해커, 메타 AI 챗봇으로 2만여 인스타그램 계정 탈취 추정

출처: The Verge

Emma Roth
스트리밍 전쟁, 소비자 기술, 암호화폐, 소셜 미디어 등을 다루는 뉴스 라이터. 이전에는 MUO에서 기자 및 편집자로 일했습니다.

Meta는 메인 주에 제출한 **공지사항**에서 해커가 Meta의 AI 지원 챗봇을 이용해 20,225개 이상의 Instagram 계정을 탈취했을 가능성이 있다고 확인했습니다. 이 공지사항은 **Bleeping Computer**가 먼저 발견했으며, Meta는 공격자들이 2단계 인증 없이 챗봇에 비밀번호 재설정을 요청함으로써 계정을 장악할 수 있게 만든 “버그”를 원인으로 꼽았습니다.

도구 자체는 정상적으로 작동했으며 의도대로 기능했습니다. 하지만 별도의 코드 경로에 존재한 버그 때문에, 비밀번호 재설정을 요청한 사용자가 제공한 이메일 주소가 해당 사용자의 Instagram 계정에 연결된 이메일 주소와 일치하는지를 시스템이 제대로 확인하지 못했습니다. 그 결과, 계정에 연결되지 않은 이메일 주소를 입력하면 시스템이 요청을 거부하지 않고 그 이메일로 비밀번호 재설정 링크를 잘못 전송했습니다. 이로 인해 권한이 없는 제3자가 자신이 소유하지 않은 계정에 대한 비밀번호 재설정 링크를 받을 수 있었습니다.

Meta에 따르면 이번 공격은 5월 31일에 처음 포착됐으며, Meta 커뮤니케이션 책임자 Andy Stone은 6월 1일에 사건을 “해결”했다고 **트윗**했습니다. 이 기간 동안 전 대통령 Barack Obama의 옛 백악관 계정, 미국 우주군 장군 John F. Bentivegna, 그리고 Sephora 등 여러 유명 Instagram 계정이 영향을 받았습니다. 공지에서는 이번 취약점으로 인해 개인 데이터가 유출됐는지는 “알 수 없지만”, 계정 탈취자가 이메일 주소, 전화번호, 생년월일, 소셜 미디어 게시물, 다이렉트 메시지, 프로필 정보, 계정 활동 및 연동된 계정 등을 입수했을 가능성이 있다고 밝혔습니다.

공지에 따르면 영향을 받은 사용자 중 30명이 메인 주에 거주하고 있었습니다. 이 수치는 “지원 도구를 통해 비밀번호가 재설정됐고, 2단계 인증이 활성화되지 않았으며, Instagram 계정이 권한 없는 제3자에 의해 접근됐을 가능성이 높은 사용자”를 의미합니다. 다만 Meta는 이것이 “상한선”이라고 설명했으며, 일부 계정은 정당하게 접근됐을 수도 있다고 덧붙였습니다.

Meta는 AI 지원 도구를 비활성화하고 문제가 있던 코드 경로를 삭제했으며, 해당 취약점을 이용해 생성된 모든 비밀번호 재설정 링크를 무효화했습니다. 또한 잠재적으로 영향을 받은 모든 계정을 **“인증을 요구하는 필수 보안 체크포인트”**에 등록해, 계정에 접근하기 전에 반드시 인증을 거치도록 조치했습니다.

이 이야기를 팔로우하면 맞춤형 홈페이지 피드와 이메일 업데이트를 통해 비슷한 콘텐츠를 받아볼 수 있습니다.

• Emma Roth