생성한 적 없는 리소스가 AWS Management Console에 있습니다.

-또는-

AWS 리소스 또는 계정이 공격을 당했다는 알림을 받았습니다. 어떻게 해야 합니까?

계정이 공격 당한 것으로 의심되면 다음과 같이 하십시오.

AWS 계정 루트 사용자 암호 및 모든 IAM 사용자의 암호 변경

AWS 계정 루트 사용자 암호를 변경하는 방법은 AWS 계정 루트 사용자 암호 변경을 참조하십시오.

IAM 사용자의 암호를 변경하는 방법은 IAM 사용자의 암호 관리를 참조하십시오.

계정이 무단 사용되지 않도록, 모범 사례로서 정기적으로 암호를 변경하는 것이 좋습니다. 자세한 내용은 AWS 보안 모범 사례 백서를 참조하십시오.

모든 AWS 액세스 키 삭제 또는 교체

더 이상 필요 없거나, 생성한 적이 없는 AWS 액세스 키가 발견되면 해당 액세스 키를 삭제합니다.

애플리케이션에서 액세스 키를 현재 사용 중인 경우 해당 키를 새 키로 바꿉니다.

  1. 두 번째 키를 생성하고 애플리케이션이 새 키를 사용하도록 수정합니다.
  2. 첫 번째 키를 비활성화합니다(삭제하지는 않음).
  3. 애플리케이션에 문제가 있는 경우 키를 임시로 다시 활성화합니다. 애플리케이션이 완벽하게 작동하고 첫 번째 키가 비활성화된 상태인 경우 첫 번째 키를 삭제합니다.
  4. 본인이 생성하지 않은 IAM 사용자를 삭제합니다.

AWS 액세스 키는 계정 암호와 동일하게 취급해야 합니다.

자세한 AWS 보안 모범 사례는 AWS 보안 모범 사례 백서를 참조하십시오.

공격 당한 정황이 있는 IAM 사용자 모두 삭제

  1. IAM 콘솔을 엽니다.
  2. 목록에서 IAM 사용자를 하나씩 선택한 후 [Permissions policies] 아래에서 [AWSExposedCredentialPolicy_DO_NOT_REMOVE]라는 정책이 있는지 확인합니다. 이 정책이 연결되어 있는 사용자는 삭제해야 합니다.
  3. 본인이 생성하지 않은 IAM 사용자를 삭제합니다.
  4. 본인이 생성했고 유지하려는 IAM 사용자의 경우 암호를 변경합니다.

알 수 없거나 승인되지 않은 리소스 모두 삭제

AWS 계정에 로그인한 후 계정에서 시작된 모든 리소스가 자신이 시작한 리소스가 맞는지 확인합니다. AWS 리소스를 시작한 적이 없는 리전을 포함해 모든 AWS 리전을 확인합니다. 다음 리소스에 특히 유의하십시오.

특정 AWS 서비스와 관련된 리소스를 삭제하는 방법을 잘 모르는 경우 AWS 설명서에 있는 해당 서비스의 설명서를 참조하십시오.

AWS Support에 문의

AWS로부터 계정과 관련한 알림을 받으면 AWS 지원 센터에 로그인하여 알림에 대응하십시오.

계정으로 로그인할 수 없는 경우 문의처 양식을 사용하여 AWS Support의 도움을 요청하십시오.

질문이나 우려 사항이 있는 경우 AWS 지원 센터에서 새 AWS Support 케이스를 생성하십시오.

참고: AWS 액세스 키, 암호, 신용카드 정보 등 민감한 정보는 이메일에 포함하지 마십시오.

AWS Git 프로젝트를 사용하여 공격 증거 스캔

AWS가 제공하는 Git 프로젝트를 설치하면 계정을 보호하는 데 유용하게 활용할 수 있습니다.

  • Git Secrets는 보안 정보(액세스 키)의 병합, 커밋 및 커밋 메시지를 스캔할 수 있습니다. 금지된 정규식이 감지되면 Git Secrets가 퍼블릭 리포지토리에 게시되지 않도록 해당 커밋을 거부할 수 있습니다.
  • AWS Step Functions 및 AWS Lambda를 사용하여 AWS Health에서 또는 Trusted Advisor를 통해 Amazon CloudWatch Events를 생성합니다. 액세스 키가 유출된 증거가 있으면 프로젝트를 활용해 이벤트를 자동으로 감지하고 기록하고 해결할 수 있습니다.

페이지 내용이 도움이 되었습니까? | 아니요

AWS 지원 지식 센터로 돌아가기

도움이 필요하십니까? AWS 지원 센터를 방문하십시오.

게시 날짜: 2016년 10월 26일

업데이트 날짜: 2019년 2월 12일