이 이야기를 하자면 8월로 거슬러 올라 가야 한다. 8월 28일에 6964-9000 번으로 부재 전화가 걸려왔다. 보통 6964-xxxx 번으로 광고성 전화가 많이 오는 터라 단순한 광고 전화 정도로만 생각했다. 그런데, 두 번이나 걸려왔고, 뒤이어 “[AWS] 긴급 ! 계정에서 비정상적인 활동이 감지되었습니다.”라고 긴급으로 이메일이 왔다.
해킹
뭔가 세한 느낌이 들어 AWS계정에 로그인해보니 들어본 적도 없는 요금 세금 포함 1만 5천 달러가 나왔다. 누군가 나의 계정을 해킹해 무단으로 사용한 것이다.
긴급으로 온 이메일에는 계정 암호를 변경하고, 계정 액세스키를 교체 및 삭제하고, 마지막으로 인스턴스 상태를 확인하라는 것이다. 인스턴스가 활성화되어 있으면 요금이 계속해서 과금되므로 종료해줘야 한다. 조치를 취한 뒤 회신해 주었다.
요금은 당시 환율로 계산해 환산하면 약 2천 2백만 원 정도다. 이 돈을 전부 내야 한다고 생각하니 눈앞이 깜깜해졌다.
계정을 폐쇄하면 해결이 되겠지라고 바로 폐쇄시켜버렸는데, 인스턴스를 종료하지 않으면 요금이 계속해서 과금이 된다고 한다. 그래서 aws(Amazon Web Services)에 케이스를 열고 문의를 했더니 먼저 인스턴스를 종료해야 하고 요금 문제가 해결이 되면 계정을 폐쇄해도 늦지 않는다고 했다. 그래서 담당자에게 계정을 다시 복구 해달라고 했고 그런 다음 인스턴스 종료 및 훼손된 키를 삭제하였다.
보안 조치
이제 요금 감면 문제로 aws에 다시 문의하니 CloudWatch, CloudTrail, Budget 등의 서비스를 설정하고, MFA 설정을 마친 다음 다시 회신하라는 답변을 받았다. aws는 프리 티어를 다시 사용해도 계정이나 IAM Key가 탈취당할 염려가 있으므로 사전에 다양한 보안 장치를 통해 이를 대비할 필요가 있다. 그래서 aws에서는 보안 조치를 우선 하라고 담당자는 말한다.
그리고 8월 말까지 조치하지 않으면 감면을 주장할 수 없다고 해서 급히 조치를 했다.
CloudWatch, CloudTrail, Budget 등은 정상적인 신용카드가 aws에 등록이 되어 있어야 설정할 수 있다. 문제 있는 신용카드이면 등록이 되지 않고 보안 장치도 설정할 수 없다. 그러므로 반드시 사용가능한 카드를 등록을 마친 뒤 위 서비스를 설정해야 한다.
MFA(Multi Factor Authentication)는 2단계 인증 장치이고 무료다. 인증코드는 30초마다 코드가 바뀐다. 처음에 MFA를 등록할 때 인증 코드를 두 개를 입력해야 된다. 구글 인증코드로 MFA를 설정한다고 가정하였을 때 처음 인증코드를 첫 번째 칸에 입력하고 30초가 지나 코드가 바뀌면 바뀐 코드를 두 번째 칸에 입력해서 MFA를 설정할 수 있었다.
협상
aws에서 요구 사항을 마쳤으면 이제 협상할 차례다. 계정이 탈취당하면 aws와 사용자의 공동책임으로 감면된 요금을 부과한다. 이게 감면이 90%일 수 있고, 70%일 수 있다. 원치 않는 요금이 부과될 수 있으므로 카드를 일단 정지해두는 것이 좋겠다.
그런 다음 AWS Support Center에 왜 이 요금을 낼 수 없는지, 왜 요금을 감면 해줘야하는지 등 납득할만한 것을 생각해 두고 질문해야 한다. 그러니까 학생 신분이면 과도한 요금을 낼 여력이 되지 않으므로 웬만해선 전액 감면해준다. 학생 신분을 증명해줄 서류를 제출해 주기만 하면 된다.
일반인이면 실수를 인정하고 본인의 사정을 예기하면서 요금을 전액 감면해줄 수 있는지 물어본다. 본인의 실수를 인정하지 않으면서 감면을 바라는 건 불신의 원인이 되므로 깨끗하게 실수를 인정하고 개인 사정을 예기하고, 또 앞으로 보안에 신경 쓰겠다는 다짐을 해야 감면 받을 수 있다. 그리고 담당자에게 존중하는 태도를 보여야 한다.
협상이 잘되면 크레딧을 받게 되는데, 크레딧을 받은 즉시 감면된 요금을 웹에서 볼 수 있다. 문제가 해결이 되었고 계정을 폐쇄하고 싶다면 크레딧을 받은 다음 달에 폐쇄하는 것을 권장한다.
계정을 폐쇄하고 며칠이 지나서 aws Support Center의 평가를 해달라는 이메일이 왔다. 8월 29일에 종결되었고 9월 10일에 평가 이메일을 받았다. 평가는 좋게 해주는 것으로 마무리 지었다.
이전에 설정해 두었던 보안 조치는 그대로 두고 폐쇄하는 것이 좋겠다. 해킹 재발의 우려가 있으므로 MFA 같은 인증 장치는 계정이 완전히 삭제되기 전까지 안심할 수 없기 때문이다.
사건의 발단
과금을 알게 된 날짜는 8월 28일이다. 요금이 과금된 최초의 날짜는 8월 1일, 그리고 8월 24일부터 28일까지로 6일간 사용한 요금이다. 이 사건을 계기로 알게 된 사실은 해커가 8월 1일에 해킹을 했고 무단으로 루트키를 만들어 8월 24일에 구매자에게 판매한 모양이다. 구매자는 루트키를 이용해 비트코인 채굴에 사용한다고 한다.
이 사단이 벌어진 이유는 MFA(2단계 인증)을 설정하지 않아서 탈취 당했다. MFA 설정하는 방법을 몰라 한참을 헤매다가 포기한 걸로 기억한다. 그래서 이번 사건을 계기로 보안이 얼마나 중요한지 깨닫게 되었다.
aws는 고객의 계정에 직접적으로 접근할 수 없다. 그러므로 보안 조치를 하든, 루트키를 삭제하든 사용자가 직접 설정해야 한다.
