---
title: "GitLab.com, 비밀번호 로그인 전 사용자에 MFA 의무화 — CI/CD 파이프라인도 영향"
published: 2026-03-31T17:13:21.000Z
canonical: https://jeff.news/article/1437
---
# GitLab.com, 비밀번호 로그인 전 사용자에 MFA 의무화 — CI/CD 파이프라인도 영향

GitLab.com이 비밀번호 기반 로그인과 API 인증에 MFA를 의무화. 단계적 롤아웃으로 진행되며, CI/CD에서 비밀번호 인증 시 PAT 전환 필요. Passkey, WebAuthn 등 다양한 MFA 방식 지원.

- GitLab.com이 비밀번호로 로그인하는 **모든 사용자**에게 MFA를 의무화함
  - 사용자명+비밀번호 로그인과 비밀번호 기반 API 인증 모두 해당
  - 크리덴셜 스터핑과 계정 탈취 공격 방어가 목적 — "Secure by Design" 공약의 일환

- 적용되지 않는 경우: 소셜 로그인(Google 등)이나 SSO만 사용하는 경우
  - 단, SSO 쓰면서 비밀번호 로그인도 가능한 경우엔 비밀번호 로그인 시 MFA 필요

- 단계적 롤아웃
  - 사용자 그룹별로 순차 적용 — 기여한 코드나 수행한 작업 기준으로 그룹 선정
  - 이메일 사전 알림 → 14일 전 인프로덕트 리마인더 → 기한 후 MFA 설정 전까지 접근 차단

> [!WARNING]
> CI/CD 파이프라인에서 비밀번호로 인증하고 있다면 영향을 받음. PAT(Personal Access Token)이나 Deploy Token으로 전환해야 함.

- 지원하는 MFA 방식: Passkey, 인증 앱, WebAuthn 디바이스, 이메일 인증
  - 복구 코드를 반드시 안전하게 저장할 것 — 잠김 방지
- API 사용자는 PAT로 전환 권장

## 핵심 포인트

- 비밀번호 로그인 + API 비밀번호 인증 모두 MFA 필수
- 소셜/SSO 전용 로그인은 제외 (단 비밀번호 폴백 있으면 해당)
- CI/CD 파이프라인에서 비밀번호 사용 시 PAT/Deploy Token 전환 필요
- 단계적 롤아웃 — 기여 기반 그룹 선정

## 인사이트

GitHub에 이어 GitLab도 MFA 의무화. CI/CD 파이프라인에서 비밀번호 인증을 쓰고 있다면 지금 바로 PAT로 전환해야 함.