대부분의 서비스는 로그인에 대한 추가 보안을 위해서 MFA (Multi-Factor Authentication)를 제공하고 있습니다. AWS는 해킹이 발생하면 금전적으로 큰 손해를 볼 수 있기 때문에 반드시 MFA를 설정하는 것이 중요합니다.
MFA 설정을 위해서 계정의 [보안 자격 증명]으로 접근하면 위와 같은 화면을 보실 수 있습니다.
3가지 유형의 MFA 디바이스를 선택할 수 있는데, 일반 사용자 입장에서는 하드웨어 기기가 필요한 아래의 2가지 옵션은 이용하기가 어렵습니다. 그래서 어플리케이션을 통한 [인증 관리자 앱] 방식으로 진행을 하겠습니다.
인증 관리자 앱은 다양한데, 주로 사용하는 앱은 아래와 같습니다.
- Twilio Authy Authenticator
- Microsoft Authenticator
- Google Authenticator
- LastPass Authenticator
- Bitwarden
코드 기반의 인증만 제공하는 Authenticator와 암호 저장 및 관리를 함께 제공하는 Vault 기반의 LastPass, Bitwarden 같은 서비스들이 있습니다. 이 외에도 다양한 앱이 제공되므로 기존에 사용하시던 앱을 이용하셔도 됩니다.
이제 디바이스 설정 화면에서 [QR 코드 표시]를 눌러 코드를 스캔하거나 [보안 키 보기]를 통해서 직접 보안키를 앱에 등록할 수 있습니다. 이렇게 등록한 다음 생성되는 2개의 연속직인 MFA 코드를 순서대로 입력하고 MFA 추가를 완료하면 됩니다. MFA를 설정하면 해당 계정은 반드시 로그아웃 후에 다시 로그인을 해야지만 정상적으로 권한이 할당됩니다.
혹시라도 등록한 MFA 앱이 삭제되거나 휴대폰 교체등의 이유로 MFA에 접근이 불가능하다면, root 계정이나 다른 관리자 계정을 통해서만 MFA 초기화가 가능합니다. 만약 다른 관리자 계정이 없는 상태에서 root 계정의 MFA를 유실한다면, AWS Support를 통해서만 복구가 가능하며 절차가 굉장히 어렵습니다. 꼭 참고하셔서 MFA 관리를 잘 하시기 바랍니다.