해커가 메타 AI로 34,000여 인스타그램 계정을 노출했지만 메타는 멈추지 않는다
Ryan Haines / Android Authority
TL;DR
- 메타의 AI 지원 시스템에 보고된 결함으로 34,000개의 인스타그램 계정이 영향을 받아 개인 데이터가 노출되고 계정 탈취가 가능해졌습니다.
- 공격자는 AI 챗봇을 속여 계정 복구 이메일을 변경하게 만들었고, 이를 통해 비밀번호를 재설정할 수 있었습니다.
- 메타는 이번 사건을 검토하고 영향을 받은 사용자에게 통보하고 있지만, 문제된 복구 도구만 일시 중단하고 AI 전반에 대한 추진은 계속하고 있습니다.
몇 일 전, 우리는 메타가 AI 기반 지원 도구에 점점 더 의존하고 있는 상황이 새로운 유형의 보안 문제를 야기할 수 있음을 보도했습니다. 이제 *뉴욕 타임즈*의 최신 보도에 따르면, 이 문제는 처음 예상했던 것보다 훨씬 광범위했으며 약 34,000명의 인스타그램 사용자가 영향을 받았다고 합니다. 그 중 약 20,000개의 계정이 실제로 침해되어 이메일 주소, 전화번호, 생년월일 등 개인 정보가 노출되었으며, 수천 개의 계정은 사용자 이름이 변경되거나 일시적으로 프로필 제어권을 잃었습니다.
많은 계정 침해가 도난당한 비밀번호, 피싱 이메일, 악성코드 등에 의존하는 반면, 이번 사건은 훨씬 더 일상적인 원인—즉, 자동화된 지원 워크플로우가 의도치 않은 행동을 수행하도록 조작된 것—에서 비롯된 것으로 보입니다.
이번 침해로 영향을 받은 고위 프로필에는 기업, 공인, 정부 연계 조직 등이 포함되었습니다. 일부 탈취된 프로필은 메타가 개입해 접근 권한을 복구하기 전까지 무단 게시물 작성에 사용되었습니다.
메타는 문제의 원인을 AI 모델 자체가 아니라 그 주변에 있는 검증 시스템의 약점이라고 밝혔습니다. 이는 중요한 구분입니다. 챗봇이 스스로 계정을 넘겨준 것이 아니라, 충분한 방어 장치가 부족했던 복구 절차 내에서 작동했기 때문입니다.
그럼에도 불구하고 이번 사건은 기술 기업들이 고객 지원을 자동화하려는 속도가 빨라지면서 커지는 우려를 강조합니다. AI는 비밀번호 재설정부터 신원 확인까지 한때 인간 담당자가 수행하던 작업을 점점 더 맡고 있습니다. 이는 지원을 더 빠르고 접근하기 쉽게 만들지만, 단 하나의 결함이 수천 번씩 반복될 위험도 동반합니다.
사기성 계정 복구 요청을 실수로 승인하는 지원 담당자를 상상해 보세요—그 자체로도 문제가 됩니다. 이제 그 실수가 24시간 자동으로, 올바른 프롬프트만 찾으면 누구에게든 적용될 수 있다고 생각해 보세요. 이것이 보안 검증이 자동화 속도를 따라가지 못할 때 기업이 직면하는 위험입니다.
메타는 “포괄적인 검토”를 진행 중이며 추가 보안 문제를 식별·해결하고, 영향을 받은 사용자와 규제 기관에 통보하고 있다고 밝혔습니다.
이번 사건은 AI와 관련된 가장 큰 위험이 반드시 모델 자체가 아니라 그 주변 시스템에 있다는 점을 다시 한 번 상기시켜 줍니다. 수만 명의 인스타그램 사용자가 침해당했음에도 불구하고, 메타는 AI 야망을 멈추지 않고 있습니다.
뉴욕 타임즈가 인용한 내부 문서에 따르면, 메타는 이번 사건과 연결된 특정 인스타그램 비밀번호 복구 실험만 일시 중단했으며, 보다 넓은 AI 기반 지원 이니셔티브는 그대로 유지하고 있습니다. 같은 문서는 직원들이 향후 유사한 침해를 어떻게 처리할지 이미 논의하고 있음을 보여줍니다. 오히려 메타는 이러한 실패를 롤아웃을 늦출 이유가 아니라, 진행 과정에서 해결해야 할 문제로 보고 있는 듯합니다.
Follow
우리 커뮤니티의 일원이 되어 주셔서 감사합니다. 게시하기 전에 댓글 정책을 읽어 주세요.