계정 단위 EBS 기본 암호화가 OFF임에도 암호화가 설정된 EBS를 조사해 봤습니다.

안녕하세요 클래스메소드 김재욱(Kim Jaewook) 입니다. 이번에는 계정 단위 EBS 기본 암호화가 OFF임에도 암호화가 설정된 EBS를 조사해 봤습니다.

AWS 환경 확인

AWS 계정 설정으로 EBS 암호화는 비활성화된 상태입니다.

하지만, 생성한 EBS 볼륨을 확인해 보면, 암호화가 설정된 상태입니다.

왜 EBS가 암호화가 될까?

계정 단위 EBS 기본 암호화(Default Encryption)가 OFF인 상태라면, 사용자가 별도로 암호화를 설정하지 않는 한 일반적으로 신규로 생성되는 EBS 볼륨은 비암호화 상태로 생성됩니다.

여기서 중요한 포인트는 바로 “사용자가 암호화를 설정하지 않는 한” 이라는 조건입니다. 즉, 계정 설정이 OFF이더라도 암호화가 적용될 수 있는 지점이 존재합니다.

AMI 생성 단계에서는 암호화 옵션이 비활성화되어 있어 암호화 여부를 선택할 수 없는 것처럼 보이지만, 해당 AMI가 비암호화 스냅샷을 기반으로 생성된 경우에는 EC2 인스턴스 생성 단계에서 다시 한 번 루트 볼륨의 암호화 여부를 선택할 수 있습니다.

아래 이미지처럼, 암호화되지 않은 EC2로부터 생성된 AMI를 기반으로 인스턴스를 생성하면 스토리지 설정 단계에서 볼륨의 암호화 유무를 명시적으로 지정할 수 있는 것을 확인할 수 있습니다.

즉, 이번 케이스에서 EBS 암호화 여부는 AMI 생성 시점이 아니라 EC2 생성 시점에서 사용자의 선택에 의해 결정된 것이며,
계정 단위 EBS 기본 암호화 설정과는 직접적인 연관이 없었습니다.

마무리

이번 조사를 통해 계정 단위 EBS 기본 암호화가 OFF인 환경에서도 EBS가 암호화되어 생성될 수 있는 조건을 정리할 수 있었습니다.

처음에는 단순히 “계정 설정이 OFF인데 왜 암호화됐을까?”라는 의문에서 시작했지만, 실제로는 AMI의 암호화 강제 여부와
EC2 인스턴스 생성 단계에서의 사용자 선택이 EBS 암호화 여부를 결정하는 핵심 요소였습니다.

특히 헷갈리기 쉬웠던 부분은 AMI 생성 화면에서는 암호화 옵션이 비활성화되어 보이지만 해당 AMI가 비암호화 스냅샷 기반인 경우 EC2 생성 단계에서 다시 암호화 여부를 선택할 수 있다는 점이었습니다.

이로 인해 “AMI에서는 선택이 안 되는데, EC2 생성 시에는 암호화가 바뀌는 것처럼 보이는” 혼란스러운 상황이 발생할 수 있습니다. 하지만 이를 정상 동작으로 이해하면 전체 흐름이 명확해집니다.

정리하면, 암호화된 AMI는 EC2 생성 시에도 암호화가 강제되며 비암호화 AMI는 EC2 생성 단계에서 암호화 여부가 최종 결정됩니다. 계정 단위 EBS 기본 암호화 설정은 기본값일 뿐, 절대적인 기준은 아닙니다.

이번 사례를 계기로, EBS 암호화 여부를 명확하게 통제해야 하는 환경이라면 AMI 생성 단계뿐 아니라 EC2 생성 단계, IaC 템플릿, 조직 단위 정책까지 함께 점검할 필요가 있다는 점을 다시 한 번 느꼈습니다.

같은 상황에서 혼란을 겪고 있는 분들께 이 정리가 조금이나마 참고가 되기를 바랍니다.