software

Meta, AI 챗봇 악용으로 수천 개 인스타그램 계정 해킹 확인

발행: (2026년 6월 7일 AM 03:35 GMT+9)
8 분 소요
원문: Hacker News

출처: Hacker News

Meta는 수개월에 걸친 자사 AI 챗봇 남용 동안 해커들이 반복적으로 챗봇을 속여 개인 계정을 장악한 결과, 인스타그램 계정이 탈취된 수천 명에게 알리고 있습니다.

새로운 데이터 유출 통지 서한을 통해, 이번 주 보안 기사(this week in security)이 확인한 바에 따르면, 이번 장기 해킹 캠페인에 의해 계정이 탈취된 사람 수가 처음으로 공개되었습니다. 이 캠페인은 이번 주 초에 발견됐으며, 404 Media ($)TechCrunch ($)가 최초 보도했습니다. 영향을 받은 계정 수는 이번 해킹 캠페인의 규모와 지속 기간을 가늠할 수 있는 단서를 제공합니다.

메인 주 검찰총장 사무실에게 금요일 늦게 제출된 데이터 유출 통지에 따르면, Meta는 최소 20,225명의 사용자가 계정이 침해당했음을 통보했으며, 그 중 메인 주에 거주하는 30명도 포함되었습니다.

이 침해를 통해 해커들은 대상자의 전체 인스타그램 계정 및 연결된 모든 계정을 장악할 수 있었으며, 연락처 정보, 생년월일, 프로필 정보는 물론 사용자의 게시물, 다이렉트 메시지, 계정 활동까지 접근할 수 있었습니다.

Meta의 통지서는 이번 침해가 “인스타그램용 AI 기반 계정 복구 시스템의 취약점”과 관련이 있음을 확인했으며, 이 취약점을 이용해 “인스타그램 사용자 계정의 비밀번호 재설정”이 이루어졌다고 밝혔습니다.

두 개의 스크린샷이 나란히 표시되어 있으며, Meta AI 지원 어시스턴트가 “해킹당했습니다”라는 프롬프트를 보여주고, 이어서 사용자가 챗봇에게 계정에 등록되지 않은 이메일 주소로 인증 코드를 보내 달라고 요청하는 화면을 보여줍니다.이미지: @oracles / X

이전 보도와 같이, 해커들은 Meta 챗봇의 결함을 악용해 2단계 인증이 활성화되지 않은 모든 계정의 비밀번호를 재설정할 수 있었습니다. 이 버그는 챗봇에게 단순히 “인증 코드를 해커가 제어하는 이메일 주소로 보내라”고 요청하면, 챗봇이 계정 소유자의 이메일이 아닌 해커가 지정한 주소로 인증 코드를 전송하도록 속였습니다. 챗봇은 이를 그대로 수행했습니다.

“도구 자체는 정상적으로 작동했으며 의도대로 기능했지만, 별도의 코드 경로에 존재하는 버그 때문에 비밀번호 재설정을 요청한 사용자가 제공한 이메일 주소가 해당 사용자의 인스타그램 계정에 연결된 이메일 주소와 일치하는지를 제대로 검증하지 못했습니다.”라고 Meta는 침해 통지서에서 설명했습니다.

“그 결과, 사용자가 기존에 계정과 연결되지 않은 이메일 주소를 제공하면 시스템이 해당 주소로 비밀번호 재설정 링크를 잘못 전송했으며, 요청을 거부하지 않았습니다. 이로 인해 권한이 없는 제3자가 자신이 소유하지 않은 계정에 대한 비밀번호 재설정 링크를 받을 수 있었습니다.”라고 회사는 덧붙였습니다.

현재 시점에서 해커들은 비밀번호를 재설정하고 마치 정당한 소유자처럼 계정을 장악할 수 있었습니다.

Meta는 해킹 과정에서 어떤 개인 정보가 접근되었는지 “알지 못한다”고 밝혔습니다. (이와 관련해 Meta 보도 담당자에게 문의했으나 토요일 이른 시점까지 회신을 받지 못했습니다.)

메인 주의 목록에 따르면, 해킹은 4월 17일경 시작돼 이번 주까지 지속됐으며, Meta는 챗봇을 안전하게 차단했다고 발표했습니다. 인스타그램은 이번 주 초에 영향을 받은 사용자에게 비밀번호 재설정 알림을 보내며 사전 통지를 시작했으며, 일부에서는 해킹이 아직 진행 중이라고 보고했습니다(TechCrunch 보도).

Meta는 통지서에서 사용자에게 계정을 보호하도록 경고했으며, “영향을 받은 사용자에게 비밀번호를 재설정하고 검증된 안전 채널을 통해 재인증하라”고 지시했습니다.

Meta는 현재 AI 챗봇을 일시 중단하고, 챗봇이 사용자 계정을 재설정할 수 있던 코드 경로를 제거했으며, 동일한 사고가 재발하지 않도록 자사 플랫폼 전반의 다른 챗봇도 점검 중이라고 밝혔습니다. 챗봇 남용에 이르게 된 구체적 상황은 아직 명확하지 않지만, 이는 Meta가 수천 명의 직원을 해고하고(CNBC 보도) 최고 경영진에게 주식 인센티브를 제공한 직후에 일어난 일이며, 회사가 AI에 더욱 집중하고 있음을 시사합니다.

~ ~

*읽어 주셔서 감사합니다 this week in security. 이 글이 마음에 드셨다면 공유 해 주세요! 기사에 대한 피드백, 질문, 의견이 있으시면 언제든지 연락 주세요: this@weekinsecurity.com.

0 조회
#software #programming #tech-trends
원문 보기
Share:
Back to Blog

관련 글

더 보기 »

OpenAI, SEC에 S‑1 초안 제출

We recently submitted a confidential S-1. We expect it to leak so we’re just announcing it. We have not decided on timing yet; it may be a while because there a...