안녕하세요 베스핀글로벌 기술지원팀 Han입니다.


AWS Access Key 유출 되었다는 안내 메일을 수신 했거나, 연락을 받았을 때 대처 해야 하는 방법에 대한 가이드입니다.


AWS Access Key가 유출되면 무단 리소스 생성으로 인한 비용 발생 및 보안 위험이 있습니다. 아래 단계별 조치를 즉시 수행해주시기 바랍니다.


# 요약

1) AWS 계정의 루트 사용자 암호 즉시 변경

2) 안내 된 액세스 (예시:AKIA4TYZP55GAZXXXX) 교체하고 이상 사용하지 않는 키는 우선 비활성화 이후 서비스 영향 확인 후 반드시 삭제

3) 계정의 모든 활동을 검토하여 승인되지 않은 리소스 생성이나 변경 사항이 없는지 확인

4) AWS CloudTrail 로그를 검토하여 추가적인 의심스러운 활동이 없는지 확인

5) 멀티 팩터 인증(MFA) 모든 사용자 계정 조치 권고 (Admin 권한 계정 필수)


* 위 내용들을 조치하고 조치내역에 대한 회신 필요


Access Key 탈취 후 주요 패턴

암호화폐 채굴 의심 징후

  • GPU 포함 고사양 인스턴스 생성 (p2, p3, g3, g4 시리즈)
  • 여러 개의 인스턴스가 동시에 생성
  • 평소 사용하지 않는 리전에서 활동

데이터 유출 의심 징후

  • S3 버킷에서 대량 다운로드
  • 버킷 권한 설정 변경
  • 외부로의 데이터 전송

계정 탈취 시도 징후

  • 새로운 IAM 사용자 생성
  • 기존 정책 변경
  • 루트 계정 접근 시도


AWS Key 유출 관련 안내 메일 예시)



1. 발견 시 조치사항

# 즉시조치

Access Key 비활성화

  • 유출된 Access Key 비활성화 (실제 서비스에서 사용 되고 있는 경우 비활성화 후 키 교체 -> 최종 삭제)

aws iam update-access-key \ --region us-east-1 \  --access-key-id AKIA4TYZP55GAZXXXX \
 --status Inactive \
--user-name user-name


  • AWS Console > IAM -> 검색창 ->Access Key 검색 -> 검색 된 사용자의 Access Key 비활성화


의심스러운 EC2 인스턴스 즉시 중지


인가 되지 않은 IAM 사용자 즉시 삭제



계정 보안 확인 및 강화

  • Root 계정 비밀번호 즉시 변경

  • MFA(다중 인증) 활성화 상태 확인

  • Root 계정의 액세스 키가 있다면 즉시 삭제


2. 피해 현황 파악

CloudTrail 로그 분석

  • 로그 확인 기간: 키 유출 추정 시점부터 현재까지

  • 콘솔 접근 순서

    1. AWS 콘솔에 로그인합니다
    2. 상단 검색창에 'CloudTrail' 입력 후 서비스 접속 (IAM 서비스의 경우 비지니아 리전에서 확인 필요)
    3. 왼쪽 메뉴에서 "이벤트 기록(Event history)" 클릭
    4. 오른쪽 필터 옵션에서 검색 조건 설정:
      • "조회 속성(Lookup attributes)" → "액세스 키 ID(Access key ID)" 선택
      • 유출된 Access Key ID 입력

  • 의심 활동 확인하기

    가장 먼저 확인할 사항

    • 평소 사용하지 않는 지역(리전)에서의 활동
    • 심야 시간대의 비정상적인 활동
    • 대량의 리소스가 한꺼번에 생성된 기록
    • 권한 거부(Access Denied) 오류가 다수 발생한 기록

  • 주요 확인 대상 활동

    1. 컴퓨터 자원 생성
      • EC2 인스턴스 생성 ("RunInstances")
      • 정지된 인스턴스 시작 ("StartInstances")
    2. 데이터 관련 활동
      • S3 버킷 생성 ("CreateBucket")
      • 파일 업로드/다운로드 ("PutObject"/"GetObject")
    3. 계정 관련 변경
      • 새로운 사용자 생성 ("CreateUser")
      • 권한 정책 변경 ("CreatePolicy", "AttachUserPolicy")

=> 자세한 사항은 아래 링크 참고 하시기 바랍니다 : CloudTrail 통한 이력 조회 방법


리소스 점검

  • EC2 인스턴스: 모든 리전의 실행 중인 인스턴스 확인 (EC2 -> EC2 Global View 활용)

  • S3 버킷: 접근 권한 설정 및 데이터 유출 여부 확인

  • IAM 사용자: 승인되지 않은 IAM 사용자 확인 및 삭제


3. 추가 조치 사항 (report)

AWS 지원팀 / 베스핀글로벌 기술지원팀 연락

  •  Support Center의 Outbound 형태로 열린 케이스 확인 후 조치 사항 피드백
  • Support Center 혹은 베스핀글로벌 기술지원센터 통해 Security 케이스 생성

  • 포함할 정보: 유출된 키 ID, 발견 시점, 비정상 사용 내역, 발견 된 의심 활동 내역, 조치 내용
  • 의심스러운 활동 발견 시 증거 자료(스크린샷) 확보

4. 재발 방지 대책

보안 설정 강화

  • 모든 IAM 사용자에 대해 MFA 필수 적용

  • 액세스 키 90일 주기 교체

  • 최소 권한 원칙에 따른 IAM 정책 설정

모니터링 강화

  • CloudWatch 알람 설정

  • AWS Config 규칙을 통한 보안 설정 모니터링

  • 비정상적인 비용 발생 모니터링



정기적인 보안 감사

  • 월간 보안 점검 항목:

    1. IAM 사용자 및 권한 검토

    2. 불필요한 액세스 키 제거

    3. CloudTrail 로그 분석

    4. 리소스 사용량 검토

    5. 보안 설정 준수 여부 확인

전문 서비스 활용

  • Well-Architected Review : AWS Well-Architected Framework 기반 서비스 워크로드 점검
  • Managed Service : 내부 관리 및 운영 인력이 없는 경우, 운영 위탁 서비스 제공


베스핀글로벌 고객지원 포털 : https://support.bespinglobal.com

전문 서비스 문의 [베스핀글로벌 문의하기]



참고링크 :

베스핀글로벌 솔루션1 : CloudTrail 통한 이력 조회 방법

베스핀글로벌 솔루션2 : [AWS] AWS 계정 해킹 예방 및 후속 조치 방안 

Root Access Key 삭제 : https://repost.aws/ko/knowledge-center/delete-access-key

[AWS Doc] AWS로부터 내 리소스에 대한 침해 사례 보고서(Abuse report)를 받았습니다. 어떻게 해야합니까?