# 1.9 MFA (Multi-Factor Authentication) 설정

<p class="callout info">취약점 설명</p>

**MFA, 흔히 말하는 2차인증, OTP, 다중 인증 과 같다. 사용자의 아이디, 패스워드 뿐만 아니라 다른 방법으로 추가 인증을 진행하는 것**

**요즘은 다른 곳에서 유출된 계정 정보를 가지고 다른 서비스에도 대입해보는 크리덴셜 스터핑 공격이 성행하기 때문에**

**사용자의 추가 인증이 거의 필수가 되가는 듯 하다.**

<p class="callout warning">딴소리</p>

**MFA인증 방식은 아래와 같다.**

[![image.png](https://www.ochidstudy.com/uploads/images/gallery/2025-09/scaled-1680-/JwZbMyZ12QJaGdg2-image.png)](https://www.ochidstudy.com/uploads/images/gallery/2025-09/JwZbMyZ12QJaGdg2-image.png)

**테스트를 해보다 보니 궁금점 콘솔 액세스가 비활성화 된 계정에 MFA를 설정하는게 의미가 있을까?**

[![image.png](https://www.ochidstudy.com/uploads/images/gallery/2025-09/scaled-1680-/SofB2bGd8nkfOijz-image.png)](https://www.ochidstudy.com/uploads/images/gallery/2025-09/SofB2bGd8nkfOijz-image.png)

**개인적으로 만들어서 쓰고 있는 보안 컨설턴트 페르소나를 가지고 있는 ai api에 물어보니 그렇다고 한다.**

[![image.png](https://www.ochidstudy.com/uploads/images/gallery/2025-09/scaled-1680-/OvkrGgQidu8nuJez-image.png)](https://www.ochidstudy.com/uploads/images/gallery/2025-09/OvkrGgQidu8nuJez-image.png)

<p class="callout info"><span style="white-space: pre-wrap;"> 진단 방법</span></p>

**01. \[IAM\] -&gt; \[사용자\] -&gt; 사용자 목록에 MFA가 활성화 되어 있는지 확인**

[![image.png](https://www.ochidstudy.com/uploads/images/gallery/2025-09/scaled-1680-/bQwjn1VggkvqaHGG-image.png)](https://www.ochidstudy.com/uploads/images/gallery/2025-09/bQwjn1VggkvqaHGG-image.png)

<p class="callout info">양호 취약 기준</p>

[![image.png](https://www.ochidstudy.com/uploads/images/gallery/2025-09/scaled-1680-/fslwjpJGwlQhJyv8-image.png)](https://www.ochidstudy.com/uploads/images/gallery/2025-09/fslwjpJGwlQhJyv8-image.png)

**양호 : 사용자 계정 로그인 시 MFA를 사용하고 있을 시**

**취약 : MFA가 활성화 되어 있지 않은 계정이 존재할 경우**

<p class="callout info">참고</p>