감성개발자의 Blog

Article

AWS 계정 해킹 시 신속한 복구 절차와 4단계 대응 가이드

AWS 계정 해킹, 황당하지만 대비책은 있습니다

AWS 계정이 해킹되는 일은 많은 개발자들이 충분히 신경 써야 할 문제입니다. 특히 개발 초기 단계에서 보안에 소홀했다면 언제든 발생할 수 있습니다. 다행히 신속한 대응으로 피해를 최소화할 수 있습니다. 실제 경험을 바탕으로 AWS 계정 침해 시 취해야 할 조치를 단계별로 설명하겠습니다.

실제 발생했던 피해 사례

월평균 13만 원대의 요금을 내던 AWS 계정에서 갑자기 보안 알림이 들어왔습니다. 확인해보니 각 리전별로 고사양의 EC2 인스턴스가 20개씩 무단으로 생성되어 실행 중이었습니다. 단 2주일 만에 요금이 2배 이상 청구될 뻔했습니다. 다행히 발견 후 약 30분 이내에 대응할 수 있었고, AWS 지원팀의 도움으로 손실을 최소화했습니다.

긴급 복구 4단계: 순서가 중요합니다

1단계: IAM 권한 즉시 제거

가장 먼저 모든 액세스 키와 IAM 권한을 완전히 삭제합니다.

많은 사람이 실수하는 부분이 인스턴스를 먼저 삭제하려는 것입니다. 하지만 공격자의 권한이 남아있으면 인스턴스 삭제 속도보다 빠르게 새로운 리소스가 생성됩니다. 따라서 액세스 권한부터 차단해야 추가 과금을 방지할 수 있습니다.

AWS Management Console → IAM → Users/Access Keys 메뉴에서 모든 활성 키를 비활성화하거나 삭제하세요.

2단계: 비정상 리소스 삭제

각 리전별로 의심스러운 EC2 인스턴스를 모두 종료합니다.

AWS는 전 세계 여러 리전으로 나뉘어 있습니다. 공격자는 다양한 리전에 인스턴스를 분산시킬 가능성이 높습니다. 리전 선택기를 통해 모든 지역을 꼼꼼히 확인하고, 본인이 생성하지 않은 인스턴스는 즉시 종료(Terminate)하세요. 중지(Stop)가 아닌 종료를 해야 추가 요금이 청구되지 않습니다.

RDS, S3 버킷, EBS 볼륨 등 다른 리소스도 함께 확인하는 것이 좋습니다.

3단계: 비밀번호와 세션 재설정

AWS Management Console 비밀번호를 변경합니다.

비밀번호는 단순 변경이 아닌 ‘비밀번호 찾기’ 절차를 통해 재설정하는 것을 AWS에서 권장합니다. 이 방법이 이전 세션의 모든 토큰을 무효화할 수 있기 때문입니다. 또한 Multi-Factor Authentication(MFA)를 반드시 활성화하세요.

4단계: AWS 지원팀에 정식 신고

보안 사건을 AWS 지원센터에 공식 보고합니다.

AWS 지원팀은 보안 침해 사건에 대해 첫 발생 시 일정 부분의 요금을 감면해줄 수 있습니다. 신속한 보고가 비용 손실을 줄이는 데 매우 중요합니다.

콘솔 우측 상단 지원 메뉴 → 지원센터 → 사례 생성에서 침해 상황을 상세히 작성하여 제출하세요. 영문으로 작성하면 더 빠른 응답을 받을 수 있습니다.

해킹을 예방하는 실무적 보안 전략

이런 상황을 미연에 방지하기 위해 다음 조치들을 항상 실천해야 합니다.

첫째, 액세스 키 관리의 철저함

  • AWS 액세스 키를 소스 코드나 Git 저장소에 절대 커밋하면 안 됩니다.
  • 환경 변수나 AWS Secrets Manager 같은 보안 도구를 사용하세요.
  • 개발/프로덕션 계정은 반드시 분리하세요.

둘째, IAM 권한의 최소화

  • 모든 사용자와 역할에 최소 권한 원칙(Principle of Least Privilege)을 적용합니다.
  • 불필요한 권한은 정기적으로 감사하고 제거합니다.
  • Root 계정 사용은 절대 금지하고 IAM 사용자만 사용합니다.

셋째, 감시와 로깅

  • CloudTrail을 반드시 활성화하여 모든 API 활동을 기록합니다.
  • CloudWatch를 통해 의심스러운 활동을 자동으로 감지합니다.
  • 월간 청구 알림을 설정하여 비정상적인 요금 증가를 즉시 감지합니다.

넷째, MFA와 강력한 비밀번호

  • AWS Management Console과 모든 IAM 사용자에 MFA를 활성화합니다.
  • 비밀번호는 주기적으로 변경하고 강도 있는 것을 사용합니다.

마치며

AWS 보안은 ‘한 번 설정하고 끝’이 아닙니다. 지속적인 주의와 정기적인 감사가 필요합니다. 만약 지금 AWS를 사용 중이라면 위의 보안 조치들이 제대로 적용되어 있는지 지금 바로 확인해보시길 권장합니다. 혹시 의심스러운 활동이 발견된다면 주저하지 말고 즉시 AWS 지원팀에 연락하세요.

댓글