[AWS] 3. AWS - 2차 인증, 멀티 팩터 인증(MFA) 적용 하기

안녕하세요. 갓대희 입니다. 이번 포스팅은 [ AWS 2차 인증, MFA 설정 하기 ] 입니다. : )

 

 

시작하기 앞서..

 - AWS Console에 로그인하려고 보면 2가지 방식이 있는것을 보았을 것이다. (ROOT 계정, IAM계정 2가지 )

1) ROOT 계정
 - 모든 권한을 가지고 있는 계정이다. 보안상 ROOT계정은 최대한 사용을 자제해야하고, IAM키로 제한된 기능을 사용해야 한다고 가이드 하고 있다.

2) IAM 계정
 - AWS 리소스를 안전하게 관리하기 위한 서비스.
 - ROOT 계정 혹은 다른 IAM 계정으로부터 권한을 부여 받으며, 주어진 권한 내의 작업만 할 수 있다.

 

IAM 계정관련해서는 다른 포스팅에서 다룰 예정이다.

당장 ROOT 계정을 사용한다면 최소한  MFA 설정은 꼭 하면 좋을 것 같다. 

 

공식 문서도 참고 하도록 하자.https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html

 

1. MFA(다중 인증)란?

1. 특징

 - FA(Multi-Factor Authentication) 인증, 서비스에 액세스 할 때 최소 2가지 이상의 인증을 받게끔 한 액세스 제어 방식.

 

 - 즉 2단계 인증(기존 인증 방식 외에 추가 인증 정보 입력을 사용하는 다중 인증 방식)이라는 방법을 통해보안을 강화할 수 있다.
ex) 흔히 은행업무를 볼때 OTP(One Time Password)를 사용해보았을 것이다. 이또한 MFA 방식이다.

 

 - 요즘은 일반적으로 흔히 2단계 인증을 설정하도록 하는데, 이 단계를 무시한다면 어떤 일이 발생할 수 있을까?
ex 1)

계정/패스워드 인증 방식으로만 사용 하는 경우, 계정 정보 탈취, 서비스 이용 요금 과다 발생 등 의 문제가 발생할 수 있다. 나와 같은 경우도 예전 Cafe24의 호스팅 서비스에 흔한 비밀번호로 설정하였더니, 바로 중국에 해킹 당하여 과다 비용으로인한 요금을 낼 뻔한 위기가 있었다.

 

ex 2)

요즘같은 경우 비트코인 채굴에 활용된다면, 요금 폭탄을 맞을 수도 있을 것이다.

 

2.MFA 활성화 방법

1. AWS Console 로그인 및 IAM 서비스 접속

2. 계정을 클릭한 후, [내 보안 자격 증명]을 클릭한다.

 

3) [멀티 팩터 인증(MFA)]를 클릭한 후, [MFA 할당] 버튼을 클릭한다.

 - 현재 계정에서는 MFA를 설정한 적이 없기 때문에 다음과 같이 노출 되며, [MFA] 할당 버튼을 누른다.

 

4) MFA 디바이스 유형 선택

 

※ 3가지 MFA 디바이스 유형이 있다. 

[가상 MFA 디바이스] 방법이 스마트폰을 통해 간편하게 인증가능하니 선택 하였다.

혹시 이외의 방법은 [U2F 보안 키], [다른 하드웨어 MFA 디바이스]가 있으며, 

자세한 내용은 AWS 공식 문서를 참고 하도록 한다.

 

5) 가상 MFA 디바이스 설정

 - 대표적으로 Google OTP(Google Authenticator), Authy 등의 애플리케이션을 통해 인증 가능한데,
   이번엔 Authy를 통해 인증하는 방법을 포스팅 하려 한다.

 

ex) 구글 OTP or Authy (나의 경우 )

 

6) [QR 코드 표시] 버튼을 클릭하고, Authy 또는 구글 OTP를 통해 QR코드 스캔한다.

 - 해당 QR 코드도 안전하게 백업 가능 하다면, 하도록 하자. 폰을 분실했을때 이를 통해 다시 설정 가능 하다.

 - QR코드를 핸드폰으로 스캔 하면 다음과 같이 팝업이 뜨는것을 볼 수 있다.

 ( 나와 같은 경우 Authy 앱을 설치하여 로그인은 미리 해 둔 상황 이다. )

 

7) 스캔 후 화면에 보이는 코드를 MFA 코드 1에 입력 한다.

8) 이후 일정 시간이 지난 후 다음 갱신되는 코드를 MFA 코드 2에 입력 한다.

 - 이후 MFA 추가 클릭

 - 로그아웃 후 다시 로그인 시도해보도록 하자.

 

9) 설정 완료 후 AWS 콘솔 로그인

 - 기존 계정 정보를 통해 1차 인증을 한다.

 - 이후 아래와 같이 2차 인증 과정이 추가되는 것을 확인할 수 있다.

 

 - 이로써 2단계 인증, MFA 인증을 완료 하였다. 꼭 보안을 위해서라도 설정하도록 하자.