AWS 해킹 한번쯤은 당해봐야 참된 개발자가 되는것이다 애옹

25일날 출근해서 메일 확인하는데
두둥.....
ACTION REQUIRED를 보고 왕쫄아버린것이다.
그래도 예전에 항해에서 하도 조심하라고 많이 들었어서 alert를 받는 limit를 5달러 ?? (쫄보에용) 로 설정했기때문에 과금이 크게 되지는 않은 상태였다 현재 8달러..
 
next.js를 공부하며 S3로 이미지 업로드하는걸 연습하면서 IAM도 새로 만들고 버킷도 새로만들다가 세상에 .env 파일이 깃헙에 그대로 올라가버린 것이었다~~ 
내 AWS key가 온 세상에 공개된 순간..
아무도 내 레포지토리에 관심없을거라 생각했는데 어떻게 하루만에 그걸 알고 해킹을 당한건지
 
근데 정말 AWS support 팀의 대응이 인상적이었다.
 
왕빠르고 왕친절하당~ 
 

1. 최초로 받은 연락
요약: 안녕하세요 님의 AWS 계정이 손상되었을 수 있습니다. 잘 검토해보고 계정을 보호&복원하기 위해 즉시 조치해주세요!
과도한 요금 청구,, 계약 위반,, 암튼 큰일이에요! 비밀번호도 바꾸시고 Cloudtrail log를 확인하시고 AWS계정으로 다른 허가받지않은 이용내역은 없는지 잘 찾아보세요! 

 
2. 나의 답변: 아웅감사해요 ㅠㅠ 제 레포에 Access key가 노출된걸 방금 확인했어요 IAM도 지우고 access key도 아예 지웠어요 다른 사항이 있으면 알려주세요!

3. Aws측 답변: 
우리가 발견한 비정상적인 활동이 너가 허가한게 아니라면 해당 리소스를 영구삭제하세요! 그리고 region마다 따로 확인해야하니까 그것도 유념하시구요...
그리고 이 아래에 답변해달라는 내용이있었는데 그걸 내가 보지못했음 
 
이틀 뒤 오늘

4. 부재중전화 한통이 찍혀있고 메일이 왔음 한국어로! 엊그제 이후에 내가 답변이 없어서 follow up 되지 않아서 한국 AWS팀한테 넘겨진듯 ㅠㅠ

 
5. 나의 답변: 우선 비번 바꾸고 인스턴스 다 닫고 AWS활동도 확인했는데, 혹시 24일 이후로 또 다른 비정상적인 활동이 있었나요! 없었다면 이제 close해주셔도 될 것 같아요 !  

6. 와.... 한두시간 후에 바로 답장을 받았다!
조사결과,아래 활동들이 있었고, 당신이 한게 맞는지 봐주세요! 혹시혹시혹시라도 당신이 한게 아니라면 아래의 절차를 밟아주세요! 
 
그 후 내가한거 맞다고 보내고 close
 
한국이 아닌 곳에 본사를 둔 기업들은 소통이 느리고 진행이 더딜거라 생각했는데 이렇게 속전속결로 답이 오고 해결될 줄 몰랐다..
이렇게 한번쯤 해킹도 당해봐야 보안에 신경을 쓰고 앞으로 같은 실수를 안하는 어른이 되는거다
 

---

결론 :

나는 실질적으로 돌려야하는 서버가 없어서 (다 연습용이라서) 모든 인스턴스를 닫고, 불필요한 버킷을 삭제하고 보안그룹도 제거했다. (AWS에서 확인해보라고 알려준 region을 다 털어서)

실제 운영중인 서버의 secret 키가 유출된거였다면 정말 골치아팠겠지만

support팀에서 엄청 꼼꼼하고 상세히 디렉션을 주니까 하라는대로 그대로 하고 메일 바로바로 확인해서 피드백 주고받고하면 잘 해결된다!

+ F될뻔한 T