AWS 계정 해킹과 ECS 과금

얼마전 사용하지 않는 AWS 계정에 들어갔다가 요금이 거의 60만원 가까이 나온것이 확인되었다. 

나는 이 계정을 3달간 사용하지 않았는데 하고 들어가보니.. 

 

아래 처럼 모든 리전에 ECS가 600개 가량 만들어져 있었다..

 

 

바로 AWS에 문의를 하였고

support case

 

 돌아온 답변은 내가 직접 전부 삭제해야 환불이 가능하다는 이야기였다. 

 

문제는 ECS가 한번에 다량 삭제는 불가능하고 직접 하나하나 delete + ecs_id를 쳐가며 삭제를 해야했다. 거의 모든 리전이었으니 대략

1만개 이상을 하나하나 삭제해야했다.. 

 

지인들에게 IAM 계정 나눠주면서 도와달라고 부탁했다 ㅠ

 

결국 하루를 꼬박 써서 지웠다...

---

다 지우기전 대체 얘네가 뭘하길래 이런가 싶어 직접 확인해보기로했다.

일단 ECS에서 켜졌었던 서비스를 확인해보았다.

다행히 아래 컨테이너에 이미지가 떠있길래 Docker Hub에서 검색해보았다.

 

 

아무런 설명도 없고 정보도 없었다.. 그래서 직접 도커를 다운받아서 열어보기로 했따

 

도커 pull을 받아서 파일을 복사해서 직접 열어보기로했다

 

그중 가장 의심쩍은 entrypoint.sh를 들어가봤더니 다음과 같은 스크립트를 볼 수 있었다.

 

대충 보아하니 S3버킷에 데이터를 받아와서 CLI로 ECS를 맘껏 돌린것 같다. 

 

또 주석을 GPT에게 물어보니 인도네시아 언어라고 하더라. 이 이상의 정보는 알기 힘들었다. 대체 내 엑세스 키가 어디서 유출되었는지는 모르겠지만 이 자식 때문에 내 24시간을 날렸다... 느낌상 코인 채굴을 하거나 그냥 남의 계정에 장난질하는 사람들인 것 같다.

 

---

아무튼.. AWS 보안에 좀 더 신경쓰는게 좋을 것 같아서 

 

비밀번호도 바꾸고 2단계 인증도 활성화 시켰다. 무엇보다 플젝할때 깃허브에는 AWS에 관련된 키는 프라이빗 레포지토리라도 전부 지우는게 좋을 것 같다..!

 

마지막으로 범인들 박제