클라우드 비용 이상 징후는 보안 사고의 조기 신호일 수 있다

보안팀은 로그인과 네트워크 로그를 보고, FinOps팀은 청구와 사용량을 본다. 두 데이터가 분리돼 있으면 공격자가 새 리전에서 고가 인스턴스를 만들거나 대량 데이터를 전송해도 “이번 달 비용이 왜 늘었지?”라는 질문으로 늦게 시작한다.

비용 데이터는 완전한 실시간 보안 신호가 아니며 공급자와 서비스에 따라 집계 지연이 있을 수 있다. 그러나 정상 사용 패턴과 다른 자원 생성·호출·전송은 계정 침해와 자동화 오작동을 찾는 강한 보조 신호다. 비용 경보 하나만으로 프로덕션을 자동 종료하기보다 보안·운영 신호와 결합해 단계적으로 대응한다.

무엇을 기준선으로 볼 것인가

월 총액만 비교하면 짧고 큰 공격이나 특정 고객·프로젝트의 이상을 놓친다. 다음 차원을 함께 본다.

• 조직, 계정·프로젝트·구독
• 서비스와 SKU, 리전·가용 영역
• 환경, 팀, 애플리케이션, 비용 태그
• 시간당·일간 사용량과 단가
• 새 리소스와 기존 리소스의 확장
• 데이터 전송 방향과 목적지
• API 호출 주체와 자격 증명
• 배포·캠페인·배치 일정 같은 변경 맥락

신규 서비스와 계절성 때문에 고정 임계값만 쓰면 오탐이 많다. 예상 예산, 과거 행동, 배포 캘린더, 절대 비용을 조합한다.

비용 패턴과 보안 가설

비용 신호	가능한 정상 원인	보안·운영 가설
낯선 리전의 GPU·고성능 VM	새 ML 실험	탈취 키, 크립토마이닝
데이터 이그레스 급증	백업·고객 다운로드	데이터 반출, 공개 버킷 남용
서버리스 호출 폭증	마케팅 트래픽	키 남용, 봇, 무한 재시도
스토리지·스냅샷 급증	DR 작업	랜섬웨어 준비, 잘못된 백업 루프
로그 수집 비용 급증	디버그 활성화	공격 트래픽, 민감정보 과수집
관리형 AI 호출 급증	기능 출시	API 키 노출, 프롬프트 남용
네트워크·NAT 비용 급증	아키텍처 변경	C2 통신, 잘못된 라우팅
새 계정의 비용 즉시 증가	온보딩	자동 생성 계정 악용

비용만으로 원인을 단정하지 않는다. 같은 시각의 IAM, 감사 로그, 보안 탐지, 배포 기록, 네트워크 흐름을 확인한다.

경보를 보안 사건으로 전환하는 조건

다음 중 여러 신호가 겹치면 우선순위를 높인다.

• 비용 급증과 같은 시각에 새 액세스 키·역할·서비스 계정이 생성됐다.
• 평소 사용하지 않는 리전에서 리소스가 만들어졌다.
• 관리자 또는 CI 계정이 처음 보는 API를 호출했다.
• 보안 탐지에서 유출 자격 증명·크립토마이닝·악성 IP가 보고됐다.
• 태그와 소유자가 없는 리소스가 빠르게 늘었다.
• 대량 이그레스와 저장소 권한 변경이 동시에 발생했다.
• 배포 변경 없이 서버리스 오류·재시도·비용이 함께 증가했다.
• 비용 경보 설정이나 감사 로그가 직전에 비활성화됐다.

30분 초기 대응 런북

0~5분: 사실 확인

경보의 계정, 서비스, 리전, 시작 시각, 예상 영향액, 주요 리소스를 확인한다. 비용 콘솔 수치와 실제 사용량·리소스 목록이 일치하는지 본다.

5~15분: 주체와 변경 연결

감사 로그에서 누가 리소스를 만들었는지, 어떤 키·역할·워크로드 ID를 사용했는지 확인한다. 최근 배포, 승인 티켓, 실험 일정과 비교한다. 소유자가 즉시 확인되지 않으면 보안 사건으로 취급한다.

15~25분: 피해 제한

• 의심 자격 증명을 비활성화하거나 권한을 제한한다.
• 새 리소스 생성을 조직 정책·쿼터·서비스 제어로 제한한다.
• 의심 인스턴스는 증거 보존을 고려해 네트워크 격리한다.
• 데이터 반출 경로와 공개 접근을 차단한다.
• 정상 프로덕션과 공유하는 역할·키가 있는지 확인한다.

비용을 멈추기 위해 모든 리소스를 즉시 삭제하면 증거와 고객 서비스를 잃을 수 있다. 격리, 스냅샷, 자격 증명 폐기, 트래픽 제한 순서를 런북으로 정한다.

25~30분: 통신과 추적

사고 ID, 현재 비용 영향, 고객 영향, 실행한 조치, 다음 업데이트 시각을 기록한다. 외부 영향 가능성이 있으면 사고 커뮤니케이션 템플릿을 사용한다.

자동화는 안전장치와 함께 사용한다

비용 경보를 이벤트 버스나 자동화 런북에 연결할 수 있지만, 모든 이상 비용을 자동 종료하지 않는다.

• 저위험 샌드박스는 자동 중지 후보가 될 수 있다.
• 운영 리소스는 사람 승인 전 네트워크 제한·쿼터 축소 같은 가역 조치를 우선한다.
• 태그 없는 새 GPU, 금지 리전, 승인 없는 고가 SKU는 정책으로 생성 자체를 막는다.
• 자동 조치는 idempotency와 최대 범위를 갖고 반복 실행을 막는다.
• 자동화 계정이 비용·보안 로그를 삭제하지 못하게 권한을 분리한다.
• 경보 시스템 자체의 비활성화와 알림 대상 변경을 감시한다.

태그와 소유권이 탐지 품질을 결정한다

모든 비용 리소스에 최소한 서비스, 환경, 팀, 소유자, 데이터 등급, 만료일을 붙인다. 태그 없는 리소스는 비용 배분 문제이자 조사 지연 신호다.

IaC로 생성되는 리소스는 정책 검사에서 필수 태그를 강제하고, 콘솔 수동 생성은 제한한다. Terraform state 보안을 적용해 배포 주체와 실제 리소스 변화를 추적한다.

실패 모드

실패	결과	개선
월 예산 알림만 사용	공격 발견이 청구서 시점까지 지연	시간·일 단위 이상 탐지
FinOps만 알림 수신	보안 조사와 자격 증명 폐기가 늦음	공동 온콜과 사건 티켓
비용 경보만으로 자동 삭제	프로덕션 중단·증거 손실	신호 결합과 가역 조치
관리 계정만 모니터링	연결 계정·프로젝트 이상 누락	조직 전체 범위와 계정별 소유자
태그 없는 리소스 허용	정상·악성 구분 지연	필수 태그와 생성 정책
비용 데이터 지연을 무시	실시간 방어로 오인	감사·런타임 보안 신호 병행
경보 임계값이 고정	성장·계절성으로 오탐	행동 기준선과 변경 캘린더

조사 후 확인할 범위

• 의심 계정이 만든 모든 리소스와 파생 자격 증명
• 임시 보안 자격 증명과 활성 세션
• 스냅샷, 이미지, 컨테이너, 서버리스 함수의 지속성
• 데이터 저장소 접근과 이그레스 목적지
• 새 방화벽·IAM·조직 정책 변경
• 비용·보안·감사 로그의 비활성화 또는 삭제
• 다른 계정으로의 역할 전환과 횡적 이동
• 사고 중 생성된 지원·디버그 로그의 민감정보

정상 운영 복구와 비용 정리는 재해복구 훈련의 의사결정 항목으로 넣는다. 대량 삭제 전 서비스 소유자와 복구 순서를 확인한다.

운영 체크리스트

• 조직 전체의 서비스·리전·계정·태그별 비용 기준선이 있다.
• 비용 이상 알림을 FinOps와 보안 온콜이 함께 받는다.
• 경보에서 리소스·소유자·API 호출 주체로 바로 이동할 수 있다.
• 낯선 리전, 고가 SKU, 태그 없는 리소스를 별도 경보한다.
• 감사 로그·보안 탐지·배포 기록과 비용 이벤트를 상관 분석한다.
• 의심 자격 증명 폐기와 리소스 격리 런북이 있다.
• 비용만으로 프로덕션을 자동 삭제하지 않는다.
• 자동 조치는 가역적이고 범위·횟수 제한이 있다.
• 경보 설정 변경과 모니터링 비활성화를 감시한다.

참고 기준

• AWS Cost Anomaly Detection
• Google Cloud Monitoring, Logging, and Alerting Guidelines
• Google Cloud Security Command Center Anomaly Detection
• Amazon GuardDuty

결론

비용 이상은 재무 숫자이면서 클라우드 행동 신호다. 계정·리전·서비스·주체·보안 로그를 연결하고, 자격 증명 폐기와 가역적 격리를 먼저 수행하는 공동 런북을 만들면 청구서가 오기 전에 오남용과 침해를 발견할 가능성이 높아진다.