CloudTrail 로그 기록을 중지하거나 삭제하려는 시도를 감지하여 이메일로 통지 받아보기
2025.06.12안녕하세요 클래스메소드 김재욱(Kim Jaewook) 입니다. 이번에는 CloudTrail 로그 기록을 중지하거나 삭제하려는 시도를 감지하여 이메일로 통지를 받아봤습니다.
IAM 정책 & 역할 생성
이벤트가 감지되어 Lambda가 실행되었을 때 SNS로 이메일을 전송할 생각이므로 권한을 할당합시다.
[arn:aws:sns:ap-northeast-2:123456789012:NotifyAdmin]에는 SNS 토픽의 Arn을 입력합시다.
※ 사전에 Amazon SNS의 설정은 필수입니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowLogging",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "AllowSNSTopicPublish",
"Effect": "Allow",
"Action": "sns:Publish",
"Resource": "arn:aws:sns:ap-northeast-2:123456789012:NotifyAdmin"
}
]
}
Lambda 함수 생성
정책과 역할을 생성했다면, Lambda 함수를 생성하고 코드를 작성합시다.
[arn:aws:sns:ap-northeast-2:123456789012:NotifyAdmin] 항목에는 SNS 토픽의 Arn을 입력합니다.
간단하게, 지정된 이메일로 CloudTrail에 대한 알람을 전송합니다.
import json
import boto3
def lambda_handler(event, context):
sns = boto3.client('sns')
message = json.dumps(event, indent=2)
sns.publish(
TopicArn='arn:aws:sns:ap-northeast-2:123456789012:NotifyAdmin',
Subject='⚠️ CloudTrail 변경 시도 감지',
Message=message
)
return {'status': 'alert sent'}
EventBridge 규칙 생성
EventBridge에서는 CloudTrail 로깅을 중지하거나 삭제하려는 시도가 발생했을 때 이벤트가 트리거 되기 때문에 [StopLogging], [DeleteTrail]에 대한 이벤트 규칙을 생성합시다.
{
"source": ["aws.cloudtrail"],
"detail-type": ["AWS API Call via CloudTrail"],
"detail": {
"eventSource": ["cloudtrail.amazonaws.com"],
"eventName": ["StopLogging", "DeleteTrail"]
}
}
테스트용 버킷 권한 지정
먼저 테스트를 위해 S3 버킷의 로그를 생성하고 삭제하는 과정을 진행할 생각입니다. 하지만, 이 테스트를 하기 위해서는 해당 버킷에 권한을 지정해야 합니다.
CloudTrail에서 로그를 생성하고자 하는 버킷에 다음과 같은 권한을 설정합니다. [버킷 이름]에는 해당 버킷의 이름을 입력하고 [AWS 계정 이름]에는 AWS 계정 ID를 입력합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::버킷 이름"
},
{
"Sid": "AWSCloudTrailWrite",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::버킷 이름/AWSLogs/AWS 계정 이름/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
결과 확인
테스트를 위해 CloudShell에서 다음 명령어를 입력합니다.
[your-test-bucket]에는 조금 전 권한을 설정한 S3 버킷의 이름을 입력합니다.
aws cloudtrail create-trail --name TestTrail --s3-bucket-name your-test-bucket
aws cloudtrail start-logging --name TestTrail
aws cloudtrail stop-logging --name TestTrail
aws cloudtrail delete-trail --name TestTrail
명령어를 입력했다면, CloudTrail의 로그가 생성되고 로깅 시작 → 중지 → 삭제될 것입니다. 이에 따라 이벤트가 발생할 것이고, Lambda를 통해 이메일을 받아볼 수 있습니다.
하지만, json 형식으로 이메일이 도착하기 때문에 조금 알아보기 어렵습니다.
Lambda 함수를 조금 다듬어 봅시다.
import json
import boto3
sns = boto3.client('sns')
def lambda_handler(event, context):
# CloudTrail 이벤트에서 필요한 정보 추출
detail = event['detail']
event_name = detail.get('eventName', 'Unknown')
user = detail.get('userIdentity', {}).get('arn', 'Unknown')
time = event.get('time', 'Unknown')
region = event.get('region', 'Unknown')
# 사용자에게 보내줄 메시지 생성
message = f"""
🚨 [CloudTrail 알림]
이벤트: {event_name}
사용자: {user}
시간: {time}
리전: {region}
"""
# SNS에 깔끔한 메시지 전송
sns.publish(
TopicArn='arn:aws:sns:ap-northeast-2:123456789012:MyTopic',
Message=message.strip(),
Subject='[경고] CloudTrail 이벤트 감지됨'
)
return { 'status': 'success' }
결과를 확인하면 다음과 같습니다.
많이 간략화 시켰지만, CloudTrail에서 이벤트 정보를 추출해서 사용자가 원하는 이벤트를 출력해 볼 수 있습니다.
문의 사항은 클래스메소드 코리아로!
클래스메소드 코리아에서는 다양한 세미나 및 이벤트를 진행하고 있습니다.
진행중인 이벤트에 대해 아래 페이지를 참고해주세요.
AWS에 대한 상담 및 클래스 메소드 멤버스에 관한 문의사항은 아래 메일로 연락주시면 감사드립니다!
Info@classmethod.kr
