제 AWS 계정에서 승인되지 않은 활동이 감지되면 어떻게 해야 하나요?

해결 방법

AWS 계정에 무단 활동이 있다고 의심되는 경우, 먼저 다음 단계를 완료하여 무단 활동을 확인하십시오. 그런 다음, AWS 계정의 무단 활동을 수정하십시오. 마지막으로, MFA (멀티 팩터 인증) 로 AWS 계정 루트 사용자를 보호하십시오.

참고: 계정에 로그인할 수 없는 경우 내 AWS 계정에 로그인하거나 액세스하는 데 문제가 있으면 어떻게 해야 하나요?를 참조하세요.

계정에 승인되지 않은 활동이 있었는지 확인

계정의 IAM 자격 증명에 의해 수행된 승인되지 않은 작업 식별

1. 각 AWS ID 및 액세스 관리 (IAM) 사용자 암호 또는 액세스 키가 마지막으로 사용된 시간을 확인합니다. 지침은 AWS 계정에 대한 보안 인증 정보 보고서 생성하기를 참조하세요.
2. 최근에 어떤 IAM 사용자, 사용자 그룹, 역할 및 정책이 사용되었는지 확인합니다. 지침은 IAM에 대해 마지막으로 액세스한 정보 보기를 참조하세요.

계정에 대한 승인되지 않은 액세스 또는 변경 사항 식별

지침은 특정 IAM 사용자, 역할 및 AWS 액세스 키의 계정 활동을 모니터링하려면 어떻게 해야 하나요?를 참조하세요.또한 내 AWS 계정의 비정상적인 리소스 활동 문제를 해결하려면 어떻게 해야 하나요?도 참조하세요.

승인되지 않은 리소스 또는 IAM 사용자 생성 식별

예상치 못한 서비스 및 계정 요금을 비롯한 무단 리소스 사용을 식별하려면 다음을 검토하십시오.

• 계정에 대한 비용 및 사용량 보고서
• AWS Trusted Advisor 확인 참조
• AWS 관리 콘솔의 청구서 및 사용 페이지

참고: AWS Cost Explorer를 사용하여 계정과 연결된 요금 및 사용량을 검토할 수도 있습니다. 자세한 내용은 Cost Explorer를 사용하여 지출 및 사용량을 분석하려면 어떻게 해야 하나요?를 참조하세요.

계정에 무단 활동이 없음을 확인한 경우 추가 조치가 필요하지 않습니다.

무단 활동이 있음을 확인한 경우 다음 섹션으로 진행하여 AWS 계정의 무단 활동을 수정하십시오.

계정의 무단 활동 수정

AWS로부터 계정의 불규칙한 활동에 대한 알림을 받은 경우 먼저 다음 지침을 수행합니다. 그런 다음 완료한 작업에 대한 확인과 함께 AWS Support 센터의 알림에 응답하세요.

노출된 계정 액세스 키 교체 및 삭제

AWS Support에서 보낸 불규칙한 활동 알림에서 노출된 계정 액세스 키를 확인합니다. 나열된 키가 있는 경우 다음 단계를 완료하십시오.

1. 새 AWS 액세스 키를 생성합니다.
2. 새 액세스 키를 사용하도록 애플리케이션을 수정합니다.
3. 원래 액세스 키를 비활성화합니다.
   중요: 원래 액세스 키는 아직 삭제하지 마세요. 원래 액세스 키를 비활성화하기만 합니다.
4. 애플리케이션에 문제가 없는지 확인합니다. 문제가 있는 경우 원래 액세스 키를 일시적으로 다시 활성화하여 문제를 해결합니다.
5. 원래 액세스 키를 비활성화한 후 애플리케이션이 정상적으로 작동하면 원래 액세스 키를 삭제합니다.
6. 더 이상 필요하지 않거나 생성하지 않은 AWS 계정 루트 사용자 액세스 키를 삭제합니다.

자세한 내용은 액세스 키 보안 및 IAM 사용자의 액세스 키 관리를 참조하십시오.

승인되지 않았을 수 있는 IAM 사용자 자격 증명 교체

1. IAM 콘솔을 연 다음 탐색 창에서 사용자를 선택합니다.
2. 목록에서 첫 번째 IAM 사용자의 이름을 선택합니다. IAM 사용자의 요약 페이지가 열립니다.
3. 권한 탭의 권한 정책 섹션에서 AWSCompromisedKeyQuarantineV2라는 정책을 찾습니다. 사용자에게 이 정책이 연결되어 있는 경우 사용자의 액세스 키를 교체합니다.
4. 계정의 각 IAM 사용자에 대해 2단계와 3단계를 반복합니다.
5. 자신이 생성하지 않은 IAM 사용자를 삭제합니다.
6. 생성한 IAM 사용자 중 유지하려는 모든 IAM 사용자의 암호를 변경합니다.

임시 보안 인증 정보를 사용하는 경우 IAM 역할 임시 보안 인증 정보 취소를 참조합니다.

AWS CloudTrail 이벤트 기록에서 승인되지 않은 활동이 있는지 확인하십시오.

1. AWS CloudTrail 콘솔을 연 다음 탐색 창에서 이벤트 기록을 선택합니다.
2. 승인되지 않은 활동(예: 액세스 키, 정책, 역할 또는 임시 보안 인증 정보 생성)을 검토합니다.
   중요: 이벤트 시간을 검토하여 리소스가 최근에 생성되었는지 확인하고 불규칙한 활동과 일치하는지 확인합니다.
3. 승인되지 않은 것으로 식별된 액세스 키, 정책, 역할 또는 임시 보안 인증 정보를 삭제합니다.

자세한 내용은 CloudTrail 이벤트 기록 작업을 참조하십시오.

인식할 수 없거나 승인되지 않은 리소스 삭제

1. AWS Management Console을 엽니다.
2. 그런 다음 계정의 모든 리소스가 자신이 시작한 리소스인지 확인합니다. 전월과 이번 달의 사용량을 확인하고 비교하세요. 모든 AWS 리전의 모든 리소스를 찾아야 하며, 리소스를 시작하지 않은 리전에서도 찾아야 합니다. 또한 다음 리소스 종류에 특히 주의해야 합니다.
   • Amazon EC2 인스턴스, 스팟 인스턴스 및 Amazon Machine Image(AMI)(중지됨 상태의 인스턴스 포함)
   • AWS Auto Scaling 그룹
   • Amazon Elastic Block Store(Amazon EBS) 볼륨 및 스냅샷
   • Amazon Elastic Container Service(Amazon ECS) 클러스터
   • Amazon Elastic Container Registry(Amazon ECR) 리포지토리
   • AWS Lambda 함수 및 계층
   • Amazon Lightsail 인스턴스
   • Amazon Route 53 도메인
   • Amazon SageMaker 노트북 인스턴스
3. 인식되지 않거나 승인되지 않은 리소스를 삭제합니다. 지침은 AWS 계정에서 더 이상 필요하지 않은 활성 리소스를 삭제하려면 어떻게 하나요?를 참조하세요.

중요: 조사를 위해 리소스를 유지해야 하는 경우 해당 리소스를 백업하는 것이 좋습니다. 예를 들어 규제, 규정 준수 또는 법적 이유로 EC2 인스턴스를 유지해야 하는 경우 인스턴스를 종료하기 전에 Amazon EBS 스냅샷을 생성합니다.

백업된 리소스 복구

백업을 유지 관리하도록 서비스를 구성한 경우 마지막으로 알려진 손상되지 않은 상태에서 해당 백업을 복구합니다.

특정 유형의 AWS 리소스를 복원하려면 다음을 참조하십시오.

• Amazon EBS 볼륨 또는 EC2 인스턴스 복원
• DB 스냅샷에서 복원(Amazon Relational Database Service(RDS) 인스턴스)
• 이전 버전 복원(Amazon Simple Storage Service(S3) 객체 버전)

계정 정보 확인

계정의 다음 정보가 모두 올바른지 확인하세요.

• 계정 이름 및 이메일 주소
• 기본 연락처
• 대체 연락처

**참고:**계정 보안 모범 사례에 대한 자세한 내용은 AWS 계정과 해당 리소스를 보호하기 위한 모범 사례에는 어떤 것이 있나요?를 참조하세요.

MFA로 계정 루트 사용자를 보호하세요

AWS 계정 루트 사용자에게는 AWS 서비스 및 리소스에 대한 액세스 권한이 있으므로 멀티 팩터 인증 (MFA) 을 활성화하는 것이 가장 좋습니다. MFA는 로그인 자격 증명을 위한 두 번째 인증 요소를 제공하며 암호 도용 위험을 줄여줍니다. AWS 관리 콘솔 액세스를 통해 각 IAM 사용자에 대해 최대 8개의 MFA 디바이스를 활성화할 수 있습니다.

참고: 루트 사용자의 MFA를 활성화하면 루트 사용자 자격 증명에만 영향을 줍니다. 계정의 IAM 사용자는 고유한 자격 증명을 가진 고유한 ID이며 각 ID에는 고유한 MFA 구성이 있습니다.

MFA를 활성화하려면 IAM의 MFA 및 MFA로 루트 사용자 로그인 보안을 참조하십시오.

관련 정보

AWS 보안 인시던트 대응 가이드

AWS 보안 감사 지침