MFA 피로: 알림 폭격 공격 및 이를 막는 방법

마지막 업데이트 : 11/11/2025
저자 : 안드레스 릴

MFA 피로 공격이나 알림 폭격 공격에 대해 들어보셨나요? 아직 모르셨다면 계속 읽어보세요. 이 새로운 전술과 사이버 범죄자들이 이를 어떻게 사용하는지 알아보세요.이렇게 하면 MFA 피로 공격의 희생자가 되는 불쾌한 경험을 겪을 때 무엇을 해야 할지 알 수 있습니다.

MFA 피로: MFA 피로 발작은 무엇으로 구성됩니까?

MFA 피로 알림 폭격

다중 요소 인증(MFA)은 디지털 보안 강화에 한동안 성공적으로 활용되어 왔습니다. 비밀번호만으로는 더 이상 충분한 보호 기능을 제공할 수 없습니다.이제는 SMS, 푸시 알림 또는 실제 키와 같은 두 번째(심지어 세 번째) 확인 계층을 추가하는 것이 필수적입니다.

그런데, 사용자 계정에서 이미 다중 인증(MFA)을 활성화하셨나요? 이 주제에 대해 잘 모르시겠다면 다음 글을 읽어보세요. 2단계 인증은 이렇게 작동합니다. 보안을 강화하려면 지금 바로 2단계 인증을 활성화하세요.그러나 이는 매우 효과적인 추가 조치를 나타내지만, MFA는 무오하지 않습니다이는 최근의 MFA 피로 공격, 즉 알림 폭격 공격으로 인해 매우 명확해졌습니다.

MFA 피로란 무엇일까요? 이런 상황을 상상해 보세요. 밤늦게 소파에 앉아 좋아하는 프로그램을 보고 있는데 갑자기 스마트폰이 심하게 진동하기 시작합니다. 화면을 보니 알림이 하나씩 뜹니다. «로그인을 시도하고 계신가요?"당신은 첫 번째와 두 번째를 무시하지만, 같은 알림이 계속 옵니다. 수십 개나 됩니다! 좌절한 순간, 망치질을 멈추기 위해 "승인"을 누릅니다.

독점 콘텐츠 - 여기를 클릭하세요  휴대폰 앱에서 특정 사진에 대한 액세스를 제한하는 방법

알림 폭격 공격의 작동 방식

방금 MFA 피로가 발생했습니다. 어떻게 그런 일이 일어날 수 있을까요?

  1. 어떻게 된 일인지, 사이버 범죄자가 귀하의 사용자 이름과 비밀번호를 얻었습니다.
  2. 그때 반복적으로 로그인을 시도합니다 사용하는 일부 서비스에서 인증 시스템은 당연히 MFA 앱으로 푸시 알림을 보냅니다.
  3. 문제는 공격자가 자동화된 도구를 사용할 때 발생합니다. 단 몇 분 만에 수십, 심지어 수백 건의 로그인 시도가 발생합니다..
  4. 이로 인해 귀하의 휴대전화는 승인을 요청하는 알림으로 폭격을 당하게 됩니다.
  5. 알림의 눈사태를 막으려면 다음을 클릭합니다. "승인하다" 그러면 공격자가 귀하의 계정을 장악하게 됩니다.

왜 그렇게 효과적일까요?

알림 폭격

MFA 피로의 목표는 기술을 앞지르는 것이 아닙니다. 오히려 인내심과 상식을 모두 소진하다다시 생각해 보니, 보안을 보호하는 사슬에서 가장 약한 고리는 바로 인적 요소입니다. 바로 그런 이유로 쏟아지는 알림은 사용자를 압도하고, 혼란스럽게 하고, 망설이게 하도록 설계되어 있습니다. 결국 잘못된 버튼을 누르게 되는 거죠. 단 한 번의 클릭으로 충분합니다.

MFA 피로가 매우 효과적인 이유 중 하나는 다음과 같습니다. 푸시 알림을 승인하는 것은 매우 쉽습니다.탭 한 번이면 되고, 종종 휴대폰 잠금을 해제할 필요도 없습니다. 때로는 기기를 원래 상태로 되돌리는 가장 간단한 방법이 될 수도 있습니다.

그리고 모든 것이 더 나빠질 것입니다 공격자는 기술 지원 담당자인 척하여 연락합니다.그들은 "문제"를 해결하기 위해 "도움"을 제안하며 알림을 승인하도록 촉구할 가능성이 높습니다. 2021년 마이크로소프트를 겨냥한 공격 사례가 바로 이 경우였는데, 공격 그룹은 피해자를 속이기 위해 IT 부서를 사칭했습니다.

독점 콘텐츠 - 여기를 클릭하세요  메타가 여러분의 개인 사진을 이용해 AI 기반 스토리를 만들고자 합니다. 창의성을 향상시키나요, 아니면 개인정보 침해 위험이 있나요?

MFA 피로: 알림 폭격 공격 및 이를 막는 방법

알림

그렇다면 MFA 피로를 예방할 방법이 있을까요? 네, 다행히도 알림 폭격을 효과적으로 차단하는 모범 사례가 있습니다. 다중 인증(MFA)을 완전히 없애는 것이 아니라... 더 지능적으로 구현하다가장 효과적인 조치는 아래와 같습니다.

요청하지 않은 알림은 절대로 승인하지 마세요.

아무리 피곤하고 좌절하더라도, 요청하지 않은 알림은 절대로 승인해서는 안 됩니다.이는 MFA 피로에 빠지려는 시도를 방지하기 위한 황금률입니다. 서비스에 로그인하려고 하지 않는 경우, 모든 MFA 알림은 의심스러운 것으로 간주됩니다.

이와 관련하여 다음 사항도 기억할 가치가 있습니다. 어떤 서비스도 "문제"를 해결하도록 "도와드리기" 위해 당신에게 연락하지 않을 것입니다.연락 수단이 소셜 네트워크나 WhatsApp과 같은 메시징 앱인 경우에는 더욱 그렇습니다. 의심스러운 알림은 회사나 서비스의 IT 또는 보안 부서에 즉시 보고해야 합니다.

MFA의 유일한 방법으로 푸시 알림을 사용하지 마십시오.

그렇습니다. 푸시 알림은 편리하지만 이러한 유형의 공격에 취약합니다. 더욱 견고한 방법을 사용하는 것이 좋습니다 2단계 인증의 일부로. 예:

  • TOTP 코드 Google Authenticator와 같은 애플리케이션에서 생성되는 (시간 기반 일회용 비밀번호) 오티.
  • 물리적 보안 키으로 유비 키 또는 Titan 보안 키.
  • 숫자 기반 인증이 방법을 사용하면 로그인 화면에 나타나는 숫자를 입력해야 하므로 자동 승인이 방지됩니다.
독점 콘텐츠 - 여기를 클릭하세요  삼성은 30일 후에 비활성 계정을 삭제합니다. 계정을 잃고 싶지 않다면 어떻게 해야 하나요?

인증 시도에 대한 제한 및 경고 구현

Microsoft Authenticator

귀하가 사용하는 인증 시스템을 탐색하고 시도 제한 및 알림 활성화MFA 피로 사례가 보고되는 경우가 증가함에 따라 점점 더 많은 MFA 시스템에 다음 옵션이 포함되고 있습니다.

  • 일시적으로 시도를 차단합니다 몇 차례 연속으로 거절당한 후.
  • 알림 보내기 짧은 시간 내에 여러 개의 알림이 감지되면 보안팀에 신고하세요.
  • 등록 및 감사 이후 분석을 위해 모든 인증 시도를 기록합니다(접속 기록).
  • 두 번째로 더 강력한 요소가 필요합니다 로그인 시도가 비정상적인 위치에서 시작된 경우.
  • 자동으로 접근 차단 사용자의 행동이 비정상적인 경우.

간단히 말해서, 항상 경계하세요! 다중 요소 인증을 활성화하는 것은 여전히 ​​필수적인 조치입니다. 온라인 보안을 보호하기 위해서입니다. 하지만 극복할 수 없는 장벽이라고 생각하지 마세요. 당신이 접근할 수 있다면, 누구든 당신을 속일 수 있습니다. 바로 그렇기 때문에 공격자들은 당신을 노립니다. 당신이 그들을 들여보낼 때까지 당신을 괴롭히려고 할 것입니다.

MFA 피로 함정에 빠지지 마세요! 알림 공세에 굴복하지 마세요. 의심스러운 요청을 보고하고 추가 제한 및 알림을 활성화합니다.이렇게 하면 공격자가 끈질기게 당신을 미치게 만들거나 잘못된 버튼을 누르게 하는 일이 불가능해질 것입니다.