brunch

라이킷 6 댓글 4 공유

You can make anything
by writing

C.S.Lewis

프로젝트 리스트 바로가기
계정을 잊어버리셨나요?
by 맥가이버 잡부 Apr 25. 2022

Windows 로그인 OTP 적용

 PC 보안강화를 위한 첫 걸음 

재택 근무가 많아지고 원격 근무가 활성화 됨에 따라 원격지에서 개인정보처리 시스템 업무를 진행해야 하는 경우가 많아지고 있으며, 이에 따른 보안 위험도 증가할 수 밖에 없는 현실이다.


물론 VDI(Virtual Desktop Infrastructure)를 도입하여 보안 위협의 해소한 기업도 있지만, 라이선스 비용이나 VDI 도입에 따른 추가적인 인프라 구축비용 등 규모가 작은 중소기업에게는 현실적인 대안이 될 수 없어, 대부분의 IT 관리자 또는 운영자들이 TeamViewer 등 원격 Tool을 사용하여 사무실의 PC를 통해 업무를 진수행하는 경우를 많이 볼 수 있다.


물론 해당 Tool들의 보안성이 낮다고 말할 수는 없으나, DID(Defense In Depth) 처럼 보호 대책을 중첩으로 적용하면 그만큼 보안성이 높아진다고 할 수 있으므로 Windows PC에 오픈 소스로 MFA(Multi Factor Authentication)를 적용하는 방법에 대해서 설명 하고자 한다.



1. S/W 준비

1.1 multiOTP 다운로드

다운로드 사이트 : https://download.multiotp.net/credential-provider/

github 사이트 : https://github.com/multiOTP/multiotp

다운로드 사이트 맨 하단에 최신 설치 버전과 수작업으로 삭제 할 수 있는 Registry 파일 다운로드 링크가 있으므로 설치할 PC에 다운로드 한다.

OTP를 적용할 Windows의 계정이 한글명인 경우 오류가 발생될 수 있으므로 영문ID 계정을 신규 생성하여 사용해야 한다.


1.2 S/W 설치 및 삭제

multiOTPCredentialProvider-x.exe 을 실행하여 Installer로 설치하며, 삭제는 제어판에서 Uninstall 할 수 있다.

Uninstall이 안되는 경우 앞서 다운로드한 Registry 파일을 실행하여 OTP비활성도 가능하다 



2. OTP 설치 및 설정

2.1 multiOTP 설정

multiOTPCredentialProvider-x.x.x.x.exe을 실행후 "Figure 1." multiOTP 설정에서 Local only 모드로 설치하기 위해 인증서버와 관련된 설정은 모두 삭제한다.

Figure 1. multiOTP 설정



2.2 OTP 생성

앞써 1.1 단계에서 설정을 마치고 Intall이 완료되면 Windows 계정과 비밀번호 입력창이 나오는데, 이때 OTP를 생성하기 위해 Windows command 창을 "Figure 2." 처럼 관리자모드로 연다.

Figure 2. OTP 생성


1) OTP 신규 생성 (계정ID=User인 경우)

$ multiotp.exe -fastcreatenopin "User" 

$ multiotp.exe -set "User" description="User OTP"

$ multiotp.exe -qrcode "User" otp-qrcode.png

Google Authenticator 또는 Microsoft Authenticator을 플레이스토어(아이폰은 앱스토어)에서 다운로드 받아 otp-qrcode.png 를 이용하여 생성된 OTP를 등록한다.


2) OTP 백업 및 복원

$ multiotp.exe -backup-config "백업비밀번호" otp-backup.config

multiotp.exe -restore-config "백업비밀번호" otp-backup.config

백업한 otp-backup.config을 타 PC에서 복원하는 경우 동일한 OTP를 사용할 수 있으므로, 분실하지 않게 보관한다.



2.3 OTP 검증 및 로그인

관리자모드에서 OTP생성이 완료되었으면 "Figure 3." 처럼 Windows 비밀번호와 OTP번호를 입력하여 정합성을 검증한다.

Figure 3. OTP 검증 및 로그인

 정상적으로 검증이 완료되면 Windows 잠금모드(Win버튼+L)로 가서 로그인을 테스트 한다.



2.4 OTP 비상조치

앞선 단계로 정상 설치를 완료하였는데, 오류 메시지가 표시되는 경우 multiOTPCredentialProvider를 삭제해야 하므로 PC를 재부팅하여 안전모드(OTP를 입력하지 않음)로 로그인해서 S/W를 삭제한다. 


keyword
맥가이버 잡부 소속 직업 개발자

지난 20여년 동안 개발, DA, AA, Infra, AWS, 보안 등 앞만보고 달리다 보니 어느새 라떼와 고인물이 된 IT 잡부가 맥가이버가 되기 위한 글쓰기 도전을 시작합니다.
구독자 5
작가의 이전글 오픈소스 SoftEther VPN 구축#1
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari