AWS 계정 침해 사고 대응

보안과 규정 준수는 AWS와 고객의 공동 책임입니다. 이 공유 모델은 AWS가 호스트 운영 체제 및 가상화 계층에서 서비스가 운영되는 시설의 물리적 보안에 이르기까지 구성 요소를 운영, 관리 및 제어하므로 고객의 운영 부담을 경감할 수 있습니다. 고객은 게스트 운영 체제(업데이트 및 보안 패치 포함) 및 다른 관련 애플리케이션 소프트웨어를 관리하고 AWS에서 제공한 보안 그룹 방화벽을 구성할 책임이 있습니다. 고객은 서비스를 선택할 때 신중하게 고려해야 합니다. 고객의 책임이 사용되는 서비스, IT 환경에서 이러한 서비스의 통합, 그리고 관계 법규에 다라 달라지기 때문입니다. 또한, 이러한 공동 책임의 특성은 배포를 허용하는 고객 제어권과 유연성을 제공합니다. 아래 차트에서 볼 수 있듯이 이러한 책임의 차이를 일반적으로 클라우드'의' 보안과 클라우드'에서의' 보안이라고 부릅니다.

• 공동 책임 모델

Step 1. 의심되는 즉시 보안 사고 신고 합니다.

고객은 AWS 계정 침해가 되지 않도록 AWS 계정을 안전하게 구성하는 것이 가장 중요합니다. AWS에서도 계정 이상 징후를 모니터링 하고는 있지만 고객의 AWS 계정을 안전하게 지키는 것은 1차적으로는 고객 책임 영역에 포함됩니다. 사용 중 계정 이상 징후가 있거나, 보안 사고가 의심되는 즉시 아래 링크로 신고하시기 바랍니다.

Step 2. AWS Abuse report 안내 절차를 따릅니다.

1. 유출/노출된 IAM Root 및 IAM User 비밀번호, IAM access key 를 변경/삭제 합니다.

2. CloudTrail log에서 임의로 생성된 IAM User, Role, Policy, 임시 패스워드 등이 있는지 확인 후 삭제 합니다.

3. CloudTrail log에서 임의로 생성된 AWS 리소스(EC2, VPC 등)를 확인 후 삭제합니다. 평소에 사용하지 않는 리전에서도 AWS 리소스가 생성되어 있을 수 있습니다.

4. 가능한 경우 Billing, Cost Explorer에서 비용을 확인 합니다. 계정이 파트너사와 연계하여 사용하는 경우, 파트너사를 통해서 비용 확인 방법을 확인하시기 바랍니다.

5. Report 혹은 case 안내 절차에 따른 대응 조치를 완료 하였음을 업데이트 합니다.

Step 3. 대응 조치 상세 방법 입니다.

계정 관리

1. IAM Root 및 사용자의 비밀번호 방법입니다.
2. 노출된 Access Key 삭제하고, 새로운 Access Key를생성 하는 방법 입니다.
3. IAM Root 및 사용자에게 MFA를 활성화 합니다.

의심스러운 IAM User, 역할 및 액세스 키의 계정 활동 모니터링

유출된 Access Key를 이용하여 생성된 자원에 대한 조치

탐지 기능 활성화

Amazon GuardDuty및 Amazon Detective을 활성화하시기 바랍니다. AWS 계정이 탈취된 후에 대응 조치를 취하더라도, 아직 파악하지 되지 않은 경로로 다시 계정이 탈취되는 경우가 있습니다. AWS 계정 침해를 탐지할 수 있도록 AWS 보안 서비스를 활용합니다. Amazon GuardDuty및 Amazon Detective 서비스는 1달 동안 무료로 사용될 수 있습니다. 1달 이후에는 비용이 청구 될 수 있습니다. 이 기간 동안, 1달 사용 비용을 확인하시기 바랍니다.

추가 재발 방지 조치

2. 자원의 급격한 사용을 방지하기 위해서 결제 알림, 결제 경보를 설정합니다.
3. GitHub 등 Public으로 노출된 Repository에 Access Key가 올라가지 않도록 추가 조치를 수행합니다.

참고자료