MFA 피로 공격이란 무엇인가? 푸시 승인 알림을 반복해서 노리는 방식

작성자:

한 줄 요약: MFA 피로 공격은 사용자가 지치거나 당황해서 승인 버튼을 누르도록 만드는 방식입니다. 즉 인증 기술을 뚫기보다 사람의 습관과 피로를 이용하는 사회공학형 공격입니다.

들어가며

2단계 인증이나 다중 인증은 비밀번호 유출 이후의 피해를 줄이는 데 매우 효과적입니다. 하지만 모든 MFA가 같은 수준의 방어력을 가지는 것은 아닙니다. 특히 스마트폰으로 “승인하시겠습니까?”라는 알림이 오는 푸시 기반 인증은 편리한 대신, 사용자의 실수와 습관을 노리는 공격에 취약할 수 있습니다.

이때 자주 언급되는 개념이 MFA 피로 공격입니다. 이름 그대로 사용자가 반복되는 인증 알림에 지쳐 무심코 승인하게 만들거나, 갑작스러운 상황 압박 속에서 실수하도록 유도하는 방식입니다.

MFA 피로 공격은 어떻게 작동할까

공격자는 먼저 사용자의 비밀번호를 알고 있거나, 로그인 시도 자체를 할 수 있는 상태여야 합니다. 이후 반복적으로 로그인 요청을 보내 사용자의 휴대전화에 승인 알림이 계속 뜨게 만듭니다.

사용자는 처음에는 거절하거나 무시할 수 있지만, 알림이 계속 오면 귀찮아서 누르거나, 시스템 오류로 착각하거나, 실제 본인이 시작한 로그인이라고 혼동할 수 있습니다. 어떤 경우에는 공격자가 메신저나 전화로 연락해 “회사 시스템 점검 중이니 승인을 눌러 달라”처럼 설명을 붙이기도 합니다.

즉 핵심은 기술적 우회가 아니라, 사람이 잘못 승인하도록 만드는 것입니다.

왜 푸시 승인 방식이 영향을 받기 쉬울까

푸시 인증은 사용성이 좋습니다. 코드 입력 없이 승인만 하면 되기 때문입니다. 하지만 너무 간단한 인터페이스는 반대로 보안 판단을 대충 하게 만들 수 있습니다.

사용자는 평소에도 다양한 앱 알림을 받기 때문에, 예상하지 못한 보안 알림이 와도 깊게 읽지 않고 반사적으로 처리하기 쉽습니다. 특히 바쁜 업무 시간, 이동 중, 수면 직전, 반복 알림이 누적된 상황에서는 경계가 빠르게 무너질 수 있습니다.

그래서 푸시 기반 MFA는 단순 승인만 요구하는 방식보다, 번호 일치 입력, 위치·기기 정보 확인, 사용자 시작 여부 확인 같은 추가 문맥이 있을 때 더 안전합니다.

공격을 의심해야 하는 신호

내가 로그인하지 않았는데 갑자기 승인 알림이 오는 경우가 가장 대표적입니다. 한 번이 아니라 짧은 시간 안에 여러 번 반복된다면 더 강하게 의심해야 합니다.

또한 비밀번호를 최근에 바꾸지 않았는데 로그인 시도 알림과 MFA 요청이 함께 오거나, 누군가 전화나 메신저로 승인 요청의 정당성을 설명하려 할 때도 경계해야 합니다. 보안 알림은 기술 문제가 아니라 계정 탈취 시도의 일부일 수 있습니다.

어떻게 대응해야 할까

가장 먼저 해야 할 일은 승인하지 않는 것입니다. 예상하지 못한 인증 요청은 일단 모두 거절하고, 직접 해당 서비스에 접속해 최근 로그인 기록과 보안 알림을 확인해야 합니다.

그다음 비밀번호를 즉시 변경하고, 가능하다면 더 강한 MFA 방식으로 옮기는 것이 좋습니다. 단순 푸시 승인보다 번호 일치 방식, OTP 앱, 보안 키, 패스키처럼 사용자가 더 명확히 확인할 수 있는 수단이 유리합니다.

조직 환경이라면 보안팀이나 관리자에게 알림 내역을 공유해야 합니다. 개인 환경이라도 메인 이메일과 주요 연동 계정은 함께 점검해야 합니다. 공격자가 이미 비밀번호를 확보했을 가능성이 있기 때문입니다.

실전 체크리스트

  • 예상하지 못한 MFA 승인 요청은 모두 거절합니다.
  • 반복되는 푸시 인증 알림은 단순 오류로 넘기지 않고 계정 이상 징후로 봅니다.
  • 비밀번호를 즉시 변경하고 최근 로그인 기록을 확인합니다.
  • 가능하면 번호 일치, OTP 앱, 보안 키, 패스키 같은 더 강한 인증 수단을 사용합니다.
  • 업무 계정이라면 관리자나 보안 담당자에게 알림 내역을 공유합니다.

자주 묻는 질문

Q1. 푸시 인증은 위험하니 사용하지 말아야 하나요?

A. 푸시 인증 자체가 나쁘다고 보기는 어렵습니다. 다만 단순 승인만 요구하는 구조는 사용자의 실수를 노리는 공격에 영향을 받을 수 있습니다. 문맥 확인 기능이 있는지, 예상하지 못한 요청을 어떻게 처리할지 습관을 들이는 것이 중요합니다.

Q2. 승인하지 않았는데도 반복 알림이 왔다면 이미 해킹된 건가요?

A. 아직 로그인에 성공하지 못했을 수도 있지만, 비밀번호가 노출됐거나 계정을 표적으로 삼은 시도가 진행 중일 가능성은 있습니다. 단순 무시보다 비밀번호 변경과 로그인 기록 점검이 더 안전합니다.

정리

MFA 피로 공격은 첨단 기술보다 사람의 반응을 노립니다. 그래서 보안은 기능을 켜는 것에서 끝나지 않고, 예상하지 못한 승인 요청을 어떻게 해석하고 대응할지까지 포함해야 합니다. 편리한 인증일수록 더 의식적인 사용 습관이 필요합니다.

함께 읽으면 좋은 글

  • 2단계 인증은 어떻게 계정을 지키는가
  • 로그인 알림 메일이 왔을 때 가장 먼저 해야 할 일
  • 비밀번호만으로는 왜 부족할까

댓글 남기기