MFA 개념과 AWS MFA 등록 방법(feat. AWS IAM)

📚 목차

1.  MFA 개념
2.  AWS MFA 활성화

1.  MFA 개념

다중 인증(MFA: Multi-Factor Authentication)은 말 그대로 서비스에 액세스 할 때 최소 2가지 이상의 인증을 받게끔 한 액세스 제어 방식입니다. 예를 들어, 인터넷 뱅킹 로그인 시 보안 강화를 위하여 OTP(One Time Password)를 사용하는 것도 MFA 방식 중 하나라고 볼 수 있습니다(그림 1).

그림 1. OTP 디바이스

아마존웹서비스(AWS)의 루트 계정은 보안이 무엇보다 중요합니다. 루트 계정이 탈취당할 시 서비스 제어권을 완전히 잃어버리는 것은 물론이고, 해커의 비트코인 채굴에 활용되며 과금 폭탄을 받을 수 있기 때문입니다. 따라서 루트 계정 사용을 최대한 자제하는 것이 좋으며, 로그인 시 2개 이상의 인증 절차를 밟는 MFA 사용을 권장하고 있습니다. 루트 계정의 개념에 대한 자세한 내용은 이곳을 참고해 주세요.

2.  AWS MFA 활성화

AWS에서 MFA를 활성화하는 방법을 소개합니다.

1) IAM 서비스 접근

먼저, AWS 콘솔 창에 IAM을 검색하고 해당 서비스로 접근합니다(그림 2).

그림 2. IAM 서비스 접근

2) MFA 활성화 버튼 클릭

아래 그림 3과 같이 멀티 팩터 인증(MFA)을 누르고 [MFA 활성화] 버튼을 클릭합니다.

그림 3. [MFA 활성화] 버튼 클릭

3) MFA 디바이스 유형 선택

AWS에서는 3가지 MFA 디바이스 유형이 있습니다(그림 4). 본 포스팅에서는 스마트폰으로 간편하게 이중 인증이 가능한 [가상 MFA 디바이스]를 중점적으로 다룹니다. [U2F 보안 키] 혹은 [다른 하드웨어 MFA 디바이스]에 대한 자세한 내용은 AWS 공식 문서를 참고하시길 바랍니다. [U2F 보안 키] 혹은 [다른 하드웨어 MFA 디바이스]는 USB 또는 기타 다른 하드웨어 기기를 활용하여 이중 인증을 해야 합니다. 이러한 하드웨어 기반의 인증방식은 OTP, 보안카드와 같이 탈취의 위험성이 크다는 것이 단점입니다. 반면, 모바일 앱 기반의 가상 MFA 방식은 분 단위로 새로운 암호를 부여하기 때문에 사용성과 보안을 강화한 방법이라고 할 수 있습니다.

그림 4. MFA 디바이스 유형

가상 MFA 디바이스 개념

AWS와 동기화한 스마트폰이나 태블릿 내 구글 OTP 앱에서 1분 단위로 새로운 암호 6자리를 얻을 수 있습니다(그림 5). AWS 콘솔 로그인 시 계정 비밀번호 입력 후 가상 MFA 디바이스를 통해 얻은 암호를 입력해야만 정상적으로 로그인이 됩니다.

그림 5. 구글 OTP

가상 MFA 디바이스 설정방법

먼저, 구글 OTP 앱을 스마트폰이나 태블릿에 다운로드합니다. 안드로이드 기종의 경우 플레이 스토어에서, iOS 기종의 경우 앱스토어에서 다운로드하실 수 있습니다(그림 6).

그림 6. 구글 OTP 안드로이드용 앱

OTP 앱 설치기 완료되었다면 아래의 그림 7처럼 [QR 코드 표시] 버튼을 클릭합니다. 

그림 7. QR 코드 생성

아래의 그림 8처럼 QR 코드가 나왔다면 구글 OTP 앱을 실행합니다.

그림 8. QR 코드 생성완료

안드로이드 기종의 경우, [QR코드 스캔]을 클릭하여 QR코드를 스캔합니다(그림 9).

그림 9. QR 코드 스캔 버튼 클릭

QR 코드 스캔 후 앱 화면에 나온 6자리 숫자를 아래의 그림 10에 3번 문항 MFA 코드 1에 입력합니다. 해당 QR 코드는 백업용으로 안전한 곳에 반드시 따로 저장해 두시길 바랍니다. 이는 가상 MFA 디바이스인 스마트폰을 분실했을 경우를 대비하기 위함입니다. 해당 디바이스가 없다면 로그인이 불가하기 때문이죠.

그림 10. QR 코드 생성완료

QR 코드 2개를 모두 저장하고, 2개의 MFA 코드를 입력했다면 PC 상에 [MFA 할당] 버튼을 클릭합니다. 이제 루트 계정의 MFA 할당이 완료되었습니다.

4) 로그인 화면 확인

이제 루트 사용자 로그아웃 후 로그인을 시도하면 비밀번호 입력 후 아래 그림 11과 같이 MFA 코드를 요구합니다. 구글 OTP 앱을 열어 화면에 나온 6자리 암호를 입력해 주세요.

그림 11. 루트 사용자 로그인 시 멀티 팩터 인증 요구

---

포스팅 내용에 오류가 있을 경우 아래에 댓글 남겨주시면 감사드리겠습니다😊

그럼 오늘도 건강하고 즐거운 하루 보내시길 바랍니다 :)

고맙습니다.