이 글은 해커에게 AWS 계정을 해킹당해 700만원의 청구서를 받고, 이를 해결하기까지의 과정을 담은 기록이다.
발단
7월 14일
평화로운 금요일 저녁, 판도라의 상자를 열고야 말았다. 컴퓨터 파일을 백업하려고 한동안 안 쓰던 외장하드를 연결한 것이 화근이었다. 외장하드에는 멀웨어(바이러스)가 심어져 있었고, 나도 모르는 사이에 내 컴퓨터에 있던 서버 인증키를 탈취당했다.
전개
7월 14일~19일
AWS에서 메일이 도착했다. 비정상적인 사용이 감지되고 있으니 빨리 확인하라는 것이었다.
그러나 나는 이 메일을 미처 확인하지 못했다.
7월 20일 오후 3시
모르는 전화번호로 전화가 왔다. 받지 말까 고민했는데 일단 받았다.
이때 전화를 안받았다면.. 진짜 피눈물 흘렸을지도 모르겠다.
전화를 받아보니 AWS 한국 고객센터였고, 계정이 해킹당한 것 같으니 빨리 확인해보라는 안내를 받았다. 황급히 AWS에 로그인하려 했으나 이미 비밀번호는 바뀌어 있었다.
그렇게 콘솔에 로그인 해보니..
"...? 뭐라고요?"
처음에는 잘못봤나 싶었다. 이 상황이 현실적으로 느껴지지 않을 정도였다.
'이걸... 내가 내야 한다고?'
'진짜로?'
우선 마음을 가다듬고 사용중인 서비스가 있는지 확인했다.
LightSale 서비스에 들어가보니 내가 쓰지도 않는 서버가 수없이 돌아가고 있었다.
해커가 내 계정으로 코인 채굴을 돌린 모양이다. 참 많이도 돌려놨다.
울분을 삭히며 모든 비인가된 서버를 삭제했다.
7월 20일 오후 4시
고객 지원에 들어가보니 이미 해킹 건으로 Case가 생성이 되어 있었다. 번역기를 돌려가며 영어로 상황을 설명했다.
얼마 안가 국제전화가 왔다. 전화를 받아보니 AWS 본사였고, 안내원이 영어로 이것저것을 안내해줬다.
AWS: '최근 비정상적인 트래픽이 감지됐는데, 너 해킹 당한거 맞지?'
나: '네.. 이거 제가 만든거아니고 저 학생이에요 ㅠㅠ'
AWS: '그러면 우선 해커가 만든 서버부터 끄자'
(안내에 따라 모든 조치를 취함)
AWS: '우선은 이걸로 됐어. 이 Case를 보안팀에 보낸다음 검토 후에 너의 Billing Concern을 해결해줄게'
혹시라도 놓치는 내용이 있을까 초집중하면서 들었다. 수능 영어를 볼 때도 이정도로 떨리진 않았던 것 같다.
이후 구글에 AWS 해킹 피해 후기를 찾아봤다.
대부분 정성스럽게 문의를 넣으면 AWS가 한 번은 살려준다고 하지만,
어떤 경우에는 구제가 안되는 경우도 있는 것 같았다.
불행히도 나는 이미 구제를 받은 적이 있었다. 고등학교 때 서버 끄는걸 깜빡해서 5만원 추가 청구된걸 고객센터에 문의했던건데... 그걸로 이미 횟수가 차감된거면 구제를 못 받을 가능성도 있단 생각이 들었다.
잠들기 힘든 날이었다.
7월 20일
AWS에서 메일이 왔다. 이 케이스를 보안팀에 보냈으니, 결과가 나오는 대로 알려주겠다는 것이었다. 우선은 기다려보기로 했다.
7월 21일
"야만적인 짐승도, 떠도는 새도, 같은 덫이나 같은 그물에 두 번 걸리지 않는다."
- 성 예로니모
...말도 안되는 얘기처럼 들릴지 모르겠지만,
AWS 계정을 다시 해킹당했다.
당시까지만 해도 나는 이 모든 문제의 원인이 '그 외장하드'에 있다는 사실을 모르고 있었다.
나름대로 보안 신경쓴다고 컴퓨터를 포맷하려 했는데, 이때 파일을 백업하면서 또 다시 그 외장하드에 컴퓨터를 연결하고 말았다. ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
1시간쯤 뒤에 AWS에서 메일이 왔다.
AWS: '너 계정 해킹됐으니까 빨리 와보셈'
나: ???
AWS에 로그인하려고 해보니 또 비밀번호가 바뀌었고, 청구 요금은 50만원이 더 불어나 있었다.
진짜 이정도면 AWS 입장에서는 내가 고의 트롤링한다고 생각하는게 아닐까 생각이 들었다.
다시 마음을 가다듬으며 영어로 문의 메일을 넣었다. 아주 길게.
7월 21일 20시
AWS에서 해야 할 지침을 담은 메일이 왔다.
이전까지 했던 일을 다시 반복했다.
해커가 만든 서버 삭제하고.. 비밀번호 바꾸고..
이번엔 2차 인증(MFA)까지 설정했다. 진작에 할걸.
7월 23일
AWS에서 재차 메일이 왔다.
Billing Concern을 해결해주려면 재발 방지를 위한 보안 강화책으로,
최소 2개의 비용 모니터링 서비스와, 최소 1개의 2차 인증 설정을 완료해야 한다는 얘기였다.
모든 설정을 마치고 메일에 회신했다.
7월 24일
모든 보안조치를 확인했으니, 결제팀에서 이 사안을 검토할때까지 기다리라는 답변이 왔다.
결말
7월 25일
신이시여. 감사합니다.
정말 다행히도, AWS에서 1회에 한해 이번 청구를 없던 일로 해주겠다면서 크레딧을 발행해줬다.
이제야 안도의 한숨을 내쉴 수 있었다.
평소 보안에 신경을 많이 쓰는 사람으로서 이런 일이 나에게 일어날거라고는 생각하지 못했다. 그런데 막상 겪고 나니 누구에게나 일어날 법한 일이란 생각이 들었다.
AWS 해킹, 구제받을 수 있다.
이 글이 비슷한 상황에 처할 누군가에게 도움이 되었으면 좋겠다.
여담
AWS 해킹 때문에 이 글을 보고 있다면 우선 심호흡부터 크게 하자.
심각한 상황이라는 생각에 매몰되면 침착함을 잃기 쉽다.
많은 사람이 AWS에서 구제를 받은 후기가 있으므로, 최대한 공손하게 AWS와 문의를 주고받으면 대부분 해결될 수 있다. 특히 본인이 학생이거나, 해킹 사실을 재빨리 파악했다면 해결 가능성이 높아진다. 어떻게든 희망을 갖도록 하자.
해킹 Case는 해결되기까지 짧으면 1주, 길게는 한 달까지도 소요될 수 있다.
그러니 패닉에 빠져 일상을 포기하지 않도록 하자. 재때 밥 챙겨먹고, 헬스장 가고, 작은 루틴을 지키는 것 만으로도 멘탈관리에 큰 도움이 된다.
정 안되겠으면 할 수 있는거 다 하고 피씨방 가서 롤이라도 때리자.
본인이 상황을 통제한다는 느낌을 잃지 않는 것이 중요하다.
그리고, 평소에 보안을 잘 신경쓰도록 하자.
정말 철저하게 관리하더라도 찰나의 틈이 생기면 누구나 피해자가 될 수 있음을 깨달았다.
다시 이런 일이 생기지 않도록 보안에 더 철저해져야겠다.