[Tip] API키 유출 고민없이 안전하게 애플리케이션 코드 작성하기

전 직장에서 AWS 계정 털려서 요금이 당시에 200만원 넘게 나왔었다...

 

집 PC에서 회사 PC로 원격으로 연결하여 재택근무를 했었는데, 집PC가 털리는 바람에 회사 PC도 털린 것이였다.

 

회사로 출근했는데, PC 비밀번호가 변경되었었고, 겨우겨우 비밀번호를 찾아서 접속했더니 왠걸,,

 

 

브라우저 언어가 영어로 되어있었고, 바탕화면에 사이트별 계정정보가 정리된 엑셀 파일이 떨궈져있었다.. 크롬 브라우저에 자동 저장을 해놨었는데, 자동 저장된 정보를 다운로드 할 수 있는지 처음 알았다.

 

역시나 AWS계정도 저장되어있었고, 이걸 타고 AWS에 접속해 서버를 여러대 생성해 코인을 채굴하고있었다..

 

신입 때라 쉽게 용서 받을 수 있었지만.. 너무너무 죄송하고.. 보안학과 나와서 이런 실수를 했다는게 참.. 부끄럽고 창피하고 지옥이였다. 

 

그날 이후 배운건 아래와 같다.

 

1. 원격접속시 VPN을 통한 접속

2. 윈도우 업데이트 주기적으로 확인

3. PC 비밀번호 주기적으로 변경

4. 안티 바이러스 백신 설치

5. AWS 계정 MFA 설정을 통한 로그인

6. AWS 계정 IAM으로 계정 권한 나누어 로그인 관리

7. 크롬 브라우저 계정정보 자동저장 절대 하지 말 것.

8. 접근 키, 비밀 키 어디에든 노출 되지 말 것. 특히 public한 git에 올릴 때, key 정보까지 올리는 경우가 있다고 하던데, 무조건 key 관련 정보는 올리지 말 것. 

9. AWS에 컨택하면 한번정도 봐준다고 함. (당시에 사수가 고생이 많으셨다.)

10. AWS 요금 경보 알림 설정.

11. 비밀번호 관리 프로그램 사용

 

아래의 정보도 계정털려서 요금 폭탄 맞지 않으려면 중요한 정보다.

 

 

AWS API키 유출 고민없이 안전하게 애플리케이션 코드 작성하기 | Amazon Web Services

 

서버 개발자의 덕목은 사실 오류 없는 코딩도 중요하지만, 보안도 중요하다. 항상 돈나가는 곳, 개인정보는 보안적으로 고려하여 업무에 임해야한다..!