AWS 계정에서 무단 활동이 발견되면 어떻게 해야 합니까?

최종 업데이트 날짜: 2021년 4월 27일

생성한 적 없는 리소스가 AWS 관리 콘솔에 있습니다.

-또는-

AWS 리소스 또는 계정이 공격을 당했다는 알림을 받았습니다. 어떻게 해야 하나요?

간략한 설명

참고: 계정으로 로그인할 수 없는 경우 AWS에 문의 양식을 사용하여 AWS Support의 도움을 요청하세요. 이 양식에는 암호 재설정 방법에 대한 지침도 포함되어 있습니다.

AWS 계정 내에서 무단 활동이 관찰되거나 승인되지 않은 사용자가 계정에 액세스했다고 판단되는 경우 다음을 수행합니다.

해결 방법

모든 AWS 액세스 키 교체 및 삭제

애플리케이션에서 액세스 키를 현재 사용 중인 경우 해당 키를 새 키로 바꿉니다.

  1. 먼저 두 번째 키를 생성합니다. 그런 다음 새 키를 사용하도록 애플리케이션을 수정합니다.
  2. 첫 번째 키를 비활성화합니다(삭제하지는 않음).
  3. 애플리케이션에 문제가 있는 경우 키를 임시로 다시 활성화합니다. 애플리케이션이 완전히 작동하고 첫 번째 키가 비활성화된 상태이면 첫 번째 키를 삭제합니다.
  4. 본인이 생성하지 않은 IAM 사용자를 삭제합니다.

애플리케이션에서 더 이상 사용하지 않는 액세스 키를 삭제할 수 있습니다.

AWS 액세스 키는 계정 암호를 처리하는 것과 동일한 방식으로 취급합니다.

리소스를 생성한 IAM 사용자를 확인하고 액세스를 제한하는 데 대한 지침은 AWS 계정에서 비정상적인 리소스 활동 관련 문제를 해결하려면 어떻게 해야 합니까?를 참조하십시오.

권한이 없는 IAM 사용자 자격 증명 교체

  1. IAM 콘솔을 엽니다.
  2. 탐색 창에서 [사용자(Users)]를 선택합니다.
  3. 목록에서 IAM 사용자를 하나씩 선택한 후 [권한 정책(Permissions policies)] 아래에서 [AWSExposedCredentialPolicy_DO_NOT_REMOVE]라는 정책이 있는지 확인합니다. 사용자에게 이 연결된 정책이 있는 경우 사용자의 액세스 키를 교체해야 합니다.
  4. 본인이 생성하지 않은 IAM 사용자를 삭제합니다.
  5. 본인이 생성했고 계속 유지하려는 IAM 사용자의 경우 암호를 변경합니다.

청구서 확인

AWS 관리 콘솔의 [청구서(Bills)] 페이지에는 계정의 모든 리소스에 대한 모든 요금이 나열됩니다. 청구서에서 다음을 확인합니다.

  • 일반적으로 사용하지 않는 AWS 서비스
  • 일반적으로 사용하지 않는 AWS 리전의 리소스
  • 청구서 크기의 큰 변화

이 정보를 사용하여 유지하지 않으려는 리소스를 삭제하거나 종료할 수 있습니다.

알 수 없거나 승인되지 않은 리소스 모두 삭제

AWS 계정에 로그인하고 해당 계정의 모든 리소스가 자신이 시작한 리소스인지 확인합니다. 자신이 AWS 리소스를 시작한 적이 없는 리전을 포함해서 모든 AWS 리전을 확인해야 합니다.

중요: 조사를 위해 리소스를 보관해야 하는 경우 리소스를 백업하는 것이 좋습니다. 예를 들어 EC2 인스턴스를 보존해야 하는 규제, 규정 또는 법적 요구 사항이 있는 경우 인스턴스를 종료하기 전에 EBS 스냅샷을 생성합니다.

다음에 특히 유의하세요.

Lambda 함수 및 계층을 삭제하려면 다음을 수행하십시오.

  1. Lambda 콘솔을 엽니다.
  2. 탐색 창에서 [함수]를 선택합니다.
  3. 삭제할 함수를 선택합니다.
  4. [작업]에서 [삭제]를 선택합니다.
  5. 탐색 창에서 [계층]을 선택합니다.
  6. 삭제할 계층을 선택합니다.
  7. 삭제(Delete)를 선택합니다.

특정 AWS 서비스와 연결된 리소스를 삭제하는 방법에 대한 자세한 내용은 AWS 계정을 해지하기 전에 내 리소스를 모두 종료하려면 어떻게 해야 합니까?를 참조하세요.

MFA 활성화

보안을 강화하려면 AWS 리소스를 보호할 수 있도록 MFA를 구성하는 것이 가장 좋습니다. IAM 사용자 또는 AWS 계정 루트 사용자에 대해 MFA를 활성화할 수 있습니다. 루트 사용자에 대해 MFA를 활성화하면 루트 사용자 자격 증명만 영향을 받습니다. 계정의 IAM 사용자는 고유한 자격 증명을 사용하는 고유한 ID이며 각 ID에는 고유한 MFA 구성이 있습니다.

자세한 내용은 가상 Multi-Factor Authentication(MFA) 디바이스 활성화(콘솔)를 참조하세요.

계정 정보 확인

AWS에서 사용자에게 연락하여 계정 문제를 해결하려면 정확한 계정 정보가 필요합니다. 계정의 정보가 올바른지 확인합니다.

  1. 계정 이름 및 이메일 주소
  2. 연락처 정보, 특히 전화 번호
  3. 계정의 대체 연락처

AWS Support에 문의

AWS에서 계정에 대한 알림을 보낸 경우 AWS 지원 센터에 로그인한 다음, 알림에 응답합니다.

계정으로 로그인할 수 없는 경우 문의처 양식을 사용하여 AWS Support의 도움을 요청하십시오.

질문이나 우려 사항이 있는 경우 AWS 지원 센터에서 새로운 AWS Support 사례를 생성합니다.

참고: AWS 액세스 키, 암호 또는 신용카드 정보 등 민감한 정보는 통신에 포함하지 마십시오.

AWS Git 프로젝트를 사용하여 무단 사용 증거 스캔

AWS에서는 계정을 보호하는 데 도움이 되도록 설치 가능한 Git 프로젝트를 제공합니다.

  • Git Secrets는 병합, 커밋 및 커밋 메시지를 스캔하여 보안 정보(즉, 액세스 키)를 확인할 수 있습니다. 금지된 정규식이 감지되면 Git Secrets가 퍼블릭 리포지토리에 게시되지 않도록 해당 커밋을 거부할 수 있습니다.
  • AWS Step Functions 및 AWS Lambda를 사용하여 AWS Health에서 또는 AWS Trusted Advisor를 통해 Amazon CloudWatch Events를 생성합니다. 액세스 키가 노출되었다는 증거가 있는 경우 프로젝트를 통해 이벤트를 자동으로 감지, 로깅 및 완화할 수 있습니다.

일상적인 작업에 루트 사용자 사용 방지

AWS 계정 루트 사용자의 액세스 키를 사용하면 결제 정보를 비롯한 모든 AWS 리소스에 대한 전체 액세스 권한이 부여됩니다. AWS 계정 루트 사용자 액세스 키와 관련된 권한은 줄일 수 없습니다. 절대적으로 필요한 경우가 아니면 루트 사용자 액세스를 사용하지 않는 것이 좋습니다.

AWS 계정 루트 사용자에 대한 액세스 키가 아직 없는 경우 반드시 필요한 경우가 아니면 생성하지 마십시오. 대신 관리자 권한이 있는 IAM 사용자를 생성합니다. AWS 계정 이메일 주소와 암호를 사용하여 AWS Management Console에 로그인하여 IAM 사용자를 생성할 수 있습니다.

자세한 내용은 AWS 계정 루트 사용자 액세스 키 잠그기를 참조하세요.

AWS 보안 모범 사례 따르기

계정 및 해당 리소스를 보호할 때 고려해야 할 모범 사례에 대한 자세한 내용은 AWS 계정과 리소스를 보호하기 위한 모범 사례는 무엇입니까?를 참조하세요. 그러나 이러한 모범 사례 중 일부는 사용자 환경에 적합하지 않거나 충분하지 않을 수 있습니다. 이러한 보안 모범 사례는 완전한 보안 솔루션이 아닌 일반적인 지침으로 간주되어야 합니다.