어쩐 개발자가 작업 중 S3 버킷을 만들어 두었는데 며칠 뒤에 혹시나 해서 비용을 확인해 보니 S3 PUT 요청으로 인해서 1,300 달러의 비용이 나왔다는 것을 확인했습니다. 거의 사용하지 않았는데 왜 비용이 나왔는지 추적해 보니 어떤 오픈소스 프로젝트에서 백업용 버킷으로 지정한 기본 버킷 이름이 하필 이 사람이 만든 이름과 똑같았고 해당 오픈소스를 가져다가 추가 설정없이 사용한 사람들의 모든 요청이 이 버킷으로 들어온 것이었습니다.

물론 권한이 없으니 이 요청은 모두 4xx 응답을 주며 접근이 거부되지만 AWS는 이러한 거부 요청에 대해서도 요금을 부과하기 때문에 발생한 일이었고 이 개발자는 이 문제에 관해서 설명하는 글을 쓰며 공론화 했습니다.

이 이슈는 온라인에 퍼져서 AWS에까지 전달되었고 AWS의 Chief Evangelist인 Jeff Barr는 트위터에서 이런 일은 없어야 한다며 곧 대응하겠다고 발표하며 얼마 지나지 않아 HTTP 3xx/4xx 무단 요청에 대해서는 과금하지 않도록 변경해서 발표했습니다.

빠른 대응은 칭찬할 만하지만 실제로 사용하지도 않고 누군지 모르는 사람이 권한없이 접근한 요청에 대해서도 그동안 과금하고 있다가 이슈화 되자 처리한 부분은 개인적으로 아쉽기도 합니다.

https://medium.com/@maciej.pocwierz/how-an-empty-s3-bucket-can-make-your-aws-bill-explode-934a383cb8b1