나의 AWS 프리티어 인스턴스가 당했다.
내가 진작에 알아차릴 수 있는 시그널은 충분히 있었다.
첫 번째 시그널
때는 약 한달 전...
ec2-abuse@amazon.com으로부터 Your AWS Abuse Report라는 제목의 메일을 한통 받았다.
대충 내 서버가 DDoS 공격에 가담하고 있고 내가 의도한 것이라면 왜 그랬는지, 의도한게 아니라면 수정하고 조치사항을 메일로 회신해달라는 메일이다. 문제해결이나 기술적 지원은 불가능하니 첨부한 링크의 문서들을 참고하고 애플리케이션을 항상 최신으로 유지하라는 내용도 곁들어 있었다.
내가 메일을 확인하고 바로 대처를 했으면 좋았겠지만, 회사에서도 유저 매뉴얼을 영문화 하던 중이었기 때문에 더이상 영어를 보고 싶지 않아서 '이따 집에가서 봐야지'하고 해당 메일을 깜빡 잊고 있었다.
두 번째 시그널
내 AWS는 사실상 나의 프로젝트를 배포하기 위한 수단이었기 때문에 트래픽이 발생할 일이 거의 없었다.
그래서 매달 $0.6 정도의 Route 53 사용 비용 정도만 청구되었다.
그런데 지난 달은 뭔가 수상했다.
대략 $3가 결제되었다.
$0.56씩 부과되던 내 서버에 무슨 일이 생긴거지..?
에이 몇 만원이 부과된 것도 아닌데 이따 집에가서 청구서 확인해보자
그놈의 '집가서 봐야지'에 시그널을 또 한번 놓쳐버렸다.
설마 내 AWS도...?
그리고 얼마 전부터 44bits 팟캐스트를 청취하기 시작했다.
(너무 잘 듣고 있습니다..!)
작년 말을 뜨겁게 달궜던 log4j 보안 이슈 관련 내용을 듣던 중 이런 말을 들었다.
요즘은 보안을 뚫고 들어와 개인정보를 탈취해가는게 아니라 서버에 비트코인 채굴기를 심는다.
log4j 이슈가 터졌을 때 정작 내 서버에 있던 내 프로젝트에는 크게 관심이 없었다.
애초에 민감한 개인정보가 들어있지도 않았고, 내 서버 털어봤자 가져갈 것도 없을 것이라고 안일한 생각을 했는데 비트코인 채굴기 얘기를 듣고는 '혹시...?'하는 생각이 스쳐지나갔다.
마침 최근에 잠깐 여유가 생겨 과거 프로젝트의 못고치고 있던 에러를 해결하고, 배포를 위해 AWS 서버에 들어갔다.
배포 준비를 마치고 webapps 폴더에 war가 제대로 들어갔나 확인하러 들어갔는데 나는 생전 본적도 없던 war 파일들이 잔뜩 있었다.
아뿔싸
이제서야 아마존에서 왔던 메일을 제대로 확인해보았고, 청구서도 확인해보았다.
평소보다 더 많이 과금된 이유는 프리티어의 허용량을 넘어선 데이터 전송량이었다.
나는 내 프로젝트에 훔쳐갈 정보가 없다는 생각에 안일했고, 내 서버는 공격 당해 열심히 어떤 데이터를 보내고 있었다.
안그래도 서버 구조를 다시 한번 잡으려고 생각하고 있었는데 이렇게 된 이상 그냥 인스턴스를 날려버리기로 결정했다.
인스턴스를 정리하고 처음 받았던 메일에 짧게 인스턴스와 해당 보안 그룹을 정리했다고 답장을 보냈다.
일이 더 커지지 않았기에 다행이라는 생각과 동시에
미리 알고 대처할 수 있던 것을 안일함에 미뤄둔 과거의 자신을 반성하기로 했다.
앞으로는 서버에 자주 들어가서 이상한게 있는지 확인하고,
아마존에서 보내주는 메일도 꼼꼼히 잘 챙겨봐야겠다.
