AWS MFA를 적용하여 Google OTP를 적용

1. AWS보안에 관하여

AWS해킹에 관해 말로 듣고 글로 보았는데, 결국 지인이 당했다. AWS에서 갑자기 연속해서 경고성 메일이 와서 확인해본 결과 사용하지 않던 리전에 인스턴스가 생성되어 있었다. 리전별 관리 콘솔이 다르게 보여서 미리 확인을 못한 것 같고 SSH키페어 이전에 AWS 루트 계정이 탈취된것 같다. 그래서 경각심을 가지고 AWS 2차 인증을 적용해보았다.

2. MFA 인증

공식가이드 문서 : https://aws.amazon.com/ko/what-is/mfa/

MFA(Multi Factor Authentication)다중 인증이란 로그인할 때 사용되는 아이디와 비밀번호 이외 다른 수단으로 2차 인증을 하는 것이다. 금융, 게임, 결재 등 많은 분야에서 이미 사용되고 있다. 수단으로는 보안카드, OTP, 메일인증, 지문, 얼굴 등 다양하다. 이번에는 Google OTP를 기준으로 진행해보고자 한다.

Google OPT 준비

아이폰, 안드로이드 등 모바일 스토어에서 구글 OTP를 설치한다.

AWS MFA 설정

AWS 관리 콘솔의 우측상단 계정을 클릭한 후 표시되는 메뉴의 보안 자격 증명을 클릭한다.

‘MFA 할당`을 클릭한다.

사용한 MFA 디바이스는 구글OTP 이다. 디바이스 이름을 지정해주고 인증 관리자 앱을 선택하고 다음을 클릭한다.

1. AWS에서 QR 코드 보기를 클릭해서 QR코드를 생성한다.
2. 구글 OPT를 실행하고 QR코드 스캔을 실행한다.
3. 구굴 OTP에 추가되고 6자리 숫자가 출력된다.
4. 화면에 6자리 숫자가 표시되고 이것을 MFA 코드1에 입력한다.
5. 잠시 후 6자리 숫자가 변경된다 이것을 MFA 코드2에 입력한다.
6. 다음을 클릭한다.

위와 같이 정상적으로 등록되었다는 메시지가 표시된다.

설정 완료 후 주의 할점

2차 OPT설정 후 보안이 강화되었다.

그런데 문제는 스마트폰을 분실, 파손 하였을 경우 본인 조차 로그인이 불가능해진다.

물론 AWS에 메일로 연락하고 본인인증하고 통화, 대화를 계속 시도하면 풀 수는 있다. 그런데 너무 힘들다.

미리 대비해두자.

• AWS는 8개까지 인증 디바이스를 설정 할 수 있다. 추가 디바이스를 만들어 두자
• AWS MFA를 설정할 때 QR스캔을 아니라 복구 코드로 입력을 하고 코드를 다른 곳에 백업 해둔다.
• 로그인 복원 방식을 지원하는 Authy 어플리케이션을 활용한다.

정답은 없지만 리스크는 미리 대비해두는 것이 나중에 시간이나 비용을 절감할 수 있다.

---

개인 공부 기록용 블로그입니다. 오류나 틀린 부분이 있을 경우 
댓글 또는 메일로 알려주시면 감사하겠습니다.

맨 위로 이동하기

aws 카테고리 내 다른 글 보러가기