AWS

구독
다운로드 365
업데이트 2025. 4. 30.

AWS 구성 레코더 중지

사용자가 AWS 구성 레코더 중지 시 탐지합니다.

쿼리

AWS CloudTrail은 AWS 구성 레코더 (AWS Configuration Recorder) 중지 시 StopConfigurationRecorder 이벤트를 기록합니다. 요청 매개변수(req_params)는 아래와 같은 형식으로 구성되어 있습니다.

{"configurationRecorderName":"RECORDER_NAME"}

AWS CloudTrail 감사 로그의 이벤트 이름이 StopConfigurationRecorder 인 경우 탐지합니다.

| search event_name == "StopConfigurationRecorder" 
| eval cloud_resource = valueof(req_params, "configurationRecorderName"), user = nvl(user, valueof(valueof(valueof(user_identity, "sessionContext"), "sessionIssuer"), "userName")) 
| rename account_id as cloud_account, aws_region as cloud_region

메시지

  • AWS 구성 레코더 중지: 클라우드 $cloud_account, 리전 $cloud_region, 계정 $user, 레코더 $cloud_resource

출력 필드 순서

  • _log_time, cloud_account, cloud_region, src_ip, user, user_type, event_source, event_name, cloud_resource, user_agent, req_params, resp_params, tls_details

위협 분석

  • AWS Config Recorder는 AWS 리소스의 구성 변경 사항을 기록하고 규정 준수 및 보안 모니터링에 필수적인 역할을 합니다.
  • 공격자가 이 기능을 의도적으로 중지할 경우, 이후 발생하는 리소스 변경이나 권한 남용 행위를 추적할 수 없게 되어 탐지 회피(Defense Evasion) 가 가능합니다.
  • 이 행위는 MITRE ATT&CK에서 Impair Defenses: Disable or Modify Tools (T1562.001) 전술에 해당하며, 보안 로그를 의도적으로 비활성화하거나 변조하여 보안 관제망을 무력화하는 공격자의 행위와 일치합니다.
  • 특히 권한을 탈취한 내부자 혹은 외부 공격자가 보안 탐지를 피하기 위해 먼저 시도하는 전형적인 행동이므로 고위험 위협 시나리오로 분류할 수 있습니다.

오탐 유형

  • 운영·관리 목적의 중지
    • 일부 조직에서는 리소스 구성을 대규모로 수정하기 전, AWS Config 비용 절감이나 성능 영향 최소화를 위해 Recorder를 일시적으로 중지할 수 있습니다.
  • 테스트 환경
    • 개발/테스트 계정에서 Config Recorder 기능이 꼭 필요하지 않아 관리자가 수동으로 꺼둘 수 있습니다.
  • 자동화 스크립트/툴
    • IaC(Infrastructure as Code) 또는 운영 자동화 툴(Terraform, CloudFormation 등)이 Recorder 상태를 관리하면서 일시적으로 StopConfigurationRecorder 이벤트를 발생시킬 수 있습니다.

대응 방안

  • 해당 이벤트의 계정(user), 출발지 IP(src_ip), 유저 에이전트(user_agent) 필드를 확인하여 누가, 어디서, 어떤 방식으로 AWS 구성 레코더를 중지했는지 확인합니다. 실제 사용자가 의도한 설정 변경인지, 의도하지 않은 변경인지 확인합니다.
  • 같은 세션 혹은 사용자가 AWS 구성 레코더 중지 직후 IAM 정책 변경, 리소스 삭제, CloudTrail 비활성화 등의 행동을 하지 않았는지 연계 분석합니다. 이를 통해 단순 운영 이벤트인지, 공격자의 후속 행위(Privilege Escalation, Defense Evasion)의 일부인지 판별합니다.
  • 의도하지 않은 설정 변경이라면 AWS 구성 레코더를 복구하고 변경을 수행한 IAM 계정의 암호를 변경합니다. 이후 해당 계정에 대해 감사 기록을 확인하고 계정 유출 원인을 제거합니다.

MITRE ATT&CK