aws - 저에겐 2174만원이 없습니다. (해킹과금)

SeungTaek·2021년 12월 23일
40

Computer Science

목록 보기
2/3
post-thumbnail

0. 발단

21-12-01

국제 전화가 왔다.
해외에서 올 전화가 없는데.. 보이스피싱인가?
근데 중국이 아닌 미국 워싱턴이네?
대수롭지 않게 넘겼다.



21-12-03

신한카드에서 체크카드 결제 거절 메시지가 왔다.
아잇.. 신종 스미싱 수법인가?
잠깐, 금액이 얼마지?? 일..십백...천만원?? 이천만원?
하하 누가 이런 사기에 속겠어?

그 순간이었다. 내 머리속에 떠오른 생각.
이만한 결제가 일어날 수 있을 곳.. 내가 신한카드를 등록해둔 곳..
설마 AWS?

바로 그 자리에서 AWS에 접속했다. 오랜만에 하는 로그인..
AWS 화면에서 날 반긴 청구서는 아래와 같다.


화면에 있는 금액과 내 문자로 온 결제 금액을 비교해봤다.
정확히 동일하다.
손이 떨리기 시작했다.
그 당시 나는 학교 도서관에 있었는데, 눈에 아무것도 들어오지 않았다.

침착하자.. 침착하자.. 구글에게 물어보자..
키보드를 누르는 손이 떨린다. 호흡이 가빠진다.
다행히도 검색 결과에는 나와 비슷한 경험을 한 분들이 계셨다.
정말 감사하게도, 그분들의 게시물을 보고 침착하게 따라했다.
나는 정말 많은 도움을 받았고, 그러기에 이 게시물을 작성한다.



1. 상황 파악

어느 서비스가 실행된걸까? 어느 리전이지?

기가 막히다.
여기저기 리전에서 실행했다. 서비스는 Elastic Container Service(ECS)

로그를 확인해보자.

11월 28일, 29일에 엄청난 task가 시작되었다.
사람이 직접 모든 서비스를 실행시킨것 같지는 않고, 프로그램을 사용한것 같았다.

이틀만에 이천만원의 리소스를 발생시켰다. 참... 비트코인이라도 돌린건가요.



2. 고객센터에 문의

사건이 터지고 부터 약 20일간 나는 고객센터와 많은 대화를 나눴다.
aws 사이트에서 로그인 후 오른쪽 상단의 ? 버튼을 누르면 지원센터로 이동할 수 있다.
내 짧은 영어 실력과 구글 번역기의 도움을 받아 상담사와 대화를 나눴다.
나와 비슷한 문제가 생긴 분들을 위해 대화 내용을 간단히 축약해 공유한다.


21-11-29
고객센터에서 나의 aws 계정에 문제가 있다며 알림을 검토하라는 메일이 왔다. 또한 무단 사용이 중지되지 않으면 aws 계정이 일시 중지될 수 있으며 무단 리소스는 강제로 종료될 수 있다고 했다.


21-12-01
aws 계정에서 무단 활동과 일치하는 비정상적인 패턴을 감지하였다는 메일이 왔다.

나는 이때까지 제대로 aws를 확인하지 못했다.
내가 상황을 인지한 날짜는 12월 3일부터이다.


21-12-03
나는 상황을 파악하고, 고객센터에 도움을 요쳥했다. 메일 내용을 보면 그때의 내가 얼마나 절박했는지 알 수 있다. 현재 실행중인 모든 서비스를 중지해달라고 부탁했다. 또한 내가 앞으로 어떤 행동을 취해야 하는지 물어봤다.

1시간 40분 뒤 답장이 왔다.
현재 여러 리전에 걸쳐 활성 상태인 ECS 리소스가 있다고 했다. ECS 클러스터를 삭제하란다.
또한 내 계정를 보호하기 위해 제한을 두었고, 내부 조사팀에게 추가 조치가 필요한지 연락 중이라 한다.

21-12-07
계정 보안을 위해 아래 3가지를 설정하라는 메일이 왔다.
1. AmazonCloudWatch 설정
2. 예산 생성(budget)
3. 루트 사용자의 MFA 활성화
또한 사용 약관에 동의하는지 물어봤다.

~ 21-12-21
billing team과 나의 사례를 검토하고 있다는 메일이 주기적으로 왔다.
이 시기에도 aws 결제 시도가 이루어졌다. (물론 나에게는 그만한 돈이 없고, 결제 실패 문자와 결제에 문제가 있다는 메일이 계속 날라왔다.)
나는 혹시 자동 결제 프로세스를 멈춰줄 수 있냐고 물어봤지만, 수동으로 중지할 수 없다는 답변이 왔다.


21-12-22
드디어 요금 문제가 일회성 예외로 해결됐다는 메일이 왔다.
나의 문제를 해결해주기 위해 노력해주신 란지스에게도 너무 감사하다..



3. 결론

해커가 계정 정보를 어떻게 알고 해킹을 한걸까?
지금도 정확한 유출 경로는 모르겠지만, 깃허브에 토이프로젝트로 올라간 파일 중에 계정 정보가 있었다고 추측된다.

아주 값 비싼 교육을 받았습니다.
이 게시물을 보신 분들은 꼭 aws를 다시 검토해보시길 추천드립니다. 또한 깃허브에 개인 정보가 올라가있는지도 확인해보세요.
또한 토이프로젝트나, 간단한 공부 때문에 aws를 이용하시는 분들은 특히 더 조심해서 사용해야할 것 같습니다. 저도 간단한 학습용으로 아주 잠깐 EC2 사용했었는데, 이런 사건이 생길 줄 몰랐습니다.

혹시 저와 비슷한 경험을 하신 분들은 댓글로 해결 방법이나 경험 등을 알려주세요. 현재 이런 상황에 처한 분들에게는 조금이나마 도움이 되었으면 좋겠습니다.
감사합니다.

profile
I Think So!

8개의 댓글

comment-user-thumbnail
2021년 12월 27일

AWS 프리티어를 뚫어서 막 써버리는 사례가 흔하다고 들었습니다. MFA 반드시 설정해야 합니다.

답글 달기
comment-user-thumbnail
2021년 12월 28일

지인의 전 회사도 AWS 계정이 털려서 채굴당했다더군요. 클라우드 보안 관리는 철저히......

답글 달기
comment-user-thumbnail
2021년 12월 30일

엄청 당황스러우셨을텐데 침착하게 잘 대처하시고, 잘 해결되어서 다행입니다 :)

답글 달기
comment-user-thumbnail
2022년 1월 1일

아고... 항상 느끼는 거지만, AWS 참 무서운 것 같아요. 그래도 잘 해결 되어서 다행입니다 :)

답글 달기
comment-user-thumbnail
2022년 1월 1일

읽기만 해도 식은땀이 흐르네요. 잘 해결돼서 다행입니다.

답글 달기
comment-user-thumbnail
2022년 1월 11일

혹시 작성자님 도움 좀 받을 수 있을까요

답글 달기
comment-user-thumbnail
2022년 2월 28일

github에 iam 키를 공개로 해놓으신듯..

1개의 답글