2025년 10월 14일 오후, 레이어 디자인 스튜디오에서 연락이 왔습니다.
"pnation.com 사이트 접속이 안 됩니다. 몇 주간 건드린 게 없는데 갑자기 이렇게 됐어요."
pnation.com은 싸이가 대표로 있는 엔터테인먼트 레이블 P-NATION의 공식 사이트입니다. 그누보드 기반으로 운영 중이었고, AWS EC2에 올라가 있었습니다.
증상은 두 가지였습니다.
mysqli_real_connect(): (HY000/2002): No such file or directory
사이트 자체가 먹통이고, phpMyAdmin도 접속 불가. DB 서비스 자체가 죽은 상태였습니다.
들어가기까지가 일이었다
AWS 루트 계정에 MFA가 걸려 있었습니다. 대표 폰으로 인증 코드가 가는 구조라 레이어에서도 바로 접근이 안 됐습니다. SSH 접속도 보안 그룹에 IP 허용을 받아야 했습니다.
결국 레이어 퍼블리셔가 AWS 콘솔에서 직접 IP를 보안 그룹에 추가해줘서 SSH 접속에 성공했습니다.
원인은 무차별 대입 공격
접속 후 DB 로그를 확인했습니다. MySQL root 계정으로 무차별 대입 공격(Brute Force Attack)이 들어왔고, 그 과정에서 MySQL 서비스가 다운됐습니다.
서버 상태를 보니 이렇게 되어 있었습니다.
- OS: Amazon Linux AMI 2018.03 — EOL 상태, 보안 업데이트 없음
- PHP: 7.2
- DB: root 계정으로 직접 운영 (취약)
- 인스턴스: t2.xlarge (월 44만원)
MySQL을 재시작하고 사이트 접속을 확인했습니다. 약 2시간 만에 복구됐습니다.
진단 결과
"서버 버전도 오래되고, DB 루트 권한 보안 문제도 있고."
- phpMyAdmin이 외부에 그대로 노출된 상태
- root 계정으로 DB를 운영해서 공격 대상이 됨
- OS가 EOL이라 보안 패치 자체가 불가능
- t2.xlarge 오버스펙에 월 44만원
엔터테인먼트 회사 특성상 갑자기 트래픽이 몰릴 수 있어 AWS를 선택한 것 같은데, 관리 인력 없이 그냥 올려두면 이런 일이 생깁니다.
권고사항
- phpMyAdmin 외부 접속 경로 변경 또는 IP 제한
- MySQL root 계정 비활성화, 별도 계정 운영
- OS 업그레이드 (Amazon Linux 2023)
- Fail2ban 설치로 무차별 대입 공격 자동 차단
- 그누보드 최신 버전 업데이트
- 보안 그룹 22번 포트 IP 제한
비용
긴급 서버 복구 기준 55만원이지만, 이번 건은 MySQL 재시작과 로그 확인 수준이었습니다. 10만원으로 처리했습니다.
AWS 위에 올라간 그누보드 사이트라도 관리가 안 되면 공격받습니다. 유명한 소속사라고 해서 서버가 알아서 안전해지지 않습니다.
0 좋아요
0 답글
30 조회