[AWS] Authy를 이용해 IAM User MFA설정하기

Authy란?

Authy는 MFA(Multi Factor Authentication)를 위한 인증코드를 받을 수 있는 어플리케이션 입니다. 기존에는 구글 OTP를 많이 사용하였을 텐데요. 디바이스간 공유가 불편하다는 단점이 있었습니다.

Authy앱은 데스크탑 버전과 모바일앱 둘다 지원하며 Authenticator Backup을 통해 디바이스간 공유가 가능합니다. 즉, 인증계정을 모바일앱에서 등록을하든 데스크탑 애플리케이션에서 하든 상관없이 공유 가능 하기 때문에 구글 OTP보다 더 유연하게 사용할 수 있다는 장점이 있습니다.

Authy는 언제 사용하나요?

AWS managed console에 로그인 할때 기본적으로 루트 계정 또는 IAM User로 접근하게 되는데 이때 보안을 강화하기 위한 방법으로 다중인증 즉, MFA(Multi Factor Authentication) 위해 사용할 수 있습니다.

Authy사용법

Authy설치 부터 AWS IAM User에 MFA등록하는 방법을 알아보도록 하겠습니다.

Authy 앱 설치

• https://authy.com/download/

AWS IAM User에 MFA활성화

AWS IAM User를 생성하고 아래와 같이 MFA를 활성화 합니다.

• AWS Managed Console - Services - IAM - Users - Security credentials탭 - Assigned MFA device

Virtual MFA device 선택

 

• Show secret key 클릭하여 MFA seceret key복사
  

secret key를 복사만하고 Authy앱을 실행합니다.

 

Authy앱에 Account 등록

아래와 같이 Account를 추가하고 위에서 생성한 secret key를 등록합니다.

• Add Account
  

 

• Enter key manually : 위에서 복사한 AWS MFA secret key입력
  

 

• Pick logo
  

 

• Account Nickname 입력
  

MFA 설정

위에서 Authy에 계정을 등록하면 token 값이 주어지며 매 30초 마다 값이 바뀝니다.
다시 AWS Managed Console로 돌아가서 30초 마다 생성되는 토큰값을 아래와 같이 2번 입력합니다.

Authenticator Backups (디바이스간 공유)

Authy앱을 실행하여 오른쪽 위에 설정 버튼을 클릭하고, 하단의 Accounts를 선택합니다. 그러면 내가 등록한 계정들이 보입니다.

여기서 상단에 Authenticator Backups를 활성화 해야 디바이스간 공유가 가능합니다. 즉, 데스크탑에서 계정을 추가했을때 모바일에서 보이게 하려면 데스크탑에서 이 기능을 반드시 활성화해야 합니다.

반대로 모바일에서 계정을 등록한 것을 데스크탑에서 보기에 하려면 모바일앱에서도 해당 기능을 활성화 하면됩니다.

끝으로

구글OTP도 크롬 브라우저의 플러그인을 통해 모바일앱 뿐만아니라 데스크탑에서도 가능합니다. 그런데 디바이스간 인증계정을 공유하기가 매우 어려워서 모바일앱만 사용했었습니다. 이렇게 될 경우 만약 핸드폰을 분실하였을 때 인증할 수 있는 방법이 없어지기때문에 매우 난처한 상황이 발생할 수 있습니다.

Authy를 사용하면 가상의 어딘가에 인증계정을 백업하게 되고, 이를 디바이스간에 공유를 할 수 있기 때문에 더욱더 유연하게 대처를 할 수 있습니다.