AWS를 사용하다 요금 폭탄을 맞았다는 글들을 심심치 않게 볼 수 있습니다. 실제로 구글 검색 창에 'AWS 요금폭탄'으로 검색해 보면 꽤 많은 사례들을 볼 수 있습니다.
문제점 1.
여러 사례들을 보면 요금 폭탄이 발생하는 원인은 많은 경우 계정 해킹으로 인해 시작됩니다.
대부분의 AWS 서비스들은 서비스를 사용한 양 만큼 요금이 부과됩니다. 적게 사용하면 요금이 적게 나오고, 많이 사용하면 요금이 많이 나오는 식입니다. 문제는 누군가 내 계정을 해킹한 뒤에, 내 계정으로 접속해 AWS 유료 서비스들을 무한정 이용하면서 발생합니다.
문제점 2.
AWS에서는 사용 금액이 일정 비용을 초과하면 자동으로 서비스를 중단시키는 기능이 없습니다. 즉, 한번 사용을 시작한 서비스는 사용자가 직접 그 서비스를 중단시키거나 종료하지 않는 이상, 계속해서 동작하고 비용을 발생시킵니다.
그런데 만약 내가 알지 못하는 사이 누군가 내 계정으로 유료 서비스를 작동시키고 있다면 어떻게 될까요? 누군가 내 계정을 무단으로 사용하고 있다는 사실을 발견하여, 내가 직접 그 서비스를 중단시킬 때까지 사용 요금은 계속해서 쌓이게 됩니다.
문제점3.
그리고 가장 큰 문제는 서비스 이용 금액의 리미트가 없다는 점입니다. 그래서 단시간에 서비스 사용 요금이 눈덩이처럼 불어날 수 있습니다. '요금 폭탄'이라는 말이 괜히 나온 게 아닌 게, 실제로 단 며칠 만에 수천만 원 이상의 엄청난 사용 금액을 발생시킬 수 있다는 사실을 여러 피해 사례들을 통해 확인할 수 있습니다.
AWS 요금 폭탄 방지를 위한 대처 방안
요금 폭탄을 방지하기 위해서는 1차적으로는 계정 보안을 강화하여 해킹당하지 않도록 노력해야 합니다. 그리고 설령 계정이 해킹되는 상황이 발생하더라도 해당 상황을 빨리 인지하여 즉각적인 조치를 취한다면 피해를 최소화할 수 있습니다. 즉, 2차적으로는 위험 상황을 최대한 빨리 인지하여 신속하게 대처할 수 있도록, 지속적으로 계정을 모니터링 하는 것이 필요합니다.
1. 해킹 방지를 위한 계정 보안 강화
1-1. 루트 계정에 MFA 활성화
AWS 최초 회원 가입 시 생성되는 계정이 루트 root 계정입니다.
루트 계정에 MFA를 활성화하여 계정 보안을 강화할 수 있습니다.
1-2. IAM 사용자 생성
IAM 사용자를 생성한 다음, 루트 계정보다는 IAM 사용자를 주로 사용합니다.
1-3. IAM 사용자 최소 권한 할당
IAM 사용자 생성 시 가능하면 꼭 필요한 권한만 부여하는 것이 좋습니다.
1-4. IAM 사용자 MFA 활성화
루트 계정과 마찬가지로 IAM 사용자 계정에도 MFA를 사용할 수 있습니다. IAM 사용자 계정에도 MFA를 활성화하여 보안을 강화합니다.
1-5. 가능하면 Access Key를 사용하지 않습니다.
2. 모니터링을 통해 비정상적인 계정 활동 감지하기
2-1. 예산 budget 생성하기
Budget 생성은 AWS에서 제공하는 무료서비스입니다.
Budget을 생성하면, 서비스 사용 요금이 사용자가 지정한 예산 값을 초과할 경우 이메일을 통해 알림을 받을 수 있습니다.
메뉴 위치 : 루트 계정 로그인 > 결제 대시보드 > Budgets
루트 계정으로 AWS에 로그인한 후, 결제 대시보드 화면으로 이동합니다. 그리고 결제 대시보드 화면의 좌측 메뉴 중 Budgets을 클릭하면 버짓을 설정할 수 있습니다.
2-2. 자주 확인하는 이메일 등록하기
반드시 자주 확인하는 이메일을 연락처로 등록하여 문제 발생 시 즉각적으로 대처할 수 있도록 합니다.
2-3. 유료 모니터링 도구 활용하기
AWS CloudWatch, CloudTrail 등의 유료 서비스를 이용해 계정 활동 상태를 모니터링 할 수 있습니다.
AWS CloudWatch 참고자료