L사에 다니는 A 선임은 AWS 아키텍처입니다. 현재 대규모 프로젝트에 참여하고 있는 A 선임은 업무를 마치고 기분 좋게 퇴근했습니다. 그런데 다음날 A 선임은 AWS 리소스의 권한이 변경되거나 삭제된 것을 알게 됐습니다. 이 사실을 PM에 보고하니 PM은 화를 냈습니다. A 선임은 개발자들에게 사고 발생 사실을 알리고 사과 메일을 돌렸고, 여기저기서 한숨 소리가 들렸습니다. A 선임은 경위서와 야근을 준비해야 했습니다.

혹시 A 선임과 비슷한 경험을 하신 적 있나요? 없더라도 A 선임과 같은 일을 겪고 싶지는 않으실 겁니다. 그렇다면 AWS 계정 보안 3가지 방법을 기억해야 합니다.

첫째, Root 계정 Access key 삭제하기

Root 계정은 제한이 없는, 모든 권한을 가지고 있는 계정입니다. 따라서, Root 계정의 Access key를 삭제하고, 필요한 경우 IAM User를 생성해 IAM Policy를 통해 필요한 권한만 부여해서 사용해야 합니다. Root 계정은 모든 권한을 가지고 있기 때문에 편리할 수 있지만 Access key가 악용되는 경우 그만큼 더 위험해집니다.

둘째, 사용자다중인증(MFA) 설정하기

패스워드 인증 방식을 사용하는 경우, 계정 정보 탈취 등 AWS 이용에 위험이 발생할 수 있습니다. MFA(Multi-factor authentication) 인증 설정을 통해 로그인 보안을 강화할 수 있습니다. 물론 MFA가 귀찮겠지만 MFA를 설정하지 않으면 A 선임처럼 다른 사람이 로그인할 수 있는 가능성이 커집니다.

셋째, CloudTrail과 CloudWatch를 통해 감시하기

CloudTrail 로깅을 통해 특정 API(Application Programming Interface) 호출을 시작하는 데 사용되는 자격 증명과 사용 시기를 추적할 수 있습니다. 이를 통해 사용량이 실수로 인한 것인지 또는 무단 사용이었는지를 판단할 수 있습니다. CloudTrail과 CloudWatch를 함께 사용해 Access key 사용을 모니터링하고 비정상적인 API 호출에 대한 경고를 수신할 수 있습니다.

A 선임이 CloudTrail을 사용해 Access key 사용을 모니터링하고 알림을 받았더라면 누군가가 A 선임 계정으로 로그인했다는 사실을 빠르게 인지할 수 있었을 겁니다.

A 선임과 같이 AWS 계정 보안 설정 미흡으로 인한 문제를 겪지 않으려면 Root 계정 Access key 삭제, Multi-factor authentication 설정, CloudTrail과 CloudWatch 설정, 이 세 가지를 잊지 마세요.

글 ㅣ LG CNS 사이버시큐리티팀