AWS MFA 분실했을 경우, 해결 방법

AWS 계정의 MFA를 분실하면 로그인이 불가능해지고, 계정 복구는 매우 까다로워집니다.  
이 글은 제가 실제로 겪은 MFA 분실 상황부터 공증을 통한 계정 복구 절차까지 상세히 정리한 경험 글입니다.  
같은 문제를 겪고 있는 분들께 실질적인 해결 가이드를 제공하고자 작성했습니다.

 

AWS MFA 이란?

Multi Factor Authentication 약자로 AWS 계정 또는 IAM 사용자 계정에 대한 보안 수준을 높이기 위한 이중 인증 방식입니다. 단일 비밀번호 인증 방식만 사용하는 것보다 훨씬 안전한 접근 방식을 제공합니다. MFA는 사용자가 로그인할 때 두 가지 요소로 본인을 인증하도록 요구합니다. 첫 번째는 일반적인 사용자 이름과 비밀번호 같은 자격 증명이지만, 두 번째는 사용자의 물리적 소유물에서 생성된느 일회용 인증 코드(OTP)입니다. 이 코드가 없으면 로그인이 불가능하므로 설령 비밀번호가 유출되더라도 MFA 코드 없이는 접근이 차단됩니다. AWS에서는 MFA를 통해 루트 계정이나 IAM 사용자 계정의 보안을 강화할 수 있으며 콘솔 로그인이나 민감한 API 작업 시 추가 인증 수단으로 사용됩니다. MFA 인증은 보통 6자리 숫자 코드를 기반으로 하며 이 코드는 약 30초마다 변경됩니다. MFA 장치는 여러 가지 유형이 있는데 가장 일반적인 방식은 스마트폰에 Google Authenticator, Microsoft Authenticator, Authy 같은 앱을 설치해 사용하는 가상 MFA 디바이스입니다. 그 외에도 USB 방식의 보안키(U2F 보안 키) AWS에서 직접 제공하는 하드웨어 토큰 같은 물리 장치도 사용 가능합니다.

분실 과정과 문제점

저는 Google Authenticator 사용하고 있었습니다. 그러다 어플 정리를 하번하자 싶어 디바이스의 사용하지 않는 어플들을 지우기 시작합니다. 이 때 실수로 Google Authenticator 어플을 삭제해버립니다. 당연히 어플안에 있던 MFA 정보도 같이 삭제되었고 뒤 늦게 어플을 다시 설치했지만 날아간 MFA 돌아오지 않았습니다. 여기까지만 해도 찾으면 되겠지 조금 귀찮아졌네 라고만 생각했던 것 같습니다. AWS 사이트에 방문하여 MFA 분실시 대응 방법에 대해서 알아보기 시작합니다. 2가지가 있었는데 AWS 서버와 재동기화는 MFA 자체가 삭제되었기 때문에 저한테는 적용되지 않았고 2번째 대체 팩터를 사용하여 로그인 방법이 해당되었습니다. 근데 여기서 또 문제가 발생합니다. 제가 사용하는 AWS 계정 정보 중 이메일은 정상적으로 등록되어있었으나 전화번호가 제가 사용하는 번호가 아닌걸로 등록되어있었습니다. 계정에 등록된 이메일 + 전화번호로 인증 가능해야 해결가능한 방법입니다. 결과적으로 저는 두 가지 방법 모두 사용할 수 없었습니다. 이 때부터 피곤함이 밀려오기 시작합니다. 저는 AWS 서비스지원팀에 문의하기위하여 아래 사이트에 접근하여 제가 가지고있는 문제점에 대해서 문의했습니다. 메일과 함께 전화가 왔습니다. 처음에 국제전화라 당황했는데 전화주신분이 한국분이셔서 문제점에 대해서 잘 전달하였습니다. 해결방법에 대해서 알려주셨는데 파일을 보낼테니 공증과 함께 작성해서 보내달라는게 답변이었습니다. 답변을 받고 공증이라는 단어가 굉장히 거슬렸습니다. 살면서 공증이란걸 받아본적도 없고 어떻게 받아야하는지도 몰랐거든요.

AWS 문의 방법

1. 해당 계정에 이메일과 전화번호가 정확하게 등록되어있다면 "대체 팩터를 사용하여 로그인" 통하여 쉽게 문제를 해결할 수 있습니다. 해당 사항이 없다면 2번부터 따라해주세요.

2. 방법이 없습니다. AWS 서비스지원팀에 문의해야합니다. AWS 사이트에 접속해서 헤더의 문의하기를 선택합니다. 페이지 이동하면 구독자 지원 서비스에서 "다중 인증 관련 문제 발생 시 지원 받기"를 선택합니다.

3. 이메일 주소는 꼭 계정의 이메일을 입력해주세요. 동일해야 진행이 가능합니다. 현재 문제에 대해서 입력하고 계속을 눌러주시면 됩니다.

4. "로그인하지 않고 계속하기" 눌러서 진행해주시면 됩니다. 추가 정보들을 입력하고 사례 생성하면 이메일이 날아오고 몇분뒤에 국제전화로 전화가옵니다. 문제사항에 대하여 말씀드리면 해결방법에 대한 솔루션을 제공해줍니다.

해결과정

다른 해결방법이 있나 여기저기 찾아봤지만 시간낭비였고 공증을 받기로 마음을 먹었습니다. 공증은 아무데서나 할 수 있는건 아니고 정부에서 지정해 놓은 곳들이 있습니다. 옆 링크에서 확인하시고 방문하시면 됩니다. (공증 사무소 => https://enotary.moj.go.kr/ ) 저는 다행히 직장 근처 도보권에 있더군요. 오전에 짬내서 다녀왔습니다. 가격은 5~6만원 사이에서 측정되고 소요시간은 30분 정도입니다. 공증을 받으면 서류를 주는데 해당 서류를 PDF 변환하여 AWS측에서 제공한 파일과 함께 이메일로 제출하면 됩니다. 그리고 몇 시간 후 아래 같이 MFA 삭제 진행하겠다는 메일이 날아오면 마무리됩니다.

해결 후..

처음에는 게임 아이디 찾는 정도로 생각했습니다만 아다리가 맞지 않으니 굉장히 힘들었습니다. 사소한일에 에너지 쓰는 것을 극혐하는데 돈과 관련된 문제다보니 괴롭게 진행했네요. 로그인이 된다면 첫번째로 전화번호를 업데이트하겠습니다. 번호만 일치했어도 이렇게 개고생은 안했을텐데.. 두번째 IAM 계정을 생성하겠습니다. 루트 계정으로만 운영하니 문제가 발생했을 때 답이 없더군요. 세번째 MFA 인증이 선택이라면 비활성화하겠습니다. 혹시 저 같은 상황에 놓여 답답하신분들을 위해 작성해보았습니다. 그리고 AWS 지원팀 일처리 속도는 생각보다 빠릅니다.