안녕하세요 베스핀글로벌 기술지원팀 Han입니다.

AWS Access Key 유출 되었다는 안내 메일을 수신 한 경우 대처 방법에 대해서 안내 드립니다.

Access Key가 유출 된 경우, 악의적인 목적으로 사용 될 리소스가 생성으로 인한 비용부담과 서비스의 안전상 문제가 생길 수 있습니다.

빠른 조치가 필요하기에 아래 가이드를 참고 하셔서 대응 해주시기 바랍니다.

# 요약

1) AWS 계정의 루트 사용자 암호 즉시 변경

2) 안내 된 액세스 키(ABCDEFKUVD8JXYZ)를 교체하고 더 이상 사용하지 않는 키는 비활성화

3) 계정의 모든 활동을 검토하여 승인되지 않은 리소스 생성이나 변경 사항이 없는지 확인

4) AWS CloudTrail 로그를 검토하여 추가적인 의심스러운 활동이 없는지 확인

5) 멀티 팩터 인증(MFA) 모든 사용자 계정 조치 권고

* 위 내용들을 조치하고 조치내역에 대한 회신 필요

AWS Key 유출 관련 안내 메일 예시)

1. 즉시 조치사항

Access Key 비활성화

• 유출된 Access Key 비활성화 (실제 서비스에서 사용 되고 있는 경우 비활성화 및 키 교체)
  
  

aws iam update-access-key \
    --access-key-id ABCDEFKUVD8JXYZ \
    --status Inactive \
    --user-name user-name

계정 보안 강화

• Root 계정 비밀번호 즉시 변경
  
  
• MFA(다중 인증) 활성화 상태 확인
  
  
• Root 계정의 액세스 키가 있다면 즉시 삭제

2. 피해 현황 파악

CloudTrail 로그 분석

• 로그 확인 기간: 키 유출 추정 시점부터 현재까지
  
  
• 중점 확인사항:
  • 비정상적인 리전에서의 API 호출
  • 대량의 리소스 생성
  • 데이터 전송 관련 API 호출
  • IAM 정책 변경 시도

리소스 점검

• EC2 인스턴스: 모든 리전의 실행 중인 인스턴스 확인 (EC2 -> EC2 Global View 활용)

• S3 버킷: 접근 권한 설정 및 데이터 유출 여부 확인
  
  
• IAM 사용자: 승인되지 않은 IAM 사용자 확인 및 삭제
  
  

3. 추가 조치 사항

새로운 Access Key 발급

aws iam create-access-key \
    --user-name user-name

AWS 지원팀 / 베스핀글로벌 기술지원팀 연락

• Support Center를 통해 Security 케이스 생성
  
  
• 포함할 정보: 유출된 키 ID, 발견 시점, 조치 내용, 비정상 사용 내역
  
• 
  

4. 재발 방지 대책

보안 설정 강화

• 모든 IAM 사용자에 대해 MFA 필수 적용
  
  
• 액세스 키 90일 주기 교체
  
  
• 최소 권한 원칙에 따른 IAM 정책 설정
  
  

모니터링 강화

• CloudWatch 알람 설정
  
  
• AWS Config 규칙을 통한 보안 설정 모니터링
  
  
• 비정상적인 비용 발생 모니터링
  
  

정기적인 보안 감사

• 월간 보안 점검 항목:

  1. IAM 사용자 및 권한 검토

  2. 불필요한 액세스 키 제거

  3. CloudTrail 로그 분석

  4. 리소스 사용량 검토

  5. 보안 설정 준수 여부 확인

전문 서비스 활용

• Well-Architected Review : AWS Well-Architected Framework 기반 서비스 워크로드 점검
• Managed Service : 내부 관리 및 운영 인력이 없는 경우, 운영 위탁 서비스 제공

베스핀글로벌 고객지원 포털 : https://support.bespinglobal.com

전문 서비스 문의 [베스핀글로벌 문의하기]

참고링크 :

[AWS] AWS 계정 해킹 예방 및 후속 조치 방안 

Root Access Key 삭제 : https://repost.aws/ko/knowledge-center/delete-access-key