자격증명 유출은 클라우드 침해의 가장 흔한 진입점이다. GitHub에 무심코 커밋된 액세스 키, 피싱으로 탈취된 루트 비밀번호, 침해된 인스턴스에서 빠져나간 STS 토큰 — 공격자는 취약점을 뚫기보다 유효한 자격증명으로 정문으로 들어온다. 대응의 본질은 *"노출된 자격증명을 얼마나 빨리 무력화하고, 그것으로 무엇이 일어났는지 추적하며, 안전하게 재발급하느냐"*다. 시험은 자격증명 유형(IAM 사용자 키 / 루트 / 임시 STS / 페더레이션)별로 무력화 메커니즘이 다르다는 점을 집요하게 묻는다.
핵심 원칙 세 가지: ① 무력화는 삭제보다 비활성화·폐기가 우선(증거·복구 여지 보존), ② 유형마다 회수 메커니즘이 다름, ③ 무력화 후 반드시 활동 추적(CloudTrail)과 회전.