피드로 돌아가기
CloudTrail - Root failed login alarm
Dev.toDev.to
Security

CloudTrail 기반 Root 계정 로그인 실패 탐지 및 SNS 알림 자동화 설계

CloudTrail - Root failed login alarm

Luis Eduardo Lunar Guevara2026년 6월 23일11beginner

Context

AWS Root 계정의 보안 위협을 실시간 탐지하기 위해 특정 임계치 이상의 로그인 실패 이벤트를 추적해야 하는 요구사항 발생. 단순 로그 기록을 넘어 정해진 시간 윈도우 내의 발생 빈도를 기반으로 보안 운영 팀에 즉시 전송하는 알람 체계 필요.

Technical Solution

  • CloudTrail을 통한 Root 유저의 콘솔 로그인 시도 이벤트 데이터 수집 및 CloudWatch Logs 전송 구조 설계
  • CloudWatch Logs 내 Metric Filter를 설정하여 실패한 로그인 시도라는 특정 패턴을 정량적 수치로 변환
  • 10분이라는 Time Window 내 3회 초과 발생 시 트리거되는 CloudWatch Alarm 임계치 설정
  • Alarm 상태 변화에 따른 SNS Topic 연동으로 보안 담당자에게 실시간 Push 알림 전송 체계 구축
  • 단순 구성 진단 도구인 AWS Config나 위협 탐지 전용인 GuardDuty 대신 로그 기반 정밀 필터링 방식을 채택하여 정확한 횟수 기반 알람 구현

1. 로그 기반 알람 설계 시 '로그 수집 -> 메트릭 변환(Filter) -> 임계치 설정(Alarm) -> 알림 전송(SNS)' 파이프라인 준수 여부 확인

2. 보안 이벤트 탐지 시 단순 발생 여부가 아닌 '특정 시간 내 발생 횟수' 기반의 Threshold 설정 검토

3. Root 계정과 같은 고권한 계정의 인증 실패 패턴을 식별하기 위한 전용 Metric Filter 정의

원문 읽기