AWS 해킹 기록..

이번에 곧 런칭하려던 서비스의 AWS 계정이 해킹을 당했다.

하루만에 75달러가 찍혔다..!

 

보안을 위해 꼭 해야 할 일들 (결론)

무조건 루트 계정에는 액세스 키를 생성하지 말고, 각 사용자마다 IAM을 발급받고 최소한의 권한만 생성하여 각각 기기별 MFA를 추가해줘야 한다.

 

이번 AWS 계정에는 루트 계정도 MFA를 추가했고 액세스 키를 생성하지 않았는데,

문제는 다른 개발자들 쓰기 편하게 IAM을 하나 만들었는데, MFA 없이 과한 권한을 주었던 게 큰 실수였다.

 

그리고 급한 것들은 모두 처리 했으면, 꼭 예산 생성해서 알림이 오게끔 설정하자.

 

 

찾아보다가 본 유튜브 영상 - 현재 상황과 매우 비슷하다.

https://youtu.be/vqDmY1UV_hM?si=ijn07SVOJeMkVPBi

 

 

 

우선 당시 상태를 보자면, (현재는 전부 다운)

 

 

이렇게 internal 이라는 명으로 인스턴스가 3개 생성되어 있었다.

이게 서울 리전에만 3개지, 다른 리전들에도 여러 개가 생성되어 있었다....

스펙도 c5를 사용했고, 보안 그룹과 키 페어 모두 비슷한 이름으로 여러 개를 생성했다.

 

 

 

 

 

 

이건 혹시 몰라 캡쳐해둔 악의적으로 생성된 인스턴스의 상세 내용이다.

 

 

 

 

 

그리고 aws 해킹을 당하면 꼭 확인해야 할 것이 있는데,

CloudTrail을 들어가서 이벤트 기록을 꼭 확인해야 한다.

그러면 아래 사진처럼 여러 개의 이벤트를 확인할 수 있다.

키 페어를 생성했는지, 보안 그룹을 생성했는지, 인스턴스를 생성하고 삭제했는지 등등

모든 기록을 시간과 함께 어떤 사용자로 했는 지도 모두 나온다.