AWS 계정 MFA 분실 및 재활성 가이드

AWS Root 계정에 MFA를 활성화 하여 보안을 강화하는 것은 클라우드 보안 기본 중 기본입니다.

이 때 MFA 의 경우 물리 디바이스나 가상 MFA 디바이스를 통해 인증을 구현합니다.

가장 많이 사용하는 방법은 스마트폰으로 인증하는 방식이며,  Google Athenticator, Authy, Microsoft Authenticator 등의 애플리케이션을 사용합니다.
MFA를 한 번 활성화 하면 반드시 추가 인증을 거쳐야 하고 그러지 않을 시 로그인이 차단됩니다.

따라서 휴대폰을 분실했다거나 애플리케이션 정보가 초기화 됐을 시에 MFA를 새로 발급받아야 합니다.

MFA를 새로 발급받는 방법은 아래와 같습니다. 

 

1. AWS Console 로그인

2. 다른 인증 방식으로 로그인 (메일->전화)

3. 기존 Root 계정 MFA 비활성화

4. 신규 MFA 활성화

 

1-1. 콘솔 로그인

aws 홈페이지에 접속하여 콘솔에 로그인 합니다.

루트 사용자 로그인 옵션을 선택하고 이메일 주소를 입력합니다.

1-2. MFA 문제 해결 클릭

계정 이메일 주소 및 비밀번호를 입력한 후 다음화면에서 'MFA 문제 해결'을 클릭합니다.

2-1. 대체 팩터를 사용하여 로그인

MFA가 활성화된 계정에 MFA 없이 로그인 하기 위해서는 이메일과 전화 ARS 인증 두 단계나 거쳐야 합니다. 

따라서 분실하지 않도록 주의합시다!

2-2. 메일 확인 및 검증 (1단계)

이때 로그인한 계정의 메일주소로 verification mail이 전송되고 15분전에 인증을 완료하여야 합니다.

아래와 같은 메일을 열고 Verify your email address 버튼을 클릭합니다.

2-3. 전화 통화로 확인 (2단계)

메일 인증을 마치면 2단계: ARS 인증을 거쳐야 합니다. ❗️이 때 전화는 한 번만 가능하기 때문에 인증을 한번에 성공해야 합니다!
안 그러면 이메일 로그인 부터 다시 시작해야돼요 ㅠ

 

2-4. 콘솔에 로그인

ARS 인증을 성공적으로 마쳤으면 아래와 같이 콘솔에 로그인 이라는 버튼이 활성화 됩니다. ❗️이 때 해당 로그인 세션 시간은 매우 짧으므로 빠르게 접속하여야 합니다.

3. 기존 MFA 비활성화

로그인을 하면 자동으로 보안 인증 페이지로 이동하게 됩니다. 기존 MFA는 제거 하고 새로운 MFA를 등록해줍니다.

기존 MFA 제거

4. 신규 MFA 디바이스 할당 

신규 MFA 디바이스 할당

신규 MFA 디바이스 할당 버튼을 클릭하면 다음과 같이 MFA 디바이스 유형을 선택하는 페이지가 나옵니다. 가장 일반적인 인증 관리자 앱 유형을 선택합니다. 

Google Authenticator 나 Authy 애플리케이션을 통해 QR을 인식하고 코드를 연속 두 번 연달아 입력하여 줍니다. 

저 같은 경우에는 Authy 애플리케이션을 사용하는데, 여러 계정을 백업할 수 있고 다른 기기에서 동기화도 가능합니다. 또한 디바이스가 아니라 계정만 있으면 언제든지 MFA 인증 기기로 사용할 수 있어서 편리합니다.

 

모든 작업을 마치면 다음과 같이 신규 MFA가 활성화 된 것을 확인할 수 있습니다.

앞으로의 사용자 인증에는 해당 디바이스를 사용하면 됩니다.