AWS 계정에서 무단 활동이 발견되면 어떻게 해야 하나요?

간략한 설명

AWS 계정에서 무단 활동이 의심되는 경우 먼저 다음을 수행하여 활동이 승인되지 않았는지 확인합니다.

• 계정의 AWS Identity and Access Management(IAM) 자격 증명에 의해 취해진 무단 조치를 식별합니다.
• 계정에 대한 무단 액세스 또는 변경을 식별합니다.
• 승인되지 않은 리소스 생성을 식별합니다.
• 역할, 관리형 정책, 관리 변경 사항(예: AWS 조직에서 생성된 사기성 연결 계정)과 같은 승인되지 않은 IAM 리소스의 생성을 식별합니다.

그런 다음 무단 활동이 표시되면 이 문서의 AWS 계정에 무단 활동이 발생한 경우 섹션의 지침을 따릅니다.

참고: 계정에 로그인할 수 없는 경우 AWS 계정에 로그인하거나 액세스하는 데 문제가 있으면 어떻게 해야 합니까?를 참조하세요.

해결 방법

AWS 계정에 무단 활동이 있었는지 확인

계정의 IAM 자격 증명에 의해 취해진 무단 조치 식별

1. 각 IAM 사용자 암호 또는 액세스 키가 마지막으로 사용된 시간을 확인합니다. 지침은 AWS 계정에 대한 자격 증명 보고서 가져오기를 참조하세요.
2. 최근에 사용된 IAM 사용자, 사용자 그룹, 역할 및 정책을 확인합니다. 지침은 IAM에 대해 마지막으로 액세스한 정보 보기 단원을 참조하세요.

계정에 대한 무단 액세스 또는 변경 사항 식별

지침은 특정 IAM 사용자, 역할, AWS 액세스 키의 계정 활동을 모니터링하려면 어떻게 해야 합니까?를 참조하세요. AWS 계정의 비정상적인 리소스 활동을 해결하려면 어떻게 해야 합니까?도 참조하세요.

승인되지 않은 리소스 또는 IAM 사용자의 생성 식별

예상치 못한 서비스, 리전 또는 계정에 대한 요금을 포함하여 승인되지 않은 리소스 사용을 식별하려면 다음을 검토합니다.

• 계정에 대한 비용 및 사용 보고서
• AWS Trusted Advisor 확인 참조
• AWS 관리 콘솔의 청구서 페이지

참고: AWS Cost Explorer를 사용하여 AWS 계정과 연결된 요금 및 사용량을 검토할 수도 있습니다. 자세한 내용은 Cost Explorer를 사용해 지출과 사용량을 분석하려면 어떻게 해야 합니까?를 참조하세요.

AWS 계정에 무단 활동이 있었던 경우

중요: AWS로부터 계정의 비정상 활동에 대한 알림을 받은 경우 먼저 다음 지침을 따르세요. 그런 다음 완료한 작업들을 확인하면서 AWS Support Center의 알림에 응답합니다.

노출된 계정 액세스 키 교체 및 삭제

AWS Support에서 보낸 비정상적인 활동 알림에서 노출된 계정 액세스 키가 있는지 확인합니다. 키가 나열되어 있으면 해당 키에 대해 다음을 수행합니다.

1. 새 AWS 액세스 키를 생성합니다.
2. 새 키를 사용하도록 애플리케이션을 수정합니다.
3. 원래 액세스 키를 비활성화합니다.
   중요: 아직 원래 액세스 키를 삭제하지 마십시오. 원래 액세스 키만 비활성화합니다.
4. 애플리케이션에 문제가 없는지 확인합니다. 문제가 있는 경우 원래 액세스 키를 일시적으로 다시 활성화하여 문제를 해결합니다.
5. 원래 액세스 키를 비활성화한 후 애플리케이션이 제대로 작동하는 경우 원래 액세스 키를 삭제합니다.
6. 더 이상 필요하지 않거나 생성하지 않은 AWS 계정 루트 사용자 액세스 키를 삭제합니다.

자세한 내용은 AWS 액세스 키 관리 모범 사례 및 IAM 사용자의 액세스 키 관리 단원을 참조하세요.

권한이 없는 IAM 사용자 자격 증명 교체

1. IAM 콘솔을 엽니다.
2. 왼쪽 탐색 창에서 사용자를 선택합니다. AWS 계정의 IAM 사용자 목록이 표시됩니다.
3. 목록에서 첫 번째 IAM 사용자의 이름을 선택합니다. IAM 사용자의 요약 페이지가 열립니다.
4. 권한 탭의 권한 정책 섹션에서 AWSExposedCredentialPolicy_DO_NOT_REMOVE라는 이름의 정책을 찾습니다. 사용자가 이 정책을 연결한 경우 사용자의 액세스 키를 교체합니다.
5. 계정의 각 IAM 사용자에 대해 3단계와 4단계를 반복합니다.
6. 본인이 생성하지 않은 IAM 사용자를 삭제합니다.
7. 본인이 생성했고 유지하려는 모든 IAM 사용자의 암호를 변경합니다.

임시 보안 자격 증명을 사용하는 경우 IAM 역할 임시 보안 자격 증명 취소 단원을 참조하세요.

AWS CloudTrail 로그에서 승인되지 않은 활동이 있는지 확인

1. AWS CloudTrail 콘솔을 엽니다.
2. 왼쪽 탐색 창에서 Event History(이벤트 기록)을 선택합니다.
3. 액세스 키, 정책, 역할 또는 임시 보안 자격 증명 생성과 같은 승인되지 않은 활동이 있는지 검토합니다.
   중요: 이벤트 시간을 검토하여 리소스가 최근에 생성되었고 비정상적인 활동과 일치하는지 확인합니다.
4. 승인되지 않은 것으로 식별된 액세스 키, 정책, 역할 또는 임시 보안 자격 증명을 삭제합니다.

자세한 내용은 CloudTrail을 사용한 작업을 참조하세요.

알 수 없거나 승인되지 않은 리소스 모두 삭제

1.    AWS Management Console에 로그인합니다. 그런 다음 계정의 모든 리소스가 사용자가 시작한 리소스인지 확인합니다. 이전 달의 사용량을 확인하고 현재 달과 비교합니다. 리소스를 시작한 적이 없는 리전을 포함하여 모든 AWS 리전에서 모든 리소스를 찾아야 합니다. 또한 다음 리소스 유형에 특히 유의합니다.

• Amazon EC2 인스턴스, 스팟 인스턴스 및 Amazon Machine Image(AMI)(중지 상태의 인스턴스 포함)
• AWS Auto Scaling 그룹
• Amazon Elastic Block Store(Amazon EBS) 볼륨 및 스냅샷
• Amazon Elastic Container Service(Amazon ECS) 클러스터
• Amazon Elastic Container Registry(Amazon ECR) 리포지토리
• AWS Lambda 함수 및 계층
• Amazon Lightsail 인스턴스
• Amazon Route 53 도메인
• Amazon SageMaker 노트북 인스턴스

2.    알 수 없거나 승인되지 않은 리소스를 모두 삭제합니다. 지침은 AWS 계정에서 더 이상 필요하지 않은 활성 리소스를 종료하려면 어떻게 해야 합니까?를 참조하세요.

중요: 조사를 위해 리소스를 보관해야 하는 경우 해당 리소스를 백업하는 것이 좋습니다. 예를 들어 규제, 규정 준수 또는 법적 이유로 EC2 인스턴스를 유지해야 하는 경우 인스턴스를 종료하기 전에 Amazon EBS 스냅샷을 생성합니다.

백업된 리소스 복구

백업을 유지 관리하도록 서비스를 구성한 경우 마지막으로 알려진 손상되지 않은 상태에서 해당 백업을 복구합니다.

특정 유형의 AWS 리소스를 복원하는 방법에 대한 자세한 내용은 다음을 참조하세요.

• Amazon EBS 스냅샷 또는 AMI에서 복원
• DB 스냅샷에서 복원(Amazon Relational Database Service(Amazon RDS) DB 인스턴스)
• 이전 버전 복원(Amazon Simple Storage Service(Amazon S3) 객체 버전)

계정 정보 확인

AWS 계정에서 다음 정보가 모두 올바른지 확인합니다.

• 계정 이름 및 이메일 주소
• 연락처 정보(전화번호가 올바른지 확인)
• 대체 연락처

참고: AWS 계정 보안 모범 사례에 대한 자세한 내용은 AWS 계정 및 해당 리소스를 보호하기 위한 모범 사례는 무엇입니까?를 참조하세요.

관련 정보

AWS 보안 인시던트 대응 안내서

AWS 보안 자격 증명(AWS security credentials)

AWS 보안 감사 지침(AWS security audit guidelines)

Amazon EC2 모범 사례