AI 요약
최근 해외에서 S3 버킷을 타겟으로 한 DDoS 공격으로 인해 막대한 클라우드 비용이 청구된 사례가 보고되었습니다. 해당 개발자는 단 3일간 160TB의 데이터가 외부로 전송되며 약 15,000달러(한화 약 2,000만 원)의 청구서를 받았는데, 이는 S3의 'Data Transfer OUT' 요금 구조 때문입니다. S3는 초당 5,500개의 GET 요청을 처리할 수 있지만 자체적인 전송 속도 제한(Rate Limit) 기능이 없어 공격에 취약할 수 있습니다. 특히 퍼블릭으로 설정된 버킷은 공격자의 직접적인 타겟이 되기 쉽습니다. 이에 따라 AWS 사용자는 S3 직접 공개를 피하고 CloudFront와 OAC를 연동하며, AWS WAF를 통한 레이트 제한 설정을 반드시 검토해야 합니다. 또한 2024년 5월부터 AWS가 403/404 에러 리퀘스트에 대해 과금을 하지 않기로 정책을 변경한 점을 활용해 퍼블릭 액세스를 원천 차단하는 것이 비용 방어의 핵심입니다.
핵심 인사이트
- 대규모 요금 피해: 2026년 3월 발생한 DDoS 공격으로 3일간 160TB 데이터 전송 발생, 총 $15,000(약 2,000만 원) 요금 청구.
- S3 과금 체계: 도쿄 리전 기준 데이터 전송(OUT) 요금은 10TB까지 GB당 $0.114이며, 150TB 초과 시 $0.084로 차등 적용되어 전송량이 늘수록 막대한 비용 발생.
- 정책 변경 활용: 2024년 5월부터 AWS는 S3에서 발생하는 403(Access Denied) 및 404(Not Found) 에러에 대해 리퀘스트 요금을 부과하지 않으므로 퍼블릭 차단이 비용 절감의 핵심임.
- S3의 한계: S3는 접두사(Prefix)당 초당 5,500개의 GET 요청을 지원하지만, 자체적인 레이트 제한 기능이 없어 무제한 리퀘스트에 노출될 수 있음.
주요 디테일
- S3 퍼블릭 액세스 차단(Block Public Access): 모든 퍼블릭 액세스 차단 설정을 'True'로 활성화하여 비정상적인 데이터 전송과 리퀘스트 과금을 원천 봉쇄해야 함.
- CloudFront 및 OAC(Origin Access Control) 도입: S3를 직접 공개하는 대신 CloudFront를 전면에 배치하고, OAC를 통해 오직 CloudFront를 통해서만 S3에 접근하도록 설정하여 보안 강화.
- AWS WAF 레이트 제한: CloudFront 전면에 WAF를 배치하여 특정 IP 주소로부터의 요청이 급증할 경우 자동으로 차단하는 'Rate-based rule' 적용 필수.
- 비용 모니터링: AWS Budgets를 활용하여 예상치 못한 비용 급증 시 즉각적으로 이메일 알림을 받도록 설정하여 피해 확산을 조기에 방지.
- 상세 전송료 산출: 160TB 전송 시 10TB($1,140), 40TB($3,560), 100TB($8,600), 10TB($840)가 합산되어 약 $14,140의 순수 전송 요금이 산출됨.
향후 전망
- 비용 가용성 위협 증가: 클라우드 리소스의 시스템 다운뿐만 아니라 '비용적 가용성(Financial Availability)'을 마비시키는 DDoS 공격이 증가함에 따라 보안 설정이 곧 비용 최적화라는 인식이 확산될 것임.
- 표준 아키텍처의 변화: AWS Shield Standard와 같은 기본 보호 외에도 WAF와 Budgets를 결합한 능동적인 비용 방어 아키텍처 구축이 모든 클라우드 프로젝트의 표준으로 자리 잡을 전망.