AWS 기술 블로그

AWS 환경에서 사용하는 멀티 팩터 인증(MFA)의 모든 것

AWS 환경에서 보안을 위해 고려해야하는 사항은 계정 관리에서부터 시작해서 안전한 네트워크 구성 그리고 다양한 AWS 서비스를 보안 모범 사례에 따라 설정하는 것까지 다양하게 존재합니다. 각 영역과 설정 단계마다 적용되어야 하는 보안 설정이 모두 중요하다고 볼 수 있지만 이 포스팅에서는 AWS 환경에서 멀티 팩터 인증(Multi Factor Authentication, 이하 “MFA”)를 사용하는 방법에 대해 살펴보려고 합니다.

MFA 는 Root 사용자와 IAM 사용자(User)에게 할당하여 인증 시 추가적인 보안이 적용될 수 있도록 구성하실 수 있습니다. Root 사용자의 경우 해당 계정이 AWS Organizations 서비스에서 제공하는 계정 생성 메뉴를 통해 생성한 것이 아니라면 해당 계정을 생성한 Root 사용자에 의해 MFA 가 설정되어야 합니다. 그리고, 특정 계정 내의 IAM 사용자에 대해서는 IAM 의 관리 권한을 가진 IAM Administrator 가 MFA 의 사용을 강제하여 해당 계정 내의 모든 IAM 사용자 혹은 특정 IAM 사용자가 인증 시 MFA 를 적용하도록 구성할 수 있습니다.

그럼 계정 생성 단계에서부터 AWS 서비스의 운영 환경에서 적용될 수 있는 MFA 의 설정 방법과 사용 방법 등에 대해 하나 하나 살펴보도록 하겠습니다.

1. 사용 가능한 MFA 종류

먼저 여러분들이 AWS 환경에서 사용 가능한 MFA 의 종류에 대해 살펴보도록 하겠습니다. AWS 환경에서 사용하는 MFA 는 Root 사용자나 IAM 사용자 모두 아래 화면과 같이 3가지 유형의 MFA 장치를 선택하여 사용하실 수 있습니다.

  • Virtual MFA Device
    – 스마트폰에 설치된 앱이나 컴퓨터에서 사용하는 MFA 를 지원하는 애플리케이션을 이용하는 방법을 말합니다. 일반적으로 가장 많이 사용하는 방법 중 하나로 스마트폰이나 컴퓨터에 설치되어 있는 애플리케이션을 이용하기 때문에 언제 어디서든 해당 앱이나 어플리케이션을 이용할 수 있는 환경이라면 편리하게 사용할 수 있습니다. 스마트폰에서 사용 가능한 MFA 앱/어플리케이션은 Google Authenticator, Authy, 1Password, Microsoft Authenticator 등 다양하기 때문에 선호하는 앱/어플리케이션을 선택하시기 바랍니다.Tip. 스마트폰에서 사용하는 MFA 앱/어플리케이션 중에는 여러 기기(Smartphone, Tablet, PC 등)에서 자유롭게 동일한 계정에 대한 MFA 를 제공하기 위하여 백업 및 동기화 기능을 제공하는 앱을 사용하시기를 권고드립니다. 백업 및 동기화 기능이 없는 경우 스마트폰을 분실하거나 초기화하는 경우 MFA 정보를 잃어버리게 되어 AWS 이용에 어려움을 겪으실 수 있습니다.
  • U2F(Universal 2nd Factor) Security Key
    – U2F 는 FIDO Alliance 에서 호스팅하는 공개인증 표준입니다. 그리고 U2F 장치란, 아래 그림과 같이 사용자의 컴퓨터 USB 포트에 MFA 를 지원하는 물리적인 장치를 연결하는 경우를 말합니다. U2F 는 MFA 를 위해서 반드시 물리적 장치가 반드시 사용자의 컴퓨터에 연결되어 있어야 합니다. 따라서, 서로 다른 장치간에 동기화될 수 없으며 사용자가 반드시 MFA 장치를 소유하고 있어야 한다는 번거로움이 있을 수는 있지만 보안적으로는 별도의 프로그램이 없이도 MFA 를 구성할 수 있기 때문에 보다 높은 수준의 보안을 구성하실 수 있습니다.주의. U2F 를 사용하실 때는 브라우저의 지원 여부를 반드시 확인하셔야하며 AWS 에서 지원가능한 U2F 사용 환경은 링크를 참고하시기 바랍니다.

  • 기타 하드웨어 MFA 디바이스
    – U2F 보안키처럼 물리적인 장치이긴 하지만 U2F 와는 다르게 컴퓨터에 연결하는 것이 아니고 사용자가 사용할 수 있도록 인증을 위한 여섯 자리 숫자 코드를 제공하는 MFA 장치를 말합니다. 하드웨어 MFA 는 U2F 인증을 사용하지 않으며 각 IAM 사용자에 할당된 MFA 장치는 각 사용자 별로 고유하여야 합니다.

2. Root 사용자에 대한 MFA 적용

그럼 이제 AWS 계정을 처음 생성한 후 적용할 수 있는 MFA 설정이라고 볼 수 있는 Root 사용자에 대한 MFA 적용 방법을 살펴보도록 하겠습니다.

Root 사용자에게 MFA 를 적용하기 위해서는 먼저 Root 사용자(계정 생성 시 사용한 이메일 주소)를 이용하여 로그인한 후 화면 우측 상단의 이름 부분을 선택한 후 상세 메뉴에서 “보안 자격 증명” 을 클릭하여야 합니다.

이후 아래와 같은 메뉴에서 “MFA 활성화” 버튼을 클릭하여 MFA 를 활성화할 수 있습니다.

MFA 디바이스 관리 메뉴에서 자신이 원하는 디바이스의 유형을 선택합니다. 이 포스트에서는 “가상 MFA 디바이스” 를 선택하도록 하겠습니다.

“가상 MFA 디바이스” 를 선택한 경우 아래 화면과 같이 “호환 애플리케이션 목록” 링크와 함께 QR 코드를 스캔하는 화면이 나타나는 것을 알 수 있습니다. 사용하는 애플리케이션에서 QR 코드를 스캔한 후 6자리 숫자 코드를 한 번 입력하고 시간이 만료된 후 새로운 6자리 숫자코드를 입력하도록 합니다.

2가지 숫자코드가 정상적으로 입력되었다면 아래와 같이 “가상 MFA 할당 완료” 메시지를 확인할 수 있습니다.

MFA 를 활성화하는 자세한 방법은 링크를 참고하시기 바랍니다.

Root 사용자에 대한 MFA 가 정상적으로 완료되었다면 IAM 서비스 대시보드에 아래와 같이 보안 권고 항목 중 “Root user has MFA” 가 초록색로 체크되어 있는 것을 확인할 수 있습니다.

Tip. Trusted Advisor 에서 Root 사용자에 대한 MFA 설정 확인

Root 사용자의 MFA 설정은 Trusted Advisor 에서도 확인이 가능합니다. Trusted Advisor 는 계정내의 각종 설정과 사용 현황을 분석하여 “비용 최적화”, “성능”, “보안”, “내결함성”, “서비스 한도” 등에 대한 정보를 제공하는 무료 서비스입니다. Root 사용자에 대한 MFA 적용 여부는 Trusted Advisor 의 “보안” 항목에서 아래와 같이 확인이 가능합니다.

3. IAM 사용자에 대한 MFA 적용

계정 내에서 가장 중요하고 많은 권한을 보유하고 있는 Root 사용자에 대한 MFA 를 설정하였다면 이번에는 IAM 사용자에 대한 MFA 를 설정해보도록 하겠습니다. 이 포스팅에서는 IAM 사용자의 생성 방법에 대한 내용은 생략하고 MFA 를 할당하는 방법에 대해서만 다루도록 하겠습니다.

일반적인 운영환경에서는 AWS 의 IAM 관리자가 개발자, 네트워크 관리자, 서버 관리자 등 각 업무를 담당하는 사용자에게 IAM 사용자를 생성하여 부여하게 됩니다. 그리고 이 환경에서 각 사용자가 MFA 를 자신이 부여받은 IAM 사용자에게 활성화해야 하는데요. 이러한 환경에서 조직의 모든 구성원(IAM 사용자)가 MFA 를 활성화하는 것을 강제하기 위해서는 아래와 같은 절차를 진행하여야 합니다.

  1. 계정 내의 IAM 사용자가 MFA 인증을 하지 않은 경우에는 AWS 서비스를 이용할 수 없도록 권한 제한
  2. 각 IAM 사용자가 자신이 직접 MFA 를 등록할 수 있도록 권한 부여
  3. 각 사용자에게 IAM 사용자로 로그인 후 MFA 등록 방법을 안내하고 MFA 를 등록하지 않은 상태에서는 AWS 서비스 사용 권한이 없음을 공지합니다.
  4. MFA 를 등록한 사용자는 자신이 등록한 MFA 를 이용하여 AWS 관리 콘솔 (Management Console)에 로그인 후 부여받은 권한을 이용하여 AWS 서비스를 이용합니다.

위의 각 단계 중 “단계1” 과 “단계 2”는  IAM 정책을 통해 구현하실 수 있습니다.

IAM 관리자는 위 정책을 참고하여 새로운 정책을 생성하거나 위 정책을 사용하여 각 IAM 사용자가 자신의 MFA 장치를 생성하고 등록하도록 권한을 부여할 수 있습니다. 위 정책은 MFA 등록과 관련한 권한만을 부여하기 때문에 MFA 등록 이외의 AWS 서비스에 대한 접근 권한에 대해서는 별도의 정책을 IAM 사용자별로 할당하여야 합니다.

IAM 사용자는 아래의 절차에 따라 자신의 MFA 를 등록할 수 있습니다.

IAM 관리자 설정

  1. 먼저 위 문서 링크에 있는 IAM 정책을 이용하여 새로운 IAM 정책(예, AllowMFA-authenticatedIAMuserstomanagedMFA)을 생성합니다.

  1. IAM 사용자를 생성 후 조금 전 생성한 IAM 정책을 부여합니다.

IAM 사용자 설정

  1. 각 개인은 자신이 부여받은 IAM 사용자 정보(Root 계정 ID, IAM 사용자 Username, Password)를 이용하여 AWS 관리 콘솔에 로그인 합니다.
  2. 관리 콘솔에 접속 후 IAM 서비스 메뉴로 이동합니다.
  3. IAM 서비스의 IAM 대시보드에 아래와 같이 “직접 MFA추가” 항목에 있는 “MFA 추가” 버튼을 클릭합니다.
  4. “MFA 추가” 버튼을 클릭 후 나타나는 중앙에 위치한 “MFA 디바이스 할당” 버튼을 클릭합니다.
  5. 다음 화면에서 각 개인은 자신이 선호하는 MFA 장치를 선택하여 등록할 수 있습니다. 이 포스트에서는 가상 MFA 장치를 등록하도록 하겠습니다.
  6. 다음 화면에서 가상 MFA 장치에서 제공하는 6자리 숫자 코드를 아래와 같이 2회의 연속된 코드로 입력하면 IAM 사용자에 대한 MFA 장치 등록이 완료됩니다.

IAM 관리자는 MFA 관리 권한을 위해 부여한 IAM 정책 이외에 각 IAM 사용자가 필요한 권한을 함께 부여하여 IAM 사용자를 생성할 수 있습니다. IAM 사용자에게 다른 AWS 서비스 권한을 부여하더라도 MFA 관리 권한에서 MFA 를 사용하지 않는 경우에는 권한을 부여받지 못하도록 하는 내용이 포함이 되어 있으므로 각 개인은 AWS 서비스 사용 시 반드시 IAM 사용자에 MFA 장치를 등록하는 것을 강제할 수 있습니다.

4. AWS CLI 에서의 MFA 사용

MFA 는 AWS 관리 콘솔 뿐만 아니라 AWS CLI 에서도 사용이 가능합니다.  관리 콘솔에서는 로그인 과정이 별도로 존재하기 때문에 사용자가 로그인을 하는 과정에서 MFA 를 적용받게 되고 MFA 를 사용하여 인증한 사용자는 MFA 사용을 요구하는 IAM 정책에서 문제없이 권한을 부여받을 수 있었습니다. 하지만 AWS CLI 환경에는 Login 과 같은 절차가 존재하지 않습니다. 따라서, 관리 콘솔과는 약간 다른 방식을 통해 MFA 가 사용되며 MFA 를 사용 여부를 확인하기 위한 IAM 정책을 생성할 때도 AWS CLI 에서의 특성을 고려하여 정책을 생성하여야 합니다. 그럼 먼저, AWS CLI 환경에서 MFA 를 사용하는 방법을 살펴 보도록 하겠습니다.

AWS CLI 환경에서 MFA 사용을 증명하기 위해서는 “aws sts get-session-token” 이라는 명령을 이용해서 별도의 Session Token 을 발급받아야 합니다. AWS 관리 콘솔에서는 로그인 후 웹 브라우저를 이용하여 MFA 의 적용 여부가 AWS 서비스를 호출할 때마다 지속적으로 반영이 되지만 AWS CLI 는 Login의 절차가 없으므로 자신이 발급받은 Access Key/Secret Key 으로 “aws sts get-session-token” 명령을 실행하여 새로운 Session Token 을 발급받음으로써 MFA 인증 여부를 증명하게 됩니다.

  1. AWS CLI 를 사용하기 위해서는 먼저 IAM 관리자로부터 부여받은 AWS Access Key와 Secret key 를 AWS CLI 명령어를 이용하여 등록합니다.
    aws configure --profile profile-name

#AWS CLI 중 --profile로 시작하는 부분은 AWS CLI 에 여러 쌍의 Access Key/Secret Key 를 사용하는 경우 구분하기 위한 용도로 사용됩니다. 한 쌍의 Access Key/Secret Key 만을 사용하는 경우라면 이 부분은 생략해도 됩니다. 참고. AWS CLI 의 설치 방법 또는 업데이트를 참고하세요.

부여받은 Access Key 와 Secret Key 를 정상적으로 등록하였다면 아래의 명령어를 입력하여 정상적으로 Access Key/Secret Key 가 입력되어 있는 것을 확인합니다.

aws sts get-caller-identity --profile profile-name
  1. Access Key/Secret Key 가 CLI Profile 에 등록되었다면 이번에는 관리 콘솔에서 등록하였던 MFA 장치의 serial number 를 준비해야 합니다. 이 부분은 MFA 등록 완료 후 아래와 같은 화면에서 확인할 수 있었던 “할당된 MFA 디바이스” 에 나타난 값을 준비하시면 됩니다.
  2. MFA Serial Number 가 준비되었다면 아래와 같은 명령어를 입력하여 Session Token 을 발급받도록 합니다.
aws sts get-session-token --serial-number arn:aws:iam::account-id:mfa/user-a --token-code token-value --profile profile-name

정상적으로 MFA 인증이 완료되었다면 아래와 같은 응답을 받게 됩니다.

{
  "Credentials": {
    "AccessKeyId": "ASIAEXAMPLEKEYID",
    "SecretAccessKey": "gY+LIyWk24rExamPleSecRetV/+MQY1",
    "SessionToken": "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",
    "Expiration": "2022-05-27T19:38:59+00:00"
  }
}

참고. AWS CLI 를 이용하여 MFA 인증 후 발급되는 Session Token 에는 위 응답에서와 같이 3가지 값이 포함되어 있습니다.
Access Key, Secret Key, Session Token

4. 사용자는 이 3가지 값을 이용하여 AWS CLI 를 이용해야만 AWS Service 에서 사용자가 MFA 인증을 완료한 사용자인지를 확인할 수 있습니다.따라서, 이 3가지 값을 AWS CLI 에 반영해주어야 하는데요. 적용하는 방법은 여러가지가 있지만 가장 단순한 방법은 아래의 명령과 같이 3개의 값을 각각 환경변수로 등
록하여 사용하는 것입니다.

export AWS_ACCESS_KEY_ID=ASIAEXAMPLEKEYID
export AWS_SECRET_ACCESS_KEY=gY+LIyWk24rExamPleSecRetV/+MQY1
export AWS_SESSION_TOKEN=IQoExampleSessionEND//////////wEaDmFwLW5vcnRoZWFzdC0yIkcwRQIhAOe13M5fPZ4qQaLxYeGInAURcr4UB3j6X+eRtSRR4Rj+AiAL/VGnBLCdhu4dmfDzKmuXwQ5krl3PsBEVQ7RH4LpykCr4AQi5//////////8BEAAaDDU1MDczNTQwNjI4MiIMgZbTCeA9MmqInlxOKswBPEty8KmCjsU2HOCVmAeweWWU74RToNA1xhZWYvjr6emjpIZxEtnR5xjECfNFlR5nqalwpTS2hsvBozD4IWy7sXuq5iETXjd0dHFMkFLnzTzHvjwPX505ej2S2kxBs8ZJHwQ6GS/ /8JAFjUl5ZlYpO3jR+0R5w39z2AiQOj9YO7RxQw7KtNcomMiaeJMJOAwpQGOpgBjZSz1zLtx4gSVrSB1URc5d6pyz4p/bHYriH5BbcJ8NACqDOWcNC6ql84yw+xnbmdjvSyFTJg6354QqUywcFNJYNqiQNKrhHOLpZsoW6yL2PYxC9JuqgNMt85NHxQC4D6wg8w9Vr/1ud9kNrPh9jNM+kQZgN5msu9c/tbeuz0K/vb2rD4y+SUBc0jjaf+t9TNlhXJCAdkW+Y=

5. 위와 같은 명령을 이용하여 3가지 값을 환경변수로 등록하였다면 아래의 명령을 실행하여 확인하도록 합니다.

aws sts get-caller-identity --profile profile-name

AWS CLI 에서의 MFA 사용과 관련한 자세한 사항은 링크를 참고하시기 바랍니다.

5. Federated User 대한 MFA 사용

Active Directory 나 Okta, Auth0, Ping 등 다양한 IdP(Identity Provider) 를 이용하여 AWS 와 계정을 연동하여 사용하는 Federation 환경에서는 MFA 에 대한 설정은 IdP 에서 수행하여야 합니다. 왜냐하면 MFA 는 사용자의 인증을 위한 수단이며 Federation 환경에서는 사용자에 대한 인증을 AWS(Service Provider)가 아닌 IdP 에서 수행하기 때문입니다. 따라서, Federation 환경에서는 AWS 를 이용하여 별도로 MFA 를 구성할 수 없습니다. 또한, MFA 가 IdP 에서 사용이 되었다고 하더라도 AWS 로 Federation 되는 과정에서 사용자가 MFA 인증이 완료되었는지 여부를 확인할 수 있는 방법이 없습니다. 따라서, Federation 환경의 경우에는 IAM Policy 등에서 MFA 를 강제하는 정책이 적용될 수 없습니다.

6. S3 Bucket Delete 사용 MFA 적용(MFA Delete기능)

S3 Bucket 은 중요정보나 민감정보 뿐만 아니라 기업이나 단체에서 운영하는 서비스를 위한 다양한 데이터가 저장되는 저장소입니다. 따라서, 이와 같은 S3 Bucket 이 실수나 악의적인 사용자에 의해 삭제되는 것을 미연에 방지하는 것이 아주 중요하다고 볼 수 있는데요. 이와 같은 관점에서 S3 Bucket 을 삭제할 때와 같은 중요한 작업에는 반드시 MFA 인증을 완료한 사용자에 대해서만 실행이 가능하도록 권한을 제한하는 것이 필요합니다. 사용자의 권한은  IAM Policy 나 SCP 와 같은 정책을 통해 구현할 수도 있지만, 이 글에서는 “MFA Delete” 라고 불리는 기능을 활용한 방법을 살펴보도록 하겠습니다.

다음은 “MFA Delete” 기능을 사용하였을 경우 MFA 가 반드시 요구 되는 S3 Bucket 관련 작업들입니다.

  • S3 Bucket 의 삭제
  • S3 Bucket 의 버전 관리 설정 변경
  • S3 Object 버전의 영구 삭제

참고로, “MFA Delete” 기능은 관리 콘솔에서는 설정할 수 없으며 반드시 AWS CLI 를 이용하여야 합니다. 그리고 “MFA Delete” 기능은Root 사용자에 의해서만 설정할 있습니다. Administrator 권한을 갖는 IAM 사용자를 포함한 모든 IAM 사용자/역할은 “MFA Delete” 설정을 적용할 수 없습니다.

  • 적용 방법
    aws s3api put-bucket-versioning --bucket bucketname \
    --versioning-configuration Status=Enabled,MFADelete=Enabled \
    --mfa "arn:aws:iam::/root-account-mfa-device mfa number"
  • API 를 이용한 삭제
    DELETE /my-image.jpg?versionId=3HL4kqCxf3vjVBH40Nrjfkd HTTPS/1.1
    Host: bucketName.s3.amazonaws.com
    x-amz-mfa: 20899872 301749
    Date: Wed, 28 Oct 2009 22:32:00 GMT
    Authorization: AWS AKIAIOSFODNN7EXAMPLE:0RQf4/cRonhpaBX5sCYVf1bNRuU=

주의. 윗 글(5. Federated User 에 대한 MFA 사용)에서 언급된 것처럼 Federated User 는 MFA 인증 여부를 AWS 에서 확인할 수 없습니다. 따라서, MFA 와 관련한 정책이나 기능을 SCP(Service Control Policy)나 Permission Boundary, Permission Policy 등에서 사용하면 안됩니다. “S3 Bucket Delete 사용시 MFA 적용” 기능 역시 Federation 환경에서는 사용하면 안됩니다.

7. Root 사용자용 MFA 분실 복구 방법

혹시라도 Root 사용자에 적용되어 있는 MFA 를 정상동작하지 않거나 분실한 경우라면 아래의 절차에 따라 Root 사용자에 적용되어 있는 MFA 를 재설정하거나 다른 인증 방법을 통하여 로그인을 할 수 있습니다. 이 포스트에서는 MFA 장치를 사용할 수 없는 경우를 가정하여 대체 인증을 통하여 로그인할 수 있는 방법에 대해 설명하도록 하겠습니다.

  1. Root 사용자에 대한 암호를 알고 있다면 아래와 같이 멀티 펙터 인증 단계에서 “MFA 문제 해결” 링크를 클릭합니다.
  1. “MFA 문제 해결” 을 클릭하면 아래와 같이 “1단계: 이메일 주소확인” 을 위한 페이지로 전환되는 것을 확인할 수 있습니다. “확인 이메일 전송” 버튼을 클릭하여 메일을 발송합니다.
  2. “확인 이메일 전송” 을 클릭하면 아래와 같이 “이메일을 보냈습니다.” 문구를 확인할 수 있습니다.
  3. Root 사용자의 Email 주소에 AWS Support Team 에서 발송한 메일이 수신된 것을 확인한 후 메일 본문에 있는 “Verify your email address” 링크를 클릭합니다.
  4. 링크를 클릭하면 새로운 브라우저 창이 열리며 아래 화면과 같이 “2 단계” 로 진행되는 것을 확인할 수 있습니다. 2단계는 AWS 계정에 등록된 전화번호를 이용한 인증단계입니다. “지금 전화걸기” 를 클릭하면 해외에서 계정에 등록된 전화번호로 전화가 오게 됩니다.
  1. “지금 전화하기” 를 클릭하면 화면이 바뀌면서 아래와 같이 전화를 받은 후 입력할 6자리 숫자 코드가 화면에 나타납니다. 해외에서 전화를 받으면 6자리 숫자 코드를 입력하시면 됩니다.
  2. 6자리 숫자 코드가 정상적으로 입력되면 아래와 같이 화면이 자동 전환되는 것을 확인할 수 있습니다. 이제 대체 인증 로그인 과정이 모두 마무리 되었으며 화면에 있는 “콘솔에 로그인” 버튼을 클릭하면 Root 사용자 계정에 자동으로 로그인 되는 것을 확인할 수 있습니다.
  3. 로그인이 완료된 이후 MFA 재등록을 진행하시면 됩니다.

참고. “2단계 전화인증” 의 경우 Root 계정에 등록된 전화번호를 통해 진행됩니다. 따라서, 각 계정에 등록된 전화번호가 유효해야하며 한국 전화번호의 경우 국가 코드 “82” 와 함께 “+8201012345678” 과 같은 형태로 등록해야 정상적으로 “2단계 전화인증” 진행이 가능합니다. 만일,  전화번호를 “01012345678” 이나 “8201012345678” 과 같은 형태로 입력하였다면 아래와 같이 2단계에서 “전화 확인을 완료할 수 없습니다.” 라는 문구와 함께 더이상 진행이 불가능하며 이 경우, Support Team 을 통해 기술지원을 받으셔야 합니다.

MFA 분실 시 대응 방법에 대한 자세한 사항은 링크를 참고하시기 바랍니다.

결론

AWS 환경에서 MFA를 사용하는 것은 가장 기본적이고 간단한 설정이지만 가장 효율적으로 AWS 자격증명을 보호할 수 있는 방법 중 하나입니다.  AWS 와 관련한 보안 사고들 중 많은 유형들이 적절하게 보호하지 않은 자격증명의 탈취를 통해 이뤄지는 것을 볼 수 있는데요. MFA 적용만으로도 자격증명 탈취를 통한 AWS 보안 사고는 많이 예방할 수 있으므로 AWS 서비스를 이용하신다면 반드시 MFA 설정을 적용하기를 부탁드립니다.

감사합니다.

Eunsu Shin

Eunsu Shin

신은수 Security Specialist Solutions Architect 는 보안 담당 SA로서 다양한 산업군의 고객들이 AWS 환경에서 수행해야하는 규정 준수 및 인증획득(개인정보보호법, 전자금융감독규정, ISMS-P 인증 등)을 위한 기술적인 도움을 제공해드리고 있습니다. 또한, 고객이 보다 안전하게 AWS 클라우드를 구성하고 운영할 수 있도록 다양한 모범 사례 공유, AWS 보안 서비스 교육 및 기술자문 등의 업무를 수행하고 있습니다.