안녕하세요,

베스핀글로벌 클라우드 기술지원팀입니다.

클라우드 보안이 중요해진 만큼 계정 침해 사례도 함께 증가하고 있습니다.

이에 저희 팀에서 AWS 계정 해킹 예방 및 후속 조치 방안에 대해 안내해 드리고자 합니다.

"내 계정이 침해되면 어떻게 될까?"

계정 침해가 의심되는 가장 큰 부분은 바로 비용입니다.

평소 청구되었던 비용과 큰 격차로 많은 비용이 발생했다면 계정 침해를 의심해 볼 수 있습니다.

일반적으로 계정 침해는 GitHub와 같은 오픈된 공간에 AWS 계정의 액세스 키가 유출되어 이루어집니다.

AWS 액세스 키가 유출되면 자신도 모르는 사이에 승인되지 않은 사용자가 생성되어 

해당 사용자가 리소스를 생성하기 시작하고, 이에 큰 비용이 발생합니다. 

평소보다 큰 금액이 발생하였다면,

승인되지 않은 리소스 및 사용자가 생성되어 있는지 확인하시고 아래 링크 내용에 따라 조치하셔야 합니다.

#1 AWS 계정에서 무단 활동이 발견되면 어떻게 해야합니까? -

https://aws.amazon.com/ko/premiumsupport/knowledge-center/potential-account-compromise/

계정 해킹 이슈에 있어서 중요한 첫 번째 포인트는 "계정 보안에 대한 책임은 사용자에게 있다"는 점입니다.

AWS의 보안과 규정 준수는 AWS와 고객의 공동 책임으로 간주하며,

계정에서 발생하는 모든 활동에 대한 책임은 사용자에게도 있음을 알려드립니다. 

따라서 사용자는 자신의 계정이 침해되지 않도록 AWS에서 제공한 보안 그룹 방화벽을 구성할 책임이 있습니다. 

#2 AWS 공동 책임 모델 -

https://aws.amazon.com/ko/compliance/shared-responsibility-model/

두 번째로 중요한 포인트는 "예방"입니다.

계정이 침해되지 않도록 사전에 예방하는 것이 가장 좋은 방법입니다.

아래는 AWS에서 권장하고 있는 AWS Security Best Practice (보안 모범 사례)입니다.

내용 참고하시어 귀사의 계정 보안에 힘 써주시기 바랍니다.

1. Root 계정 및 IAM User에 MFA 설정 

2. Access Key 유출에 주의

3. CloudTrail을 통한 모니터링

4. CloudWatch를 통한 인스턴스 모니터링

5, AWS Trusted Advisor를 통한 보안 감사

6. OpsNow Budgeting 알람 기능을 통한 비용 모니터링

관련하여 자세한 내용은 아래 AWS 및 OpsNow의 링크 참고 부탁드립니다.

#3 AWS IAM의 보안 모범 사례 -

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/best-practices.html

#4 계정 및 리소스 보호 모범 사례 -

https://aws.amazon.com/ko/premiumsupport/knowledge-center/security-best-practices/

#5 AWS CloudTrail -

https://aws.amazon.com/ko/cloudtrail/getting-started/

#6 CloudWatch를 통한 인스턴스 모니터링 -

https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/using-cloudwatch.html

#7 Trusted Advisor를 통한 보안 감사 -

https://aws.amazon.com/ko/premiumsupport/technology/trusted-advisor/best-practice-checklist/

#8 OpsNow Budgeting Alarm 기능 -

https://metering.opsnow.com/guide/ko/user-guide-metering-ko.html#budgeting

세 번째로 중요한 포인트는 "후속 조치"입니다.

계정이 침해되어 AWS로 부터 해킹 관련 Abuse report를 수신하신 경우,

아래와 같이 이미 손상된 계정에 대한 재 보안 조치를 위한 최소한의 후속 조치를 하신 후 오픈된 케이스에 회신하셔야 합니다.

24시간 이내에 Abuse report에 회신하지 않으면, 

AWS에서 귀하의 리소스를 차단하거나 계정을 일시 중지시킬 수 있습니다.

1. 허가되지 않은 리소스 삭제

2. AWS 루트 사용자 암호와 모든 IAM 사용자 암호 변경 

3. 모든 AWS 액세스 키 교체 및 삭제 

4. 승인되지 않은 IAM 사용자 삭제

자세한 내용은 아래 AWS 링크 참고 부탁드리며,

혹시라도 진행에 어려움이 있으시면 저희 고객지원포털에 문의 남겨주시기 바랍니다.

#9 AWS로부터 내 리소스에 대한 침해 사례 보고서(Abuse report)를 받았습니다. 어떻게 해야합니까? -

https://aws.amazon.com/ko/premiumsupport/knowledge-center/aws-abuse-report/

관련하여 문의사항이 있으시거나 지원이 필요하시면 

언제든지 저희 고객지원포털에 문의 남겨주시기 바랍니다. 

감사합니다.