일단 질문자와 같은 시나리오라면...

aws 인스턴스라는 것이 ec2 를 의미하는 것이겠고...ec2 인스턴스에 mysql, mongodb를 개별설치하여 운영중이라고 이해가 됩니다.

우선 해킹의 종류도 다양함으로 원인을 찾는 것이 중요합니다.

sql injection 에 의한 것이라면 어플케이션의 문제이므로 aws와는 무관합니다.

sql injection 은 어플리케이션의 결함이므로...pass하구요

기본적으로 데이터베이스는 public 으로 노출되어 있으면 안됩니다. 인터넷에서 접근할 수 없어야 합니다.

mysql이 설치된 ec2는 필히 private subnet에 두어야 하며 해당 인스턴스에 접속이 필요하다면 public subnet 에 설치되어 있는 bastion 서버(ec2 인스턴스)를 통해서 접속해야 합니다.

httpd 가 설치된 ec2 는 security group 에서 꼭 필요한 포트(80, 443)만 오픈해야 합니다. 22번 같은 경우(bastion 서버 포함)는 질문자 pc만 접속할 수 있도록 network acl에 xxx.xxx.xxx.xxx/32 를 설정합니다.

aws 에서 웹어플리케이션 보안(웹방화벽)을 위한 aws waf 서비스가 제공됩니다. waf 를 이용하여 sql injection 도 어느정도 방어할 수 있습니다. 패턴을 등록하여 막아낼수는 있습니다. 그러나 이건 차선이겠죠.

또한 root access key 같은 것이 노출되었을 수 있습니다. ec2 내에서 access key 를 관리하고 있다면...삭제하고 ec2의 iam role 을 사용하여 사용하시기 바랍니다.

그리고...어플리케이션의 설정파일 혹은 소스에 mysql 의 id/password 를 저장하고 있다면 이것도 aws secret manager 서비스를 사용하여 id, password 를 보관하고 필요시(어플리케이션이 db에 접속할때)에 조회해서 사용해야 합니다.

개인적으로 추천하는 조합은 mysql 은 rds(rds의 mysql)를 이용하고 mongodb는 dynamoDB를 이용하면 인프라 업무를 많이 줄일 수 있습니다.