AWS

구독
다운로드 365
업데이트 2025. 4. 30.

AWS 콘솔 외부 로그인

사용자가 회사 외부의 위치에서 AWS 콘솔 로그인 시 탐지합니다.

쿼리

AWS CloudTrail 감사 로그의 이벤트 이름이 ConsoleLogin 이고 출발지 IP 주소가 “내부망 대역” 네트워크 대역에 속하지 않으면서 인증 결과가 Success 인 경우 탐지합니다.

| search event_name == "ConsoleLogin" 
| matchnet guid="bb994ca4-1471-4b91-89f2-99a61bd529b5" field=src_ip invert=t
| eval outcome = valueof(resp_params, "ConsoleLogin") 
| search outcome == "Success"
| rename account_id as cloud_account, aws_region as cloud_region
| lookup geoip src_ip output country as src_country, asn as src_asn

메시지

  • AWS 콘솔 외부 로그인: 클라우드 $cloud_account, 리전 $cloud_region, 계정 $user, 접속 IP $src_ip ($src_asn)

출력 필드 순서

  • _log_time, cloud_account, cloud_region, src_ip, src_country, src_asn, user, user_type, event_source, event_name, outcome, user_agent, error_message, additional_event_data, resp_params, tls_details

위협 분석

  • 공격자가 피싱, 정보 유출, 암호 재사용 등을 통해 회사 계정의 AWS 콘솔 자격 증명을 획득했을 가능성이 있습니다.
  • 정상적인 사내망 또는 VPN이 아닌 외부 네트워크(IP, ASN, 국가)에서 성공적으로 로그인한 이벤트는 계정 탈취를 통한 초기 접근(Initial Access) 또는 침투 후 재접속(Persistence)의 징후로 판단합니다.
  • 공격자는 외부 위치에서 획득한 권한을 이용해 클라우드 리소스 조작, 데이터 탈취, 권한 상승 등의 후속 행위를 수행할 수 있으며, 정상 사용자 행위로 위장하기 때문에 탐지가 어렵습니다.
  • 특히 관리자 권한 계정에서 탐지되는 경우 조직 전체 클라우드 환경에 중대한 위협으로 이어질 수 있습니다.

오탐 유형

  • 관리자가 출장, 재택, 이동 중 외부 네트워크에서 정상적으로 AWS 콘솔에 로그인하는 경우가 있습니다.
  • VPN 연결이 불안정하여 임시로 외부망을 통해 접근하는 내부 사용자의 정상 행위일 수 있습니다.
  • 협력사나 외주 인력이 조직 외부 네트워크에서 승인된 계정을 이용하여 접근하는 경우가 있습니다.
  • 공용 클라우드 프록시, CDN, 모바일 ISP 환경에서 접속하여 내부망이 아닌 것으로 탐지되는 경우도 있습니다.

대응 방안

  • 탐지 이벤트 발생 시 해당 계정 사용자에게 로그인 시도의 정상 여부를 즉시 확인합니다.
  • 동일 계정의 다른 지역/ASN에서의 동시 로그인 여부, 비정상 API 호출, 권한 상승 시도 여부를 추가 로그 분석으로 확인합니다.
  • AWS IAM 사용자 및 Root 계정에 대해 MFA가 적용되지 않은 경우 반드시 활성화합니다.
  • AWS IAM 정책이나 IdP(SSO) 조건부 액세스를 활용하여 회사 내부망 또는 VPN에서만 콘솔 접근을 허용합니다.
  • 외부 로그인 성공 이벤트 이후 이어지는 IAM 변경, 새로운 Access Key 발급, EC2 및 데이터 접근 시도 등을 연계 탐지하여 이상 행위를 모니터링합니다.
  • 정상 사용자가 아님이 확인되면 즉시 계정 비밀번호를 초기화하고 세션을 무효화하며, 필요한 경우 접근 키를 폐기합니다.

MITRE ATT&CK