스로 사용자가 엑셀과 파워포인트, 워드 문서를 열기 전, 알려진 위험과 위협 프로파일을 조사한다. 또 다른 프리뷰 서비스는 오피스를 샌드박스 환경에 구현시키는 오피스 365 프로 플러스용 애플리케이션 가드이다. 엣지 브라우저용 윈도우 디펜더 애플리케이션 가드와 유사하게, 악성 문서를 샌드박스에 집어넣어 기본 운영 체제에 침입할 수 없도록 만든다.

마이크로소프트 365 E5 라이선스를 갖고 있다면, 이 프리뷰를 활성화기 위해 오피스 365 보안 및 준수 센터를 방문한다. 그리고 위협 관리> 정책(Policy) > ATP 안전 첨부파일로 이동한다. ‘오피스 애플리케이션의 제한된 보기 밖에서 연 파일을 신뢰할 때 안전을 유지’ 항목에서 다음과 같이 설정한다.
 
  • ‘오피스 클라이언트용 세이프 다큐먼트’를 켠다 (더 상세한 분석을 위해, 마이크로소프트 클라우드로 파일이 전송됨).
  • ‘세이프 다큐먼트가 파일을 악성으로 분류해도 제한된 보기에서 클릭 허용’을 끈다.
  • 완료되면 ‘저장’을 클릭한다.

애플리케이션 가드는 현재 프리뷰 버전이 제공되고 있다. 프라이빗 베타에 가입해 사용할 수 있다.

마이크로소프트 오피스 365를 여러 형태로 배포할 수 있다는 점을 기억하는 것이 좋다. 자주 표적이 되는 사용자를 대상으로 오피스 보호 및 보안과 관련된 우선순위를 결정한 후, 다른 사람들을 대상으로 오피스 플랫폼의 웹 버전을 활성화시킬 수 있다. 완전한 협업 환경이 불필요한 사용자의 경우, 오피스 수잇 대신 다른 플랫폼을 사용하는 것을 고려할 수도 있다.

여기에 더해, 마이크로소프트가 제공하는 보안 소프트웨어 전체를 프리뷰 및 평가하기 위해, 최소 1개 이상의 마이크로소프트 365 E5를 구입하는 방법을 권장한다. 전 직원을 대상으로 이 스위트을 구입하는 것은 합리적이지 않지만, 일부 직원이나 직무에 필요할 수 있다.

웹 환경이 확대되면, 읽기 전용 PDF 파일, 온라인 포럼, 웹 양식 등의 형태로 문서를 공유할 수도 있다. 모든 직원에게 오피스 문서의 매크로 실행이 필요한 것은 아니다. 업무에 필요한 도구가 다를 수 있다. 또 전체 오피스 스위트가 필요하지 않을 수도 있다.

여러 오피스 버전을 라이선싱하는 방법은 보안 포지셔닝에 직접적인 영향을 미친다. 필요한 사람, 대상, 때를 평가해야 한다. 사용자에게 필요한 도구를 제공하고, 애플리케이션이 제공하는 것들에 대해 교육을 한다. 그러면 보안과 관련해 올바른 결정을 내리도록 도움을 줄 수 있다. editor@itworld.co.kr
 


2020.02.28

마이크로소프트 오피스를 표적으로 하는 스크립팅 공격 방지 방법

Susan Bradley | CSO
최근 받은 편지함을 자세히 들여봤다면, 2019년 1월~7월 사이에만 피싱 공격이 400% 증가했다는 소식에 놀라지 않을 것이다. 사용자를 특정 웹사이트로 유인하거나, 오피스 문서 등을 열도록 유도하는 피싱 공격들이다. 이 가운데 오피스 문서를 열도록 유도하는 피싱 공격은 스크립트를 불러내 추가적인 작업을 실행시키는 경우가 많다. 스크립트는 작업을 호출하기 위해 악성 매크로에서 사용되는 경우가 많다.

IT 관리자는 악성 오피스 문서 문제를 극복하기 위해 어떤 조치를 취할 수 있을까? 할 수 있는 일이 많다. 먼저, 완전한 기능을 제공하는 오피스 설치가 필요한 직원들을 파악해 분류해야 한다. 다양한 형태로 오피스를 배포할 수 있다. 사용자들에게 시스템에 직접 설치하지 않고, ‘샌드박스’ 모드로 이용할 수 있는 웹 기반 오피스 버전만 제공해도 충분할까?
 
오피스 웹 버전은 데스크톱에 끼치는 영향이 제한적이다. ⓒ SUSAN BRADLEY

오피스 매크로를 실행하지 못하도록 만들어도 될까? 일반적으로, 대부분 사용자는 기본 오피스 스위트면 충분하다. 매크로 같은 고급 기능을 사용할 필요가 없다는 의미이다. 생산성을 위해 반드시 매크로를 사용해야 하는 사용자만 매크로를 사용할 수 있도록 제한할 수 있다.

전통적인 인프라의 경우, 그룹 정책으로 오피스 매크로를 제한할 수 있다. 매크로 위협은 새로운 위협이 아니다. 마이크로소프트는 오피스 2010부터 매크로 차단 기능을 제공했다. 오피스 2016부터 관리자가 웹을 통해 전달되는 문서의 매크로를 차단할 수 있는 기능을 지원했다. ‘웹 표식(Mark of the web)’이라는 메타데이터 기능이다. 관리자가 사용자가 파일을 여는 방법, 장소를 더 상세히 통제할 수 있는 기능이다.

최종 사용자 교육을 과소평가해서는 안 된다. 사용자에게 파일의 형태와 모습, 프롬프트에 대응하는 방법을 교육해야 한다. 이는 네트워크를 안전하게 유지 및 보호하는데 큰 도움을 준다.
 
오피스 2010부터는 제한된 보기 기능이 내장되어 있다. ⓒ SUSAN BRADLEY

사용자에게 외부 소스의 파일을 열었을 때 경계해야 할 부분을 찾도록 교육을 해야 한다. 모르는 사람이 보낸 파일을 연 경우에도, 문서가 안전한지 여부를 알려주는 신호를 찾도록 교육해야 한다.

모든 이메일과 첨부물을 대상으로 사용자가 파일을 열기 전에 반드시 거쳐야 하는 이메일 ‘위생’ 정책, 도구를 도입해 적용해야 한다. 그렇지만 이런 정책, 도구가 문제를 방지해준다고 생각해서는 안 된다. 공격자는 기업이 이메일을 필터링하고, 첨부 파일을 스캔한다는 사실을 잘 알고 있다. 이에 악성 파일을 첨부하는 경우는 줄어들고, 대신 클라우드에 악성 문서를 호스팅하는 사례가 증가하고 있다. 이로 인해 ‘위생’ 엔진으로 사용자를 보호하는 것이 더 어려워졌다.

마이크로소프트는 최근 마이크로소프트 365 E5 서비스 구독자를 대상으로 세이프 다큐멘트라는 새로운 프리뷰 기능을 배포했다. 제한된 보기(Protected view) 기능에 토대를 둔 서비스로 사용자가 엑셀과 파워포인트, 워드 문서를 열기 전, 알려진 위험과 위협 프로파일을 조사한다. 또 다른 프리뷰 서비스는 오피스를 샌드박스 환경에 구현시키는 오피스 365 프로 플러스용 애플리케이션 가드이다. 엣지 브라우저용 윈도우 디펜더 애플리케이션 가드와 유사하게, 악성 문서를 샌드박스에 집어넣어 기본 운영 체제에 침입할 수 없도록 만든다.

마이크로소프트 365 E5 라이선스를 갖고 있다면, 이 프리뷰를 활성화기 위해 오피스 365 보안 및 준수 센터를 방문한다. 그리고 위협 관리> 정책(Policy) > ATP 안전 첨부파일로 이동한다. ‘오피스 애플리케이션의 제한된 보기 밖에서 연 파일을 신뢰할 때 안전을 유지’ 항목에서 다음과 같이 설정한다.
 
  • ‘오피스 클라이언트용 세이프 다큐먼트’를 켠다 (더 상세한 분석을 위해, 마이크로소프트 클라우드로 파일이 전송됨).
  • ‘세이프 다큐먼트가 파일을 악성으로 분류해도 제한된 보기에서 클릭 허용’을 끈다.
  • 완료되면 ‘저장’을 클릭한다.

애플리케이션 가드는 현재 프리뷰 버전이 제공되고 있다. 프라이빗 베타에 가입해 사용할 수 있다.

마이크로소프트 오피스 365를 여러 형태로 배포할 수 있다는 점을 기억하는 것이 좋다. 자주 표적이 되는 사용자를 대상으로 오피스 보호 및 보안과 관련된 우선순위를 결정한 후, 다른 사람들을 대상으로 오피스 플랫폼의 웹 버전을 활성화시킬 수 있다. 완전한 협업 환경이 불필요한 사용자의 경우, 오피스 수잇 대신 다른 플랫폼을 사용하는 것을 고려할 수도 있다.

여기에 더해, 마이크로소프트가 제공하는 보안 소프트웨어 전체를 프리뷰 및 평가하기 위해, 최소 1개 이상의 마이크로소프트 365 E5를 구입하는 방법을 권장한다. 전 직원을 대상으로 이 스위트을 구입하는 것은 합리적이지 않지만, 일부 직원이나 직무에 필요할 수 있다.

웹 환경이 확대되면, 읽기 전용 PDF 파일, 온라인 포럼, 웹 양식 등의 형태로 문서를 공유할 수도 있다. 모든 직원에게 오피스 문서의 매크로 실행이 필요한 것은 아니다. 업무에 필요한 도구가 다를 수 있다. 또 전체 오피스 스위트가 필요하지 않을 수도 있다.

여러 오피스 버전을 라이선싱하는 방법은 보안 포지셔닝에 직접적인 영향을 미친다. 필요한 사람, 대상, 때를 평가해야 한다. 사용자에게 필요한 도구를 제공하고, 애플리케이션이 제공하는 것들에 대해 교육을 한다. 그러면 보안과 관련해 올바른 결정을 내리도록 도움을 줄 수 있다. editor@itworld.co.kr
 


X