[AWS] 3. AWS - 2차 인증, 멀티 팩터 인증(MFA) 적용 하기
안녕하세요. 갓대희 입니다. 이번 포스팅은 [ AWS 2차 인증, MFA 설정 하기 ] 입니다. : )
시작하기 앞서..
- AWS Console에 로그인하려고 보면 2가지 방식이 있는것을 보았을 것이다. (ROOT 계정, IAM계정 2가지 )
1) ROOT 계정
- 모든 권한을 가지고 있는 계정이다. 보안상 ROOT계정은 최대한 사용을 자제해야하고, IAM키로 제한된 기능을 사용해야 한다고 가이드 하고 있다.
2) IAM 계정
- AWS 리소스를 안전하게 관리하기 위한 서비스.
- ROOT 계정 혹은 다른 IAM 계정으로부터 권한을 부여 받으며, 주어진 권한 내의 작업만 할 수 있다.
IAM 계정관련해서는 다른 포스팅에서 다룰 예정이다.
당장 ROOT 계정을 사용한다면 최소한 MFA 설정은 꼭 하면 좋을 것 같다.
공식 문서도 참고 하도록 하자.https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html
1. MFA(다중 인증)란?
1. 특징
- FA(Multi-Factor Authentication) 인증, 서비스에 액세스 할 때 최소 2가지 이상의 인증을 받게끔 한 액세스 제어 방식.
- 즉 2단계 인증(기존 인증 방식 외에 추가 인증 정보 입력을 사용하는 다중 인증 방식)이라는 방법을 통해보안을 강화할 수 있다.
ex) 흔히 은행업무를 볼때 OTP(One Time Password)를 사용해보았을 것이다. 이또한 MFA 방식이다.
- 요즘은 일반적으로 흔히 2단계 인증을 설정하도록 하는데, 이 단계를 무시한다면 어떤 일이 발생할 수 있을까?
ex 1)
계정/패스워드 인증 방식으로만 사용 하는 경우, 계정 정보 탈취, 서비스 이용 요금 과다 발생 등 의 문제가 발생할 수 있다. 나와 같은 경우도 예전 Cafe24의 호스팅 서비스에 흔한 비밀번호로 설정하였더니, 바로 중국에 해킹 당하여 과다 비용으로인한 요금을 낼 뻔한 위기가 있었다.
ex 2)
요즘같은 경우 비트코인 채굴에 활용된다면, 요금 폭탄을 맞을 수도 있을 것이다.
2.MFA 활성화 방법
1. AWS Console 로그인 및 IAM 서비스 접속
2. 계정을 클릭한 후, [내 보안 자격 증명]을 클릭한다.
3) [멀티 팩터 인증(MFA)]를 클릭한 후, [MFA 할당] 버튼을 클릭한다.
- 현재 계정에서는 MFA를 설정한 적이 없기 때문에 다음과 같이 노출 되며, [MFA] 할당 버튼을 누른다.
4) MFA 디바이스 유형 선택
※ 3가지 MFA 디바이스 유형이 있다.
[가상 MFA 디바이스] 방법이 스마트폰을 통해 간편하게 인증가능하니 선택 하였다.
혹시 이외의 방법은 [U2F 보안 키], [다른 하드웨어 MFA 디바이스]가 있으며,
자세한 내용은 AWS 공식 문서를 참고 하도록 한다.
5) 가상 MFA 디바이스 설정
- 대표적으로 Google OTP(Google Authenticator), Authy 등의 애플리케이션을 통해 인증 가능한데,
이번엔 Authy를 통해 인증하는 방법을 포스팅 하려 한다.
ex) 구글 OTP or Authy (나의 경우 )
6) [QR 코드 표시] 버튼을 클릭하고, Authy 또는 구글 OTP를 통해 QR코드 스캔한다.
- 해당 QR 코드도 안전하게 백업 가능 하다면, 하도록 하자. 폰을 분실했을때 이를 통해 다시 설정 가능 하다.
- QR코드를 핸드폰으로 스캔 하면 다음과 같이 팝업이 뜨는것을 볼 수 있다.
( 나와 같은 경우 Authy 앱을 설치하여 로그인은 미리 해 둔 상황 이다. )
7) 스캔 후 화면에 보이는 코드를 MFA 코드 1에 입력 한다.
8) 이후 일정 시간이 지난 후 다음 갱신되는 코드를 MFA 코드 2에 입력 한다.
- 이후 MFA 추가 클릭
- 로그아웃 후 다시 로그인 시도해보도록 하자.
9) 설정 완료 후 AWS 콘솔 로그인
- 기존 계정 정보를 통해 1차 인증을 한다.
- 이후 아래와 같이 2차 인증 과정이 추가되는 것을 확인할 수 있다.
- 이로써 2단계 인증, MFA 인증을 완료 하였다. 꼭 보안을 위해서라도 설정하도록 하자.