AWS Root 계정 보안의 최전선: MFA 설정 및 관리 전략
1단계: 가장 안전한 MFA 유형 선택
2026년 기준, 보안 수준에 따른 선택지는 다음과 같습니다.
유형 | 보안 수준 | 특징 | 추천 대상 |
FIDO2 보안 키 | 최상 | Yubikey 등 물리적 장치. 피싱에 면역력이 있음. | 루트 계정 필수 권장 |
가상 MFA 앱 | 중 | Google Authenticator, Authy 등 스마트폰 앱. | 일반 IAM 사용자용 |
하드웨어 TOTP | 고 | 숫자 생성용 전용 OTP 단말기. | 스마트폰 반입 불가 환경 |
2단계: 다중 MFA 등록
AWS는 현재 한 계정에 최대 8개의 MFA 장치를 등록할 수 있게 지원합니다. 루트 계정은 딱 하나만 등록해두면 장치를 분실했을 때 지옥문이 열립니다.
전략: 최소 2개 이상의 FIDO2 보안 키를 등록하세요.
실천: 하나는 본인이 지갑 등에 휴대하고, 다른 하나(Backup)는 회사 금고나 물리적으로 안전한 장소에 보관합니다.
3단계: 관리 방안 - "루트 계정은 잊으세요"
설정보다 중요한 것은 '쓰지 않는 것'입니다.
IAM 관리자 계정 생성: 루트 계정으로 MFA를 설정했다면, 즉시 관리자 권한을 가진 IAM 사용자나 IAM Identity Center(SSO) 역할을 만드세요.
로그인 차단: 이후 루트 계정의 비밀번호와 MFA는 금고에 넣고, 오직 결제 수단 변경이나 계정 해지 등 '루트만 가능한 작업' 외에는 절대 로그인하지 마세요.
연락처 최신화: MFA 장치를 모두 잃어버렸을 때 마지막 보루는 계정에 등록된 이메일과 전화번호입니다. 담당자가 퇴사해도 접근 가능하도록 공용 메일 그룹(예:
aws-admin@company.com)을 사용하세요.
4단계: MFA 분실 시 대응 프로세스
만약 MFA 장치를 분실했다면, 로그인 화면에서 "MFA에 문제가 있습니까?" 링크를 클릭하여 다음 절차를 밟아야 합니다.
1차 검증: 계정 이메일 주소로 전송된 코드 확인.
2차 검증: 계정에 등록된 기본 전화번호로 자동 응답 전화 수신 및 확인.
최종 단계: 위 방법이 모두 실패하면 AWS 고객 지원(Support)에 직접 신원 확인 서류를 제출해야 하며, 이 과정은 며칠이 소요될 수 있습니다.
댓글
댓글 0개
이 문서에는 댓글을 달 수 없습니다.