반응형
이 일은 옆팀에서 일어난 일입니다.
절대 네버(NEVER) 내 이야기가 아님
◈ 개요 및 사고 ◈
출근 후 메일함을 확인해 보니 위와 같은 메일이 와있었다.
처음엔 스팸인가 싶어 무시하고 넘기려고 했는데,
어딘가 알수없는 싸함이 밀려들어와 메일 내용을 검색해 보았다.
음? 영어?
???????? 우리 회사 이름으로 보낸 메일이 스팸 표시되었다?? 이게 무슨 일이지????????
부랴부랴 AWS 들어가서 SES 사용 확인해 보았더니 09/22 기준으로 그래프가 치솟아있었다.
누군가 옆팀 AWS 계정을 해킹하여 SES를 잔뜩 보내 스팸처리 된 거 같았다.
어떻게 AWS 계정을 해킹할 수 있었나 곰곰이 생각해 봤는데,
며칠 전에 통계용 웹사이트를 외부에서 볼 수 있도록 80 포트를 퍼블릭으로 오픈했는데, 그때 사용한 React 프런트엔드 소스에서
추출했나 싶어 해당 사이트를 개발자 도구로 확인해 봤더니 띠용.!!
AWS 키 관련 사항을 확인할 수 있었다. ㅜㅜ
◈ 수습 ◈
수습은 아래의 순서로 진행하였다.
1. 퍼블릭으로 오픈한 포트를 닫기
2. 해킹당한 계정 액세스키 비활성화
3. 새로운 액세스키 발급
4. 리엑트의 해당 부분 노출 안되게 백엔드로 옮긴 후 배포
그나마 다행인 건 스팸메일 말고 다른 이슈가 없었다는 점이고 빠르게 발견하여 후 조치 했다는 점이다.
◈ 결론◈
당신의 웹을 배포하기 전에 중요한 로직은 항상 백엔드에서 처리하라!!
반응형
댓글