AWS 해킹으로 700만원 내다버릴 뻔한 이야기

AWS 해킹으로 700만원 내다버릴 뻔한 이야기

이 글은 해커에게 AWS 계정을 해킹당해 700만원의 청구서를 받고, 이를 해결하기까지의 과정을 담은 기록입니다. 조용한 금요일 저녁, 판도라의 상자를 열고야 말았다. 컴퓨터 정보를 백업하려고 한동안 안 쓰던 외장하드를 연동한 것이 화근이었다. 외장하드에는 멀웨어바이러스가 심어져 있었고, 나도 모르는 사이에 내 컴퓨터에 있던 서버 인증키를 탈취당했다. AWS에서 메일이 도착했다. 비정상적인 사용이 감지되고 있으니 빨리 확인하라는 것이었다.

하지만 나는 이 메일을 미처 확인하지 못했다.


보안 강화
보안 강화

보안 강화

추가 해킹을 방지하기 위해, 비밀번호를 변화시키고 2단계 인증을 설정합니다. 더보기 설정 비밀번호 및 보안을 들어가면 됩니다. 계정 센터 2단계 인증 방법으로는 인증 앱이나 sms 등이 있는데, 인증 앱 설정방법은 아래와 같다. 나는 최우선으로 해킹된 계정의 비밀번호와 2단계 인증을 설정하고, 그것도 불안해서 등등 개인 계정도 모두 비번과 2단계 인증을 설정했다.

7월 20일 오후 4시
7월 20일 오후 4시

7월 20일 오후 4시

고객 지원에 들어가보니 이미 해킹 건으로 Case가 생성이 되어 있었어요. 번역기를 돌려가며 영어로 상황을 설명했다. 얼마 안가 국제전화가 왔다. 전화를 받아보니 AWS 본사였고, 안내원이 영어로 이것저것을 안내해줬습니다. AWS 최근 비정상적인 트래픽이 감지됐는데, 너 해킹 당한거 맞지? 나 네. 이거 제가 만든거아니고 저 학생이에요 AWS 그러면 첫째 해커가 만든 서버부터 끄자안내에 따라 모든 조치를 취함 AWS 우선은 이걸로 됐어. 이 Case를 보안팀에 보낸다음 검증 후에 너의 Billing Concern을 해결해줄게 혹시라도 놓치는 내용이 있을까 초집중하면서 들었다.

수능 영어를 볼 때도 이정도로 떨리진 않았던 것 같다. 이후 구글에 AWS 해킹 손해 후기를 찾아봤다.

파일 검사

바이러스 토탈에 들어가면 위와 같이 생겼습니다. 다운로드 받은 첨부 파일 넣고 돌리면 수십종의 최신 백신 엔진으로 해당 파일이 이상이 있는지 없는지를 검사해 줍니다. 정보를 선택해서Choose file 업로드하면 검사를 시작합니다. 검사시간은 다소 길어도 십수초 이내에 끝납니다. 만약에 전세계 누군가 나와같은 정보를 이미 검사했다면 기다림없이 해당 검사 결과를 바로 보여 줍니다.

악성코드가 감염되면 위와같은 빨갛게 물든 색으로 감염판정을 내린 엔진들이 표기됩니다.

저 위에 우리나라의 자랑스런? 안랩과 알약도 보이네요. 요 샘플에서는 총 56개 엔진 중 27개가 악성으로 판정했는데, 이쯤되면 악성코드가 확실합니다. 그 수가 12개로 적을 때는 비록 악성 판정이 있었지만 안전하다고 보셔도 됩니다.

ECS 클러스터 삭제

ECS 클러스터에 들어가서 사용하지 않는 클러스터를 삭제합니다. 하지만 삭제가 부드럽게 되지 않습니다. 어쩌면 사용중인 서비스인 경우엔 삭제가 잘 안 되는 것 같습니다. . Support center에서 아래 매뉴얼을 참고해서 삭제하라고 합니다. 이거 사용해 해결을 시작합니다. cloudformation stack 스택 세부 정보에서 실패한 스택을 찾아서 지우면 됩니다. 뭐가 연결되어서 안된다고 안내해 주는데, 따라가서 지워주세요. 모두 지우고나서 클러스터 삭제를 다시 시도하면 삭제를 완료할 수 있습니다.

로그인 보안 서비스 3가지 중 1개 수행

로그인보안 연관 서비스 3가지 중 1개를 수행해야 합니다. 종류는 MFA 보안 허브 Guard duty가 있습니다. 보안 허브 GuardDuty 쉬운 거 하면 될 것 같은데요. 저는 Security hub 가 쉬워 보여서 그거 했습니다.

비용 및 사용량 모니터링 서비스 2개 이상 설정 다음 서비스 중 두 개 이상을 설정하여 비용 및 사용량을 모니터링합니다. budget 설정 CloudWatch CloudTrail Advisor 저는 Cloud trail과 budget을 설정했습니다.

쉬워 보이는 것 했습니다. 시키는 모든 조치를 완료하면 이제 드디어 비용 조정검토에 들어갑니다. 이상 비용 기간을 알려주면 본사에서 검토하여 이상 비용 여부를 확인해 줍니다. 모든 조치 이후에는 기다리는 시간 빼고는 생각보다. 수월하게 넘어갑니다.

자주 묻는 질문

보안 강화

추가 해킹을 방지하기 위해, 비밀번호를 변화시키고 2단계 인증을 설정합니다. 궁금한 사항은 본문을 참고하시기 바랍니다.

7월 20일 오후 4시

고객 지원에 들어가보니 이미 해킹 건으로 Case가 생성이 되어 있었어요. 더 알고싶으시면 본문을 클릭해주세요.

파일 검사

바이러스 토탈에 들어가면 위와 같이 생겼습니다. 궁금한 사항은 본문을 참고하시기 바랍니다.

Leave a Comment