AWS사용시 MFA(멀티팩터인증) 사용하여 보안을 강화하는 방법 #2FA #Google OTP

AWS와 관련해서 해킹으로 인하여

과하게 요금을 부과당하게 되었다는 이야기를 가끔 커뮤니티에서 보게 되는데요.

특히 일반적인 비밀번호만 설정하였을 경우 더욱 그렇습니다.

이에 대비해서 훨씬 안전한 멀티팩터인증을 사용해 좀 더 보안을 강화할 수 있는데요.

오늘은 이 방법에 대해서 간단히 정리해 보도록 하겠습니다.

 

1. MFA 설정

AWS를 많이 사용하지 않으신 분들에게는 어디서 이것을 설정할지 조금 어려울 수 있는데요.

이에 과한 설정은 "내 계정"에 있지 않구요.

내 보안 자격증명에 있습니다.

아래 이미지에서 가르키는 대로 내 보안 자격증명을 클릭하면 나오는 메뉴에서,

멀티 팩터 인증(MFA)를 클릭해 줍니다.

그럼 아래와 같이, MFA활성화 버튼이 나오게 되는데요.

이를 클릭해 줍니다.

 

 

그럼 어떤 MFA디바이스를 선택할 것 인지 고르라고 나오는데요.

보통은 휴대폰에 Google OTP(Google Authenticator)와 같은 앱을 사용하므로,

가상 MFA디바이스를 선택해 줍니다.

계속을 클릭해 줍니다.

 

 

다음 단계를 보기전에 Google 플레이스토어나 아이폰 앱스토어에 있는,

Google OTP(Google Authenticator) 앱에 대해서 잠깐 보도록 하겠습니다.

아래는 플레이스토어상의 Google OTP화면인데요.

빨간 화살표가 가르키는 것 처럼, 

인증번호가 일정시간 간격으로 계속 나오는 것 입니다.

은행에서 지급받는 OTP기기와 유사한 것인데,

앱으로 구현된 것이지요.

 

 

이제 다시 화면으로 돌아가서, 2번 목록을 클릭하면 QR코드가 나오게 되는데요.

이 QR코드를 Google OTP앱의 우측하단의 "+버튼"을 터치해 나오는 카메라로 스캔해 줍니다.

그리고 나서, 해당 앱에서 나오는 인증코드를

연속으로 2번 MFA 코드1과 MFA 코드2에 넣어줍니다.

 

 

 

MFA할당 버튼을 누르면 이제 MFA가 설정되었습니다.

앞으로는 로그인을 할 때, 비밀번호를 넣고 통과되더라도,

아래 이미지와 같이 MFA 인증번호를 입력하여야만 로그인 할 수 있습니다.

해커에게 비밀번호를 탈취당하더라도,

휴대폰이 본인에게 있다면, 일정시간간격으로 변하는 인증번호를 알 수는 없습니다.

 

 

2. 주의할 점

해킹에 대한 위험은 많이 줄어들었지만,

대신 인증번호를 가지고 있는 휴대폰을 잃어버리면 계정을 회복할 수 없으므로,

이에 대한 대비책을 가지고 있어야 합니다.

 

세가지 정도 방법을 생각할 수 있을 것 같은데요.

첫번째로는, 보관용 휴대폰에 Google OTP를 하나 더 설치해 놓는 것 이구요.

두번째로는, 위의 인증화면의 2번 하단에 비밀키 표시를 클릭하여서,

나온 비밀키를 어딘가에 적어놓아서 다른 휴대폰으로 해당 비밀키를 이용해

인증할 수 있도록 하는 것 입니다.

세번째로는, Authy앱 같이 계정이 있는 앱을 OTP로 사용해서,

휴대폰을 잊어버리더라도, Authy앱에 다시 다른 휴대폰에 로그인하여,

인증을 되살릴 수 있겠지요.