Molayo

© 2026 Molayo

HN분석2026. 06. 07. 05:35

Meta, AI 챗봇 악용으로 수천 개의 Instagram 계정이 해킹되었음을 확인

요약

Meta의 AI 지원 계정 복구 시스템 취약점으로 인해 수만 명의 Instagram 계정이 해킹되는 사고가 발생했습니다. 해커들은 챗봇을 속여 등록되지 않은 이메일로 인증 코드를 전송하게 함으로써 계정 제어권을 탈취했습니다.

핵심 포인트

  • Meta AI 챗봇의 계정 복구 로직 결함 발견
  • 최소 20,225명 이상의 Instagram 계정 침해 확인
  • 해커가 임의의 이메일로 비밀번호 재설정 링크 수신 가능
  • 2단계 인증 미활성화 계정이 주요 공격 대상

Meta는 자사의 AI 챗봇을 수개월 동안 악용한 과정에서 Instagram 계정을 탈취당한 수천 명의 사람들에게 통지하고 있습니다. 해커들은 챗봇을 반복적으로 속여 개인의 계정 제어권을 가져갔습니다.

__this week in security__가 확인한 __새로운 데이터 유출 통지서(new data breach notification letter)__에 따르면, Meta는 이번 주 초에 발견되어 __404 Media ($)__와 __TechCrunch ($)__에 의해 처음 보고된 장기 해킹 캠페인의 일환으로 얼마나 많은 사람이 계정을 탈취당했는지 처음으로 공개했습니다. 영향을 받은 계정의 수는 이 해킹 캠페인이 얼마나 광범위했는지, 그리고 얼마나 오랫동안 운영되었는지에 대한 명확한 정보를 제공합니다.

금요일 늦게 Maine주 검찰총장실에 제출된 __데이터 유출 통지(data breach notice)__에 따르면, Meta는 Maine주의 30명을 포함하여 최소 20,225명의 계정이 침해되었음을 통지했습니다.

통지서에 따르면, 이러한 침해를 통해 해커들은 해당 사용자의 전체 Instagram 및 연결된 모든 계정을 장악할 수 있었으며, 연락처 정보, 생년월일, 프로필 정보를 획득했을 뿐만 아니라 사용자의 게시물, 다이렉트 메시지(DM), 계정 활동에 접근할 수 있는 권한을 가졌습니다.

Meta의 통지는 이번 유출이 "Instagram을 위한 AI 지원 계정 복구 시스템의 취약점"과 관련이 있으며, 이 취약점이 "Instagram 사용자 계정에 대한 비밀번호 재설정을 수행"하는 데 악용되었다고 확인했습니다.

two screenshots side-by-side, showingn the Meta AI support assistant showing a prompt that says, "I've been hacked," followed by another screenshot showing a person asking the chatbot to send a verification code to an email address not registered with the account.

@oracles / X

이전에 보고된 바와 같이, 해커들은 2단계 인증(two-factor authentication)이 활성화되지 않은 모든 계정의 비밀번호를 재설정할 수 있게 하는 Meta 챗봇의 결함을 악용했습니다. 이 버그는 단순히 질문을 던지는 것만으로 챗봇을 속여, 등록된 계정 소유자의 이메일 주소가 아닌 해커가 제어하는 이메일 주소로 인증 코드를 보내도록 만들었습니다. 챗봇은 어쨌든 그 요청에 따랐습니다.

Meta는 침해 통지(breach notice)를 통해 "도구 자체는 의도한 대로 적절히 작동하고 기능했습니다. 하지만 별도의 코드 경로(code path)에 있는 버그로 인해, 비밀번호 재설정을 요청한 개인이 제공한 이메일 주소가 해당 사용자의 Instagram 계정과 연결된 이메일 주소와 일치하는지 시스템이 제대로 확인하지 못했습니다"라고 밝혔습니다.

"그 결과, 개인이 계정에 이전에 연결되지 않은 이메일 주소를 제공했을 때, 시스템은 요청을 거부하는 대신 해당 연결되지 않은 이메일로 비밀번호 재설정 링크를 잘못 전송했습니다. 이로 인해 권한이 없는 제3자가 자신이 소유하지 않은 계정에 대한 비밀번호 재설정 링크를 받을 수 있었습니다"라고 회사는 덧붙였습니다.

Meta는 이 시점에서 해커들이 누군가의 비밀번호를 재설정하고, 마치 정당한 소유자인 것처럼 해당 계정을 탈취할 수 있었다고 말합니다.

Meta는 이번 해킹 과정에서 어떤 개인 정보가 접근되었는지(만약 있다면)에 대해서는 "알지 못한다"고 밝혔습니다. (이 점에 대해 명확한 설명을 요구하는 Meta 홍보팀에 보낸 이메일은 토요일 초 기준으로 답변을 받지 못한 상태입니다.)

Maine의 기록에 따르면, 해킹은 4월 17일경 시작되어 Meta가 챗봇을 보안 조치한 이번 주까지 지속되었습니다. Instagram은 이번 주 초부터 비밀번호 재설정 알림을 보내 영향을 받은 개인들에게 통지하기 시작한 것으로 알려졌으며, 일부에서는 해킹이 계속 진행 중이라고 보고하기도 했습니다.

Meta는 또한 통지문을 통해 사용자들에게 계정 보안을 강화하도록 경고했음을 확인하며, "영향을 받은 사용자들에게 비밀번호를 재설정하고 안전하고 검증된 채널을 통해 재인증하도록 안내했습니다"라고 말했습니다.

Meta는 현재 AI 챗봇을 비활성화하고 챗봇이 사용자 계정을 재설정할 수 있게 했던 코드 경로를 제거했으며, 유사한 사건의 재발을 방지하기 위해 자사 플랫폼 전반의 다른 챗봇들도 점검하고 있다고 밝혔습니다. 챗봇이 악용되기까지 어떤 상황이 있었는지는 아직 명확하지 않으나, 이는 Meta가 AI에 대한 투자를 지속적으로 강화하는 와중에 __수천 명의 직원을 해고__하고 __최고 경영진에게는 주식 인센티브를 보상__한 직후에 발생했습니다.

~이번 주 보안 소식(this week in security)~을 읽어주셔서 정말 감사합니다. 이 기사가 마음에 드셨다면, **공유(share)**해 주세요! 이 기사에 대한 피드백, 질문 또는 의견이 있으시면 언제든지 this@weekinsecurity.com으로 연락해 주시기 바랍니다.

AI 자동 생성 콘텐츠

본 콘텐츠는 HN AI Posts의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.

원문 바로가기
0

댓글

0