[AWS] AWS 계정 해킹 당한 후기 (진행중)

 

데이터분석 플랫폼 출시를 목표로 달리고 있던 중 AWS에서 심상치 않은 메일이 도착했다.

 

AWS에서 수시로 광고메일, 안내메일이 오는지라 대수롭지 않게 넘기지만, 이번엔 달랐다.

 

---

 

1. Your AWS Abuse Report 귀하의 AWS 남용 보고서

 

> 현재 크롤링 서비스를 개발중에 있었기 때문에, 그것과 관련된건가 싶었다.

> 하지만 나는 EC2를 사용하지 않는데 EC2에 이상이 있다 해서 이상했던 첫 메일

 

---

 

2. AWS 확인

> 엄청나게 많은 인스턴스들이 생성되어 있었다.

> 실시간으로 비용이 나가는 상황이여서 즉각 조치가 필요한 상황. 모두 종료

 

> IAM 확인시 만들지 않은 사용자 이름이 존재했다. 삭제

 

---

 

3. 1차 조치

너무나도 허술하게 AWS 를 사용했다. 즉시 아래와 같은 조치를 취했다.

> 모든 IAM 계정 및 루트 계정에 MFA 설정

> 루트 및 IAM 계정 비밀번호 변경

 

 

4. AWS의 2차 알람 (Amazon Web Services Support)

> 해커는 비밀번호 변경과 MFA 설정을 비웃듯이 다시 내 계정에 접속을 성공해 무려 비즈니스 플랜을 결제해버린다.

 

---

 

5. AWS의 3차 알람 (AWS 계정에 부적절하게 액세스했을 수 있습니다.)

 

> 누군가 다시 접속한게 확인 됐고 그 중에 한 IAM 계정의 엑세스 키가 누출된것을 확인

   > 해당 IAM 엑세스키 재설정

   > 유출된 경로를 찾아 .env 파일에 숨김 조치

   > 루트 계정에 엑세스 키 제거

> 유출된 iam 엑세스키로 새로운 iam생성 가능 권한이 있음을 확인

   > IAM 계정의 권한 중 adminFullAccess 제거

 

 

---

 

6. 환불 요청 및 Support 진행

> 해커가 결제한 비즈니스 플랜과 해킹으로 피해받은 EC2 인스턴스 가동금액 환불을 요청했다.

> 후속 보안조치를 요구

a-1~5 중에서 2가지 이상 설정을 요청    a-1. Budgets    a-2. CloudWatch    a-3. CloudTrail    a-4. Trusted Advisor    a-5. Cost Anomaly Detection b-1,2 중에서 1가지 이상 설정을 요청    b-1. Security Hub    b-2. GuardDuty

 

> 요구사항에 맞게 설정하고 환불을 요청중이다.

> 안그래도 보안조치를 진행하려고 하던 차에 이렇게 급하게 설정해두게 될지 몰라서 당황했지만 차근차근 보안을 강화해나갔다.

> 해킹 3억 후기 2천만원 후기를 이전에 봤었기에 더 살떨렸지만,, 잘 끝나가는것 같아보인다.

 

to be continued...

 

---

 

7. 그렇게 보안이슈를 거쳐서 우여곡절끝에 런칭한 서비스는 아래와 같다.

https://dbstndi6316.tistory.com/406

노코드 Data 분석 서비스 개발&런칭