이전에 AWS를 사용하여 서비스를 만들기 위하여 계정을 만들었던 적이 있습니다. React + Spring Boot 를 이용하여 서비스를 제작하였고, Elastic BeanStalk 를 이용하여 로드밸런싱/오토스케일링과 같은 기능을 편하게 사용하였습니다.
그러다가 계정을 만든지 얼마되지 않아 ID/PW 가 노출되었는지 갑자기 AWS에서 메일이 날라왔습니다. 이후 계정은 로그인은 정지되었습니다. 로그인을 위해서는 설정되지 않은 MFA 값을 넣어주어야했습니다. AWS에 추가 인증 설정을 하기 위하여 수많은 메일을 쓰고 상담원과 전화하여 문제를 해결하였던 경험이 있습니다. 혹시 요금이 어마어마하게 나오지 않았을까 조마조마하며 계정 추가 인증 절차를 통하여 겨우 해결했습니다. 상담은 무조건 영어를 통해 진행되기 때문에 쉽지 않고, 시간 맞추기도 어렵다는 문제는 존재합니다. 대신 상담원 분은 매우 친절했습니다 :)
이후 Instance를 확인해보니 쓰지 않은 것 같은 Instance 가 할당된 것 같습니다. 비정상적인 동작을 감지했는지 다행히 요금은 크게 부과되지 않고, AWS가 계정에 추가 인증을 하지 않으면 로그인이 안되게 막아버렸습니다.
이러한 사건 이후 AWS 이용 시에는 무조건 Mobile Device 에서 OTP 를 받아야만 로그인 할 수 있게 설정을 걸어두었습니다. 이러한 2중 보안 절차는 무조건 필수적으로 해야될 것 같다고 느꼈습니다. 모니터링을 하더라도 ID/PW가 노출되는 순간 비용 부과되는 것은 한 순간입니다. 여러분도 2중 보안 설정을 반드시 하시기바랍니다. 털리면 눈물 납니다 ㅜㅜ