GCP 서비스 계정 권한 과다화로 인한 보안 사고 대응 가이드 AI 생성 이미지: GCP 서비스 계정 권한 과다화로 인한 보안 사고 대응 사고 개요와 영향 범위를 신속히 파악하기 즉시 목표는 영향받은 서비스 계정·프로젝트·리소스, 활동 시간대와 잠재적 데이터·권한 노출 범위를 빠르게 식별하는 것입니다. 권장 체크리스트: 서비스 계정·프로젝트 식별: Cloud Asset이나 콘솔에서 확인하고, gcloud iam service-accounts list --project=PROJECT 로 목록을 조회합니다. 활동 타임라인 확보: Cloud Audit Logs(Logs Explorer)에서 해당 계정으로 필터링(예: principalEmail 또는 protoPayload )해 최초·최종 활동 시점을 기록합니다. 키·토큰 노출 여부 확인: gcloud iam service-accounts keys list --iam-account=SA 로 키를 확인하고, 사용하지 않는 키는 즉시 폐기하거나 회수합니다. 권한 범위 파악: 프로젝트와 리소스별 IAM 바인딩을 추출(예: gcloud projects get-iam-policy , Asset Inventory)해 과다 권한을 식별합니다. 데이터 접근 점검: GCS, BigQuery, Pub/Sub, Compute 등에서 최근 읽기·내보내기 로그를 확인하고 민감 데이터 접근 흔적을 조사합니다. 증거 보존·격리: 로그를 내보내고 VM 스냅샷을 확보하며, 필요하면 계정을 임시 비활성화해 격리합니다. 실무 체크: 예를 들어 GCP 서비스 계정 권한 과다화로 인한 보안 사고 대응 시에는 계정 즉시 격리 → 노출 키 폐기 → 관련 로그·쿼리 조사 → 영향을 받은 데이터셋 접근 권한 제거 → 복구 및 권한 재설계 순으로 진행합니다. 탐지 신호와 초기 경보: 어떤 로그와 지표를 확인할까 초기 대응에서는 우선 확인해야 할 로그와 지표와 그 우선순위는 다음과 같다. Cloud Audit Logs — Ad...