AWS 계정에서 무단 활동이 발견되면 어떻게 해야 합니까?

최종 업데이트 날짜: 2022년 5월 11일

생성한 적 없는 리소스가 AWS 관리 콘솔에 있습니다.

-또는-

AWS 리소스 또는 계정이 공격을 당했다는 알림을 받았습니다.

간략한 설명

AWS 계정에서 무단 활동이 의심되는 경우 먼저 다음을 수행하여 활동이 승인되지 않았는지 확인합니다.

  • 계정의 AWS Identity and Access Management(IAM) 자격 증명에 의해 취해진 무단 조치를 식별합니다.
  • 계정에 대한 무단 액세스 또는 변경을 식별합니다.
  • 승인되지 않은 리소스 또는 IAM 사용자의 생성을 식별합니다.

그런 다음 무단 활동이 표시되면 이 문서의 AWS 계정에 무단 활동이 발생한 경우 섹션의 지침을 따릅니다.

참고: 계정에 로그인할 수 없는 경우 AWS 계정에 로그인하거나 액세스하는 데 문제가 있으면 어떻게 해야 합니까?를 참조하세요.

해결 방법

AWS 계정에 무단 활동이 있었는지 확인

계정의 IAM 자격 증명에 의해 취해진 무단 조치 식별

  1. 각 IAM 사용자 암호 또는 액세스 키가 마지막으로 사용된 시간을 확인합니다. 지침은 AWS 계정에 대한 자격 증명 보고서 가져오기를 참조하세요.
  2. 최근에 사용된 IAM 사용자, 사용자 그룹, 역할 및 정책을 확인합니다. 지침은 IAM에 대해 마지막으로 액세스한 정보 보기 단원을 참조하세요.

계정에 대한 무단 액세스 또는 변경 사항 식별

지침은 특정 IAM 사용자, 역할, AWS 액세스 키의 계정 활동을 모니터링하려면 어떻게 해야 합니까?를 참조하세요. AWS 계정의 비정상적인 리소스 활동을 해결하려면 어떻게 해야 합니까?도 참조하세요.

승인되지 않은 리소스 또는 IAM 사용자의 생성 식별

예상치 못한 서비스, 리전 또는 계정에 대한 요금을 포함하여 승인되지 않은 리소스 사용을 식별하려면 다음을 검토합니다.

참고: AWS Cost Explorer를 사용하여 AWS 계정과 연결된 요금 및 사용량을 검토할 수도 있습니다. 자세한 내용은 Cost Explorer를 사용해 지출과 사용량을 분석하려면 어떻게 해야 합니까?를 참조하세요.

AWS 계정에 무단 활동이 있었던 경우

중요: AWS로부터 계정과 관련한 알림을 받으면 먼저 AWS Support Center에서 알림에 대응합니다. 이어서, 다음 작업을 수행합니다.

모든 AWS 액세스 키 교체 및 삭제

  1. 새 AWS 액세스 키를 생성합니다.
  2. 새 키를 사용하도록 애플리케이션을 수정합니다.
  3. 원래 액세스 키를 비활성화합니다.
    중요: 아직 원래 액세스 키를 삭제하지 마십시오. 원래 액세스 키만 비활성화합니다.
  4. 애플리케이션에 문제가 없는지 확인합니다. 문제가 있는 경우 원래 액세스 키를 일시적으로 다시 활성화하여 문제를 해결합니다.
  5. 원래 액세스 키를 비활성화한 후 애플리케이션이 제대로 작동하는 경우 원래 액세스 키를 삭제합니다.
  6. 더 이상 필요하지 않거나 생성하지 않은 AWS 계정 루트 사용자 액세스 키를 삭제합니다.

자세한 내용은 AWS 액세스 키 관리 모범 사례IAM 사용자의 액세스 키 관리 단원을 참조하세요.

권한이 없는 IAM 사용자 자격 증명 교체

  1. IAM 콘솔을 엽니다.
  2. 왼쪽 탐색 창에서 사용자를 선택합니다. AWS 계정의 IAM 사용자 목록이 표시됩니다.
  3. 목록에서 첫 번째 IAM 사용자의 이름을 선택합니다. IAM 사용자의 요약 페이지가 열립니다.
  4. 권한 탭의 권한 정책 섹션에서 AWSExposedCredentialPolicy_DO_NOT_REMOVE라는 이름의 정책을 찾습니다. 사용자가 이 정책을 연결한 경우 사용자의 액세스 키를 교체합니다.
  5. 계정의 각 IAM 사용자에 대해 3단계와 4단계를 반복합니다.
  6. 본인이 생성하지 않은 IAM 사용자를 삭제합니다.
  7. 본인이 생성했고 유지하려는 모든 IAM 사용자의 암호를 변경합니다.

임시 보안 자격 증명을 사용하는 경우 IAM 역할 임시 보안 자격 증명 취소 단원을 참조하세요.

알 수 없거나 승인되지 않은 리소스 모두 삭제

1.    AWS 관리 콘솔에 로그인합니다. 그런 다음 계정의 모든 리소스가 시작한 리소스인지 확인합니다. 리소스를 시작한 적이 없는 리전을 포함하여 모든 AWS 리전에서 리소스를 찾아야 합니다. 또한 다음 리소스 유형에 특히 유의합니다.

2.    알 수 없거나 승인되지 않은 리소스를 모두 삭제합니다. 지침은 AWS 계정에서 더 이상 필요하지 않은 활성 리소스를 종료하려면 어떻게 해야 합니까?를 참조하세요.

중요: 조사를 위해 리소스를 보관해야 하는 경우 해당 리소스를 백업하는 것이 좋습니다. 예를 들어 규제, 규정 준수 또는 법적 이유로 EC2 인스턴스를 유지해야 하는 경우 인스턴스를 종료하기 전에 Amazon EBS 스냅샷을 생성합니다.

백업된 리소스 복구

백업을 유지 관리하도록 서비스를 구성한 경우 마지막으로 알려진 손상되지 않은 상태에서 해당 백업을 복구합니다.

특정 유형의 AWS 리소스를 복원하는 방법에 대한 자세한 내용은 다음을 참조하세요.

계정 정보 확인

AWS 계정에서 다음 정보가 모두 올바른지 확인합니다.

참고: AWS 계정 보안 모범 사례에 대한 자세한 내용은 AWS 계정 및 해당 리소스를 보호하기 위한 모범 사례는 무엇입니까?를 참조하세요.