메타의 AI 고객지원 챗봇이 인스타그램 계정 탈취에 악용된 정황이 드러났습니다. 외신에 따르면 해커들은 메타의 AI 지원 도구를 이용해 타깃 계정에 연결된 이메일 주소를 바꾸고, 비밀번호 재설정을 요청하는 방식으로 계정을 장악했습니다.
문제의 도구는 메타가 계정 복구를 더 빠르고 쉽게 만들기 위해 도입한 AI 지원 시스템입니다. 메타는 2025년 12월 공식 블로그에서 Facebook과 Instagram 계정 문제를 해결하기 위한 AI 지원 어시스턴트를 소개했습니다. 당시 메타는 사용자가 계정 문제를 겪을 때 답변만 제공하는 것이 아니라, 일부 요청은 직접 처리할 수 있도록 만들겠다고 설명했습니다.
이번 취약점은 Telegram 등에서 유포된 영상과 스크린샷을 통해 확산됐습니다. 해커들은 AI 챗봇에게 특정 인스타그램 계정의 이메일 변경을 요청한 뒤, 새 이메일로 인증 코드를 받아 비밀번호를 재설정한 것으로 알려졌습니다. 일부 보도는 공격자가 VPN을 이용해 타깃 계정 소유자의 위치와 비슷한 지역에서 접속한 것처럼 보이게 했다고 전했습니다.
메타는 문제가 해결됐다고 밝혔습니다. 메타 커뮤니케이션 담당 부사장 앤디 스톤은 “이 문제는 해결됐으며, 영향을 받은 계정을 보호하고 있다”고 말했습니다. 다만 메타는 얼마나 많은 계정이 영향을 받았는지, AI 지원 도구가 어떤 검증 절차를 통과하지 못했는지는 구체적으로 공개하지 않았습니다.
이번 사건은 고위험 계정 복구 절차에 AI를 적용할 때 생기는 문제를 보여줍니다. 계정 복구는 사용자 편의성과 보안이 직접 충돌하는 영역입니다. 복구 과정을 빠르게 만들수록 정상 사용자는 도움을 받기 쉬워지지만, 검증 절차가 약하면 공격자에게도 같은 속도로 문이 열릴 수 있습니다.
특히 이번 사례는 2단계 인증이 켜진 계정도 안전하지 않을 수 있다는 점에서 주목됩니다. 공격자가 계정의 이메일 주소 자체를 바꿀 수 있다면, 기존 보안 장치를 우회해 비밀번호 재설정 절차를 장악할 가능성이 생깁니다. 계정 복구 도구가 실제 계정 소유자를 확인하는 방식이 충분히 강하지 않으면, AI는 보안 장치가 아니라 자동화된 우회 경로가 될 수 있습니다.
이번 취약점과 비슷한 시기에 오바마 백악관 아카이브 계정, Sephora 계정, 미 우주군 고위 관계자 계정 등 여러 유명 인스타그램 계정이 해킹된 사례도 보도됐습니다. 다만 이 계정들이 모두 같은 방식으로 탈취됐는지는 공식적으로 확인되지 않았습니다.
메타는 AI를 이용해 고객지원과 계정 복구를 자동화하려 하고 있습니다. 하지만 계정 소유권 변경, 이메일 변경, 비밀번호 재설정 같은 기능은 단순 상담보다 훨씬 높은 보안 기준이 필요합니다. 이번 사건은 AI 지원 도구가 사용자의 문제를 빠르게 해결하는 만큼, 공격자의 요청도 빠르게 처리할 수 있다는 위험을 보여준 사례입니다.
더 보기 및 출처
