내 AWS 계정에서 승인되지 않은 활동이 감지되면 어떻게 해야 하나요?

간략한 설명

AWS 계정에서 승인되지 않은 활동이 의심되는 경우 해당 활동이 승인되지 않은 활동인지 확인하려면 다음 단계를 완료하세요.

• 계정에서 AWS Identity and Access Management(IAM) 자격 증명이 수행한 승인되지 않은 작업을 식별합니다.
• 계정에 대한 승인되지 않은 액세스 또는 변경 사항을 식별합니다.
• 승인되지 않은 리소스의 생성을 식별합니다.
• 승인되지 않은 IAM 리소스(예: 역할, 관리형 정책) 또는 관리 변경(예: AWS 조직에서 생성된 사기성 연결 계정)을 식별합니다.

그런 다음 승인되지 않은 활동이 표시되면 이 문서의 AWS 계정에 승인되지 않은 활동이 있는 경우 섹션에 있는 지침을 따릅니다.

참고: 계정에 로그인할 수 없는 경우 내 AWS 계정에 로그인하거나 액세스하는 데 문제가 있으면 어떻게 해야 하나요?를 참조하세요.

해결 방법

AWS 계정에 승인되지 않은 활동이 있었는지 확인

계정의 IAM 자격 증명에 의해 수행된 승인되지 않은 작업 식별

다음 단계를 완료합니다.

1. 각 IAM 사용자 암호 또는 액세스 키가 마지막으로 사용된 시간을 확인합니다. 지침은 AWS 계정에 대한 보안 인증 정보 보고서 가져오기를 참조하세요.
2. 최근에 어떤 IAM 사용자, 사용자 그룹, 역할 및 정책이 사용되었는지 확인합니다. 지침은 IAM에 대해 마지막으로 액세스한 정보 보기를 참조하세요.

계정에 대한 승인되지 않은 액세스 또는 변경 사항 식별

지침은 특정 IAM 사용자, 역할 및 AWS 액세스 키의 계정 활동을 모니터링하려면 어떻게 해야 하나요?를 참조하세요.또한 내 AWS 계정의 비정상적인 리소스 활동 문제를 해결하려면 어떻게 해야 하나요?도 참조하세요.

승인되지 않은 리소스 또는 IAM 사용자 생성 식별

예기치 않은 서비스, 리전 또는 계정에 대한 요금을 포함하여 승인되지 않은 리소스 사용을 식별하려면 다음을 검토하세요.

• 계정에 대한 비용 및 사용량 보고서
• AWS Trusted Advisor 확인 참조
• AWS Management Console의 청구서 페이지

참고: AWS Cost Explorer를 사용하여 AWS 계정과 연결된 요금 및 사용량을 검토할 수도 있습니다. 자세한 내용은 Cost Explorer를 사용하여 지출 및 사용량을 분석하려면 어떻게 해야 하나요?를 참조하세요.

AWS 계정에서 승인되지 않은 활동이 발생한 경우

중요: AWS로부터 계정의 불규칙한 활동에 대한 알림을 받은 경우 먼저 다음 지침을 수행합니다. 그런 다음 완료한 작업에 대한 확인과 함께 AWS Support 센터의 알림에 응답하세요.

노출된 계정 액세스 키 교체 및 삭제

AWS Support에서 보낸 불규칙한 활동 알림에서 노출된 계정 액세스 키를 확인합니다. 목록에 키가 있는 경우 해당 키에 대해 다음 단계를 완료합니다.

1. 새 AWS 액세스 키를 생성합니다.
2. 새 액세스 키를 사용하도록 애플리케이션을 수정합니다.
3. 원래 액세스 키를 비활성화합니다.
   중요: 원래 액세스 키는 아직 삭제하지 마세요. 원래 액세스 키를 비활성화하기만 합니다.
4. 애플리케이션에 문제가 없는지 확인합니다. 문제가 있는 경우 원래 액세스 키를 일시적으로 다시 활성화하여 문제를 해결합니다.
5. 원래 액세스 키를 비활성화한 후 애플리케이션이 정상적으로 작동하면 원래 액세스 키를 삭제합니다.
6. 더 이상 필요하지 않거나 생성하지 않은 AWS 계정 루트 사용자 액세스 키를 삭제합니다.

자세한 내용은 AWS 액세스 키 관리 모범 사례 및 IAM 사용자의 액세스 키 관리를 참조하세요.

승인되지 않았을 가능성이 있는 IAM 사용자 보안 인증 정보 교체

다음 단계를 완료합니다.

1. IAM 콘솔을 엽니다.
2. 왼쪽 탐색 창에서 사용자를 선택합니다. AWS 계정의 IAM 사용자 목록이 나타납니다.
3. 목록에서 첫 번째 IAM 사용자의 이름을 선택합니다. IAM 사용자의 요약 페이지가 열립니다.
4. 권한 탭의 권한 정책 섹션에서 AWSCompromisedKeyQuarantineV2라는 정책을 찾습니다. 사용자에게 이 정책이 연결되어 있는 경우 사용자의 액세스 키를 교체합니다.
5. 계정의 각 IAM 사용자에 대해 3단계와 4단계를 반복합니다.
6. 자신이 생성하지 않은 IAM 사용자를 삭제합니다.
7. 생성한 IAM 사용자 중 유지하려는 모든 IAM 사용자의 암호를 변경합니다.

임시 보안 인증 정보를 사용하는 경우 IAM 역할 임시 보안 인증 정보 취소를 참조합니다.

AWS CloudTrail 로그에서 승인되지 않은 활동 확인

다음 단계를 완료합니다.

1. AWS CloudTrail 콘솔을 엽니다.
2. 왼쪽 탐색 창에서 이벤트 기록을 선택합니다.
3. 승인되지 않은 활동(예: 액세스 키, 정책, 역할 또는 임시 보안 인증 정보 생성)을 검토합니다.
   중요: 이벤트 시간을 검토하여 리소스가 최근에 생성되었는지 확인하고 불규칙한 활동과 일치하는지 확인합니다.
4. 승인되지 않은 것으로 식별된 액세스 키, 정책, 역할 또는 임시 보안 인증 정보를 삭제합니다.

자세한 내용은 CloudTrail을 사용한 작업을 참조합니다.

인식할 수 없거나 승인되지 않은 리소스 삭제

다음 단계를 완료합니다.

1.    AWS Management Console에 로그인합니다. 그런 다음 계정의 모든 리소스가 자신이 시작한 리소스인지 확인합니다. 전월과 이번 달의 사용량을 확인하고 비교하세요. 모든 AWS 리전의 모든 리소스를 찾아야 하며, 리소스를 시작하지 않은 리전에서도 찾아야 합니다. 또한 다음 리소스 종류에 특히 주의해야 합니다.

• Amazon EC2 인스턴스, 스팟 인스턴스 및 Amazon Machine Image(AMI)(중지됨 상태의 인스턴스 포함)
• AWS Auto Scaling 그룹
• Amazon Elastic Block Store(Amazon EBS) 볼륨 및 스냅샷
• Amazon Elastic Container Service(Amazon ECS) 클러스터
• Amazon Elastic Container Registry(Amazon ECR) 리포지토리
• AWS Lambda 함수 및 계층
• Amazon Lightsail 인스턴스
• Amazon Route 53 도메인
• Amazon SageMaker 노트북 인스턴스

2.    인식되지 않거나 승인되지 않은 리소스를 삭제합니다. 지침은 AWS 계정에서 더 이상 필요하지 않은 활성 리소스를 종료하려면 어떻게 하나요?를 참조하세요.

중요: 조사를 위해 리소스를 유지해야 하는 경우 해당 리소스를 백업하는 것이 좋습니다. 예를 들어 규제, 규정 준수 또는 법적 이유로 EC2 인스턴스를 유지해야 하는 경우 인스턴스를 종료하기 전에 Amazon EBS 스냅샷을 생성합니다.

백업된 리소스 복구

백업을 유지 관리하도록 서비스를 구성한 경우 마지막으로 알려진 손상되지 않은 상태에서 해당 백업을 복구합니다.

특정 유형의 AWS 리소스를 복원하는 방법에 대한 자세한 내용은 다음을 참조하세요.

• Amazon EBS 스냅샷 또는 AMI에서 복원
• DB 스냅샷에서 복원(Amazon Relational Database Service(RDS) DB 인스턴스)
• 이전 버전 복원(Amazon Simple Storage Service(S3) 객체 버전)

계정 정보 확인

AWS 계정의 다음 정보가 모두 올바른지 확인하세요.

• 계정 이름 및 이메일 주소
• 연락처 정보(전화번호가 정확한지 확인)
• 대체 연락처

**참고:**AWS 계정 보안 모범 사례에 대한 자세한 내용은 AWS 계정과 해당 리소스를 보호하기 위한 모범 사례에는 어떤 것이 있나요?를 참조하세요.

관련 정보

AWS 보안 인시던트 대응 가이드

AWS 보안 인증 정보

AWS 보안 감사 지침

Amazon EC2 모범 사례