Amazon Web Services 한국 블로그
AWS 루트 계정 및 IAM 사용자를 위한 패스키 다중 인증(MFA) 추가
보안은 Amazon Web Services(AWS)의 최우선 과제입니다. 오늘 AWS 계정의 보안 태세를 강화하는 데 도움이 되는 두 가지 기능이 출시됩니다.
- 첫째, AWS 루트 계정 및 AWS Identity and Access Management(IAM) 사용자를 위해 지원되는 다중 인증(MFA) 목록에 패스키가 추가됩니다.
- 둘째, 가장 민감한 사용자인 AWS Organization의 관리 계정의 루트 사용자부터 시작하여 루트 사용자에게 MFA를 시행하기 시작했습니다. 올해 남은 기간 동안 다른 계정에도 이 변경 사항을 계속 적용할 예정입니다.
MFA는 계정 보안을 강화하는 가장 간단하고 효과적인 방법 중 하나로, 권한 없는 개인이 시스템이나 데이터에 액세스하지 못하도록 추가 보호 계층을 제공합니다.
AWS 루트 계정 및 IAM 사용자에 대한 패스키를 사용한 MFA
패스키는 FIDO2 인증을 위해 생성된 자격 증명에 사용되는 일반 용어입니다.
패스키는 서비스 또는 웹 사이트에 등록할 때 클라이언트 디바이스에서 생성되는 암호화 키 페어입니다. 키 페어는 웹 서비스 도메인에 바인딩되며 각 도메인마다 고유합니다.
키의 퍼블릭 부분은 서비스로 전송되어 서비스 측에 저장됩니다. 키의 프라이빗 부분은 보안 키와 같은 보안 디바이스에 저장되거나 iCloud 키체인, Google 계정, 1Password 등의 암호 관리자와 같은 클라우드 서비스를 사용할 때 사용자 계정에 연결된 디바이스 간에 안전하게 공유됩니다.
일반적으로 키의 프라이빗 부분에 대한 액세스는 디바이스에 따라 PIN 코드 또는 생체 인식 인증(예: Face ID, Touch ID, Microsoft Hello)으로 보호됩니다.
패스키로 보호되는 서비스에서 인증을 시도하면 서비스에서 브라우저로 챌린지를 전송합니다. 그런 다음 브라우저가 디바이스에 프라이빗 키로 챌린지 서명을 요청합니다. 그러면 PIN 또는 생체 인식 인증이 트리거되어 프라이빗 키가 저장된 보안 스토리지에 액세스할 수 있습니다. 브라우저가 서비스에 서명을 반환합니다. 서명이 유효하면 서비스에 저장된 퍼블릭 키와 일치하는 프라이빗 키를 소유하고 있음이 확인되고 인증이 성공합니다.
AWS가 2020년 11월 AWS IAM Identity Center에서 패스키 지원을 시작했을 때 제가 작성한 게시물에서 이 프로세스와 다양한 표준(FIDO2, CTAP, WebAuthn)에 대한 자세한 내용을 확인할 수 있습니다.
암호 대신 패스키를 사용할 수 있습니다. 하지만 이번 초기 릴리스에서는 암호 외에 패스키를 두 번째 팩터 인증으로 사용하기로 했습니다. 암호는 사용자가 아는 것이고 패스키는 사용자가 소유하는 것입니다.
패스키는 암호보다 피싱 공격에 더 강합니다. 첫째, 지문, 얼굴 또는 PIN 코드로 보호되는 프라이빗 키에 액세스하기가 훨씬 더 어렵습니다. 둘째, 패스키는 특정 웹 도메인에 바인딩되므로 의도치 않게 공개되는 경우 범위가 축소됩니다.
최종 사용자는 사용 편의성과 간편한 복구의 이점을 누릴 수 있습니다. 휴대폰과 노트북에 내장된 인증 도구를 사용하여 AWS 로그인 환경에 대한 암호화된 보안 자격 증명을 잠금 해제할 수 있습니다. 또한 iCloud 키체인, Google 계정, 1Password 등의 클라우드 서비스를 사용하여 패스키를 저장하는 경우 패스키 제공업체 계정에 연결된 모든 디바이스에서 패스키에 액세스할 수 있습니다. 디바이스를 분실한 경우 이를 통해 패스키를 복구할 수 있습니다.
IAM 사용자에 대해 패스키 MFA를 활성화하는 방법
패스키 MFA를 활성화하려면 콘솔의 AWS Identity and Access Management(IAM) 섹션으로 이동합니다. 사용자를 선택하고 페이지에서 다중 인증(MFA) 섹션까지 아래로 스크롤합니다. 그런 다음 MFA 디바이스 할당을 선택합니다.
복원력과 계정 복구율을 높이기 위해 사용자에 대해 여러 개의 MFA 디바이스를 활성화할 수 있다는 점에 유의하세요.
다음 페이지에서 MFA 디바이스 이름을 입력하고 패스키 또는 보안 키를 선택합니다. 그리고 다음을 선택합니다.
패스키를 지원하는 암호 관리자 애플리케이션을 사용하면 해당 애플리케이션을 사용하여 패스키를 생성하고 저장할지 묻는 팝업이 나타납니다. 그렇지 않으면 브라우저에 몇 가지 옵션이 표시됩니다. 화면의 정확한 레이아웃은 운영 체제(macOS 또는 Windows)와 사용하는 브라우저에 따라 다릅니다. 다음은 Chromium 기반 브라우저가 설치된 macOS에 표시되는 화면입니다.
나머지는 선택 사항에 따라 달라집니다. iCloud 키체인은 패스키를 생성하고 저장하기 위해 Touch ID를 묻는 메시지를 표시합니다.
이 데모에서는 휴대폰 등의 다른 디바이스에서 패스키를 부트스트랩하는 방법을 보여드리고자 합니다. 따라서 대신 휴대폰, 태블릿 또는 보안 키 사용을 선택합니다. 브라우저에 QR 코드가 표시됩니다. 그런 다음 휴대폰을 사용하여 QR 코드를 스캔합니다. 휴대폰에서 Face ID로 사용자를 인증하고 패스키를 생성하고 저장합니다.
이 QR 코드 기반 흐름을 통해 한 디바이스의 패스키를 사용하여 다른 디바이스(데모에서는 휴대폰과 노트북)에 로그인할 수 있습니다. 이는 FIDO 사양에 의해 정의되며 CDA(Cross Device Authentication)로 알려져 있습니다.
모든 것이 순조롭게 진행되면 이제 패스키가 IAM 사용자에게 등록됩니다.
단, IAM 사용자를 사용하여 AWS Console에서 사람을 인증하는 것은 권장하지 않습니다. 대신 AWS IAM Identity Center에서 AWS Single Sign-On(SSO)을 구성하는 것이 좋습니다.
로그인 환경은 어떤가요?
MFA가 활성화되고 패스키로 구성되면 계정에 로그인을 시도합니다.
사용자 경험은 사용하는 운영 체제, 브라우저 및 디바이스에 따라 다릅니다.
예를 들어 iCloud 키체인이 활성화된 macOS에서는 Touch ID 키를 터치하라는 메시지가 표시됩니다. 이 데모에서는 CDA를 사용하여 휴대폰에 패스키를 등록했습니다. 따라서 시스템에서 휴대폰으로 QR 코드를 스캔하라고 요청합니다. 스캔이 완료되면 휴대폰이 Face ID로 사용자를 인증하여 패스키를 잠금 해제하고 AWS Console에서 로그인 절차를 종료합니다.
루트 사용자에 대해 MFA 시행
오늘 두 번째 발표는 일부 AWS 계정의 루트 사용자에 대해 MFA 사용을 시행하기 시작했다는 것입니다. 작년에 Amazon의 Chief Security Officer인 Stephen Schmidt가 블로그 게시물을 통해 이 변경 사항을 발표했습니다.
Stephen의 말을 인용하자면
AWS에서 가장 권한이 높은 사용자가 MFA로 보호되고 있는지 확인하는 것은 AWS 고객의 보안 태세를 지속적으로 강화하기 위한 노력의 최신 행보에 불과합니다.
가장 민감한 계정인 AWS Organizations의 관리 계정부터 시작했습니다. 정책 배포는 한 번에 수천 개의 계정으로 점진적으로 진행됩니다. 앞으로 몇 달 동안 대다수 AWS 계정의 루트 사용자에 대한 MFA 적용 정책을 점진적으로 배포할 예정입니다.
루트 사용자 계정에서 MFA를 활성화하지 않은 상태에서 업데이트되면 로그인할 때 MFA를 활성화하라는 새 메시지가 나타납니다. 유예 기간이 지나면 MFA가 필수가 됩니다.
이제 중국을 제외한 모든 AWS 리전에서 다중 인증에 패스키를 사용하기 시작할 수 있습니다.
모든 AWS 리전에서 다중 인증 사용을 시행하고 있습니다. 중국의 두 리전(베이징, 닝샤)과 AWS GovCloud(미국)의 AWS 계정에는 루트 사용자가 없기 때문에 이들 리전은 예외입니다.