Microsoft Authenticator는 2단계인증을 위한 시간제한 1회성 코드를 발급하는 모바일 앱입니다. 이는 AWS나 험블번들 같은데 2단계인증 로그인을 하는데 사용할 수 있습니다.
AWS 계정 해킹 당해서 3억 청구된 이야기같은 무서운 이야기를 들어보셨는지 모르겠네요. 클라우드 서버는 사용하는 서비스, 컴퓨터나 가상머신의 사양과 갯수에따라 “사용한 만큼” 돈을 내야합니다. 그런데 AWS 계정정보가 유출, 해킹당하면서 자신의 AWS 계정이 코인채굴등에 사용되는등 여러 피해사항이 나타나고 있습니다.
AWS는 안타깝게도 이 방면에 악명이 있는데요. 많이들 사용하는 만큼 계정위협에 노출된 계정도 많기 때문인데다가 그 피해가 막대한 금전적피해로 다른 해킹사례보다 임팩트가 크기 때문일 겁니다.
최소한 루트계정에 대한 2단계 인증 로그인을 해커보다 미리 등록해놓아서 계정접근을 막는게 좋을 텐데요. 이를 위한 것이 MFA(멀티 팩터 오센티피케이션)입니다. 여기 소개하는 방법은 1회성 비밀번호를 발급해주는 Authenticator 앱을 사용해 2단계 인증을 하는 방법입니다.
1회용 비밀번호 인증용 앱 준비하기
여러회사의 보안인증 앱이 있지만 저는 마이크로소프트(MS)의 Microsoft Authenticator 인증 앱을 사용했습니다. 이 앱으로 AWS의 2단계 인증용 1회용 비밀번호를 발급받아 사용할 수 있습니다. 이 앱에 AWS MFA등록, 사용함에 있어서 MS 계정이나 AWS 계정로그인등은 필요하지 않습니다.
AWS 에서 MFA(멀티 팩터 인증) 등록하기
먼저 AWS에 로그인한 뒤, 콘솔에서 IAM(액세스 계정 관리) 을 검색해 IAM 대쉬보드에 진입합니다.
그러면 보안 권장 사항에서 루트사용자에 대해 MFA가 설정되지 않았다는 메시지를 볼 수 있을 겁니다. MFA 추가 버튼을 클릭해줍니다.
멀티 팩터 인증 항목을 펼쳐서 [MFA 활성화] 버튼을 클릭합니다.
MFA 디바이스 관리 창이 나오는데 [가상 MFA 디바이스] 항목을 선택하고 [계속]을 누릅니다.
아래그림처럼 디바이스 설정창이 나타나는데 1번은 앞에서 준비한 MS의 인증앱으로 했으니 넘어갑니다. 호환 애플리케이션 목록을 보면 다른 앱 목록도 볼 수 있습니다.
[QR 코드 표시]를 클릭하면 인증앱에서 등록할 큐알코드가 나옵니다.
이제 Microsoft Authenticator 인증 앱에서 위 큐알코드를 통해 AWS 인증 계정을 등록해줄 차례입니다. 어플을 열고 아래그림처럼 계정을 추가합니다. 오른쪽위 +버튼을 누릅시다.
[개인 계정]을 눌러 [QR 코드 스캔]을 선택 후 AWS 웹페이지에 나온 큐알코드를 스캔해주면 앱에 AWS 인증서가 등록될 겁니다.
이제 3번항목에 2개의 연속된 MFA 코드를 6자리씩 두번 입력해야하는데요.
Authenticator 어플에서 해당 계정을 열어보면 아래그림처럼 6자리 숫자가 30초 간격으로 변합니다. 첫번째 숫자는 빨리지나가서 입력하긴 어려울 거고, 6자리 숫자를 위 그림에 [MFA 코드 1]에 입력하고 바로뒤에 바뀌는 6자리를 [MFA 코드 2]에 입력해줍니다. 바뀌는 숫자 두개가 연속되게 입력해줘야합니다. [MFA 할당]을 클릭해줍니다.
할당이 완료되면 AWS 웹페이지에 아래그림같은 메시지가 나올겁니다.
AWS 로그아웃 후 재로그인하기
로그 아웃 후 이제부터는 매번 2단계 인증을 통한 로그인을 해야합니다.
이메일 주소와 비밀번호로 AWS에 로그인하고 나면 아래처럼 [인증 디바이스로 AWS에 로그인] 페이지가 뒤따라 나와서 여기에 인증코드를 넣고 로그인해야합니다.
등록했던 Microsoft Authenticator 인증 앱을 열어 아래그림처럼 [일회용 암호 코드]에 나타나는 현재숫자 6자리를 위그림의 [인증 코드:] 부분에 입력하고 로그인하면 됩니다.
MFA 관리 및 삭제
등록한 MFA를 삭제 하고 싶다면 AWS 콘솔에 로그인 후 화면 오른쪽 위에 자기계정 이름을 클릭, [보안 자격 증명] 메뉴를 선택해 IAM 대쉬보드로 이동합니다.
IAM의 [보안 자격 증명]항목중 [멀티 팩터 인증(MFA)] 항목을 펼쳐보면 등록했던 가상 디바이스 목록이 나옵니다. [관리]를 눌러봅니다.
MFA 디바이스 관리 항목이 나타나면 [제거] 작업을 선택 후 [제거]버튼을 눌러 2단계인증을 삭제할 수 있습니다.