클라우드 매뉴얼

Home > 클라우드 > 글로벌 클라우드 > AWS > AWS 보안 강화하기

AWS 계정 침해 사고 발생 시 대응 AWS 계정 침해 사고 발생 시 대응

AWS 계정 정보 탈취가 발생할 경우 인프라 데이터 손실, 무작위 자원 생성, 그에 따른 서비스 이용 요금 과다 발생 등 서비스 이용에 심각한 위험이 발생할 수 있습니다.

 

AWS의 [공동 책임 모델]에 따라 계정 관리 소홀로 인한 모든 책임은 고객에게 있습니다.

 

아래는 공동 책임 모델에 대한 AWS의 설명입니다.

 

보안과 규정 준수는 AWS와 고객의 공동 책임입니다. 

 

이 공유 모델은 AWS가 호스트 운영 체제 및 가상화 계층에서 서비스가 운영되는 시설의 물리적 보안에 이르기까지 구성 요소를 운영, 관리 및 제어하므로 고객의 운영 부담을 경감할 수 있습니다. 


고객은 게스트 운영 체제(업데이트 및 보안 패치 포함) 및 다른 관련 애플리케이션 소프트웨어를 관리하고 AWS에서 제공한 보안 그룹 방화벽을 구성할 책임이 있습니다. 고객은 서비스를 선택할 때 신중하게 고려해야 합니다. 


고객의 책임이 사용되는 서비스, IT 환경에서 이러한 서비스의 통합, 그리고 관계 법규에 따라 달라지기 때문입니다. 또한, 이러한 공동 책임의 특성은 배포를 허용하는 고객 제어권과 유연성을 제공합니다. 


아래 차트에서 볼 수 있듯이 이러한 책임의 차이를 일반적으로 클라우드'의' 보안과 클라우드'에서의' 보안이라고 부릅니다.


AWS 책임 '클라우드의 보안' – AWS는 AWS 클라우드에서 제공되는 모든 서비스를 실행하는 인프라를 보호할 책임이 있습니다. 이 인프라는 AWS 클라우드 서비스를 실행하는 하드웨어, 소프트웨어, 네트워킹 및 시설로 구성됩니다.


고객 책임 '클라우드에서의 보안' – 고객 책임은 고객이 선택하는 AWS 클라우드 서비스에 따라 달라집니다. 이에 따라 고객이 보안 책임의 일부로 수행해야 하는 구성 작업량이 정해집니다. 


예를 들어, Amazon Elastic Compute Cloud (Amazon EC2) 같은 서비스는 IaaS(Infrastructure as a Service)로 분류되고 고객이 필요한 모든 보안 구성 및 관리 작업을 수행하도록 요구합니다. Amazon EC2 인스턴스를 배포하는 고객은 게스트 운영 체제의 관리(업데이트, 보안 패치 등), 고객이 인스턴스에 설치한 모든 애플리케이션 소프트웨어 또는 유틸리티의 관리, 인스턴스별로 AWS에서 제공한 방화벽(보안 그룹이라고 부름)의 구성 관리에 대한 책임이 있습니다. 


Amazon S3 및 Amazon DynamoDB와 같은 추상화 서비스의 경우, AWS는 인프라 계층, 운영 체제, 플랫폼을 운영하고 고객은 데이터를 저장하고 검색하기 위해 엔드포인트에 액세스합니다. 고객은 데이터 관리(암호화 옵션 포함), 자산 분류, 적절한 허가를 부여하는 IAM 도구 사용에 책임이 있습니다.

 

 

출처 : AWS 공동 책임 모델

 

이에 따라, 혹시라도 발생할 수 있는 계정 침해 사고 피해를 최소화하기 위해 대응 방법을 숙지하시기 바랍니다.

 

1. AWS 계정에 무단 활동이 있었는지 확인합니다.

 

  1) 승인되지 않은 IAM 사용자 혹은 역할이 생성되었는지 확인합니다. 승인된 IAM 사용자 혹은 역할이 마지막으로 사용된 시간을 확인합니다.

 

  2) 승인되지 않은 EC2 리소스가 생성되었는지 확인합니다.
     [모든 리전의 EC2 리소스를 확인할 수 있는 대시보드 바로가기]


  3) AWS CloudTrail 로그에서 승인되지 않은 활동이 있는지 확인합니다.
     [CloudTrail > 이벤트 기록 바로가기]


  4) AWS 요금 및 사용량을 확인합니다.
     [가비아 AWS 빌링 콘솔 바로가기]

 

2. 계정 침해 사고가 의심될 경우, 즉시 AWS에 신고합니다.

 

AWS에서도 계정 이상 징후를 모니터링하고 있으나, 고객의 AWS 계정을 안전하게 지키는 것은 1차적으로 고객 책임 영역에 포함됩니다.


AWS 콘솔에서 생성한 적이 없는 리소스가 확인되거나 AWS 리소스 또는 계정이 공격당했다는 알림을 받았다면, 보안 사고가 의심되므로 즉시 AWS에 신고하시기 바랍니다.

 

[Report Amazon AWS abuse]에 작성하거나 이메일(abuse@amazonaws.com)로 연락할 수 있습니다.

 

3. 승인되지 않은 활동을 삭제하거나 계정 정보를 변경하여 추가적인 보안 사고를 차단합니다.

  1) 루트 사용자 및 IAM 사용자의 암호를 변경합니다.


  2) 애플리케이션에서 사용 중인 액세스 키가 노출된 경우, 액세스 키를 비활성하고 새로운 액세스 키를 생성합니다.


  3) 승인되지 않은 것으로 확인된 액세스 키, IAM 사용자, 정책, 역할 또는 임시 보안 자격 증명을 삭제합니다.


  4) 알 수 없거나 승인되지 않은 리소스를 삭제합니다.


  5) 백업된 리소스로 복구합니다.


  6) 다음 정보가 모두 올바른지 확인합니다.

  • 계정 이름 및 이메일 주소
  • 연락처 정보(전화번호가 올바른지 확인)
  • 대체 연락처


  7) 2차 인증을 위한 MFA를 설정합니다.
     [멀티 팩터 인증(MFA) 적용 안내 매뉴얼 바로가기]

 

※ 참고

 

  • AWS

    • 빌링콘솔 기능 안내

    • API 키 발급 안내

    • AWS 예산 초과 알림 설정하기

    • AWS 예산 초과 알림 수정하기

    • 멀티 팩터 인증(MFA) 적용 안내

    • 멀티 팩터 인증(MFA) 분실 시 대응 방법 안내

    • AWS 보안 강화하기

    • 퍼블릭 IP 인사이트 활용하기