Meta AI 지원 에이전트가 요청자에게 복구 이메일을 전송했지만, 귀사 SOC는 알림을 전혀 받지 못했다.

Source: VentureBeat

Meta의 AI 지원 에이전트는 복구 이메일을 요청한 사람의 계정에 바인딩했으며, SOC에서는 경고를 전혀 보지 못했습니다. 권한이 있는 에이전트가 정상적인 트랜잭션 로그를 작성했기 때문에 탐지 스택에서는 아무것도 작동하지 않았습니다. 공격자는 봇에게 변경을 요청하고, 봇이 보낸 일회용 코드를 가로채 비밀번호를 재설정했습니다(404 Media 보도).
악성코드도, 탈취된 자격증명도 없으며, 대부분의 보안 팀이 훈련하는 “프롬프트 인젝션”도 발생하지 않았습니다. 에이전트는 Meta가 설계한 대로 정확히 동작했을 뿐입니다. 이것이 보안 운영 책임자를 밤새도록 고민하게 만드는 이유입니다: 침해는 기존에 신뢰되던 제어를 깨뜨린 것이 아니라, 이미 신뢰받고 있던 제어를 그대로 이용했기 때문입니다.

SOC가 필요로 하는 것은 다음 갱신이 닫히기 전에 AI 구축 팀과 함께 각 복구 경로를 감사 격자(Audit Grid)로 검증하는 방법입니다. 이 글 말미에 제시된 AI Authority Audit Grid는 지원 에이전트가 복구 경로에서 수행할 수 있는 모든 인증 쓰기 작업을 매핑하고, Meta 사건이 각 항목에 대해 보여준 결과, SOC가 이를 놓치는 이유, 그리고 이를 차단할 수 있는 제어 방안을 정리합니다.

에이전트는 권한이 있는 행위자이므로 SOC는 침해를 일상 트래픽으로 인식한다

탐지 스택 내부에서는 공격에 대한 신호가 전혀 발생하지 않았습니다. 에이전트가 새 이메일을 바인딩하고 비밀번호를 재설정하면, IAM 로그는 이를 모두 권한이 있는 행위자로 기록하므로 인증 상태에 정상적인 트랜잭션으로 남게 됩니다. 로그인 이상 징후도, 인증 실패 급증도, EDR·DLP 경보도, 매칭되는 SIEM 규칙도 없습니다. 시퀀스 자체가 공격처럼 보이지 않기 때문입니다. 침해는 스택이 “안전하다고 가정하는” 신뢰 경계 안에서 이루어졌습니다. 찾을 수 있는 발판이 없었습니다. 왜냐하면 에이전트 자체가 발판이었고, 그 존재가 정상으로 기대되었기 때문입니다.

공격 흐름은 놀라울 정도로 단순했다

Brian Krebs는 5월 31일 텔레그램에 올라온 친이란 해커 버전을 문서화했습니다. 공격자는 VPN을 켜서 피해자의 지역으로 위장하고, Instagram의 위치 알림을 피한 뒤 지원 어시스턴트에게 새 이메일 추가와 인증 코드 전송을 요청했습니다(BBC가 동일 녹음으로 확인). 봇은 요청을 그대로 수행해 일회용 코드를 공격자에게 바로 전송했으며(Gizmodo 보도), 비밀번호 재설정이 완료돼 계정 소유자는 몇 분 만에 잠겼습니다. MFA가 활성화된 계정에서는 이 공격이 실패했습니다(Krebs).

탈취된 계정은 결코 “연약한 목표”가 아니었다

해당 계정에는 Sephora, 미국 우주군 고위 부사관 Chief Master Sergeant John Bentivegna, 연구원 Jane Manchun Wong, 그리고 일시적으로 변조된 이미지를 올린 Obama White House 핸들이 포함되었습니다(404 Media). TechCrunch는 Obama 계정에 대한 Meta의 부인 내용을 전했고, BBC는 “지도자들의 계정이 침해됐다는 주장”을 “전적으로 거짓”이라고 밝혔습니다.

MFA는 버텼다. 복구 경로는 그렇지 못했다

생존 여부를 가른 결정적인 요소는 매우 좁았습니다. Krebs는 MFA(심지어 SMS 기반) 가 적용된 모든 계정에서 공격이 실패했다고 보고했습니다. 문제는 복구 경로에 있었습니다. 복구 과정에서 셀카 영상을 요구했을 때, 공격자는 대상의 공개 사진을 AI 비디오 생성기에 넣어 만든 영상을 제출했고, Meta는 이를 유효한 신원 확인으로 받아들였습니다(gHacks 보도). 결국 실패한 것은 로그인 문을 지키는 MFA가 아니라, 복구 문이었습니다.

이것은 아키텍처 문제이며, Meta만의 문제는 아니다

MFA는 로그인 경로를 보호하지만, 복구 경로는 그 옆에서 별도로 동작하도록 설계되었습니다. 복구 경로는 사용자가 정상적인 로그인 방법을 잃었을 때를 대비해 검증을 완화하도록 만들어졌습니다. Meta는 이 경로에 인증 상태를 수정할 수 있는 에이전트를 배치했지만, 설득력 있는 요청과 실제 변경 사이에 결정적인 검증을 두지 않았습니다. 권한 부여는 모델 내부에 존재할 수 없습니다. 대화형 시스템은 검증을 건너뛰도록 설득당할 수 있기 때문입니다. 검증은 모델 외부, 즉 에이전트가 논리적으로 우회할 수 없는 게이트에 있어야 합니다. 보안 연구자들은 이 패턴을 confused deputy(혼란스러운 대리인)라고 부릅니다. 신뢰받는 시스템이 공격자를 대신해 권한을 남용하도록 속이는 경우죠.

앞으로도 이런 지원 에이전트가 계정을 넘겨줄 가능성은 높다

Lumen의 Black Lotus Labs 위협 연구원 Ian Goldin은 Krebs on Security와의 인터뷰에서 “AI 봇은 인간 에이전트를 대체하면서도 사회공학에 매우 취약하고, 도움을 주려는 의지도 강하다”고 말했습니다. “AI 챗봇은 새로운 공격 표면을 만들고, 앞으로 이런 공격이 훨씬 더 늘어날 것”이라고 덧붙였습니다. 복구, 프로비저닝, 비밀번호 흐름에 에이전트를 연결하는 모든 기업은 Meta가 했던 것과 동일한 쓰기 권한을 제공하고 있는 셈입니다.

프롬프트 인젝션을 만든 사람 Simon Willison의 경고

Simon Willison은 자신의 블로그에서 “Meta는 지원 시스템을 AI 챗봇에 연결해 전체 계정 복구 과정을 빠르게 진행할 수 있게 만들었다”고 적었습니다. “이 경우는 프롬프트 감염이라기보다 프롬프트 인젝션에 가깝다. 일회성 계정 탈취를 허용하도록 지원 봇을 연결하지 말라”고 강조했습니다. 공격자는 에이전트를 속인 것이 아니라, 단순히 요청했을 뿐이며, 에이전트는 신뢰되지 않은 입력, 쓰기 권한, 실행 능력을 동시에 가지고 있었습니다.

OWASP가 이미 정의한 위험군

Meta가 이 기능을 출시하기 전, OWASP는 이를 Excessive Agency(LLM06)와 Identity and Privilege Abuse(ASI03)으로 분류했습니다. 404 Media에 따르면 Meta는 3월에 모든 Facebook·Instagram 계정에 복구·비밀번호 재설정 기능을 가진 어시스턴트를 배포했으며, 제품 페이지는 “계정 보안 및 복구” 섹션 아래 “솔루션, 제안이 아니라”라는 문구를 내걸었습니다. 권한은 부여했지만 이를 관리할 게이트는 만들지 않았습니다.

AI Authority Audit Grid

보안 운영 책임자는 다음 갱신이 닫히기 전에 자체 지원 에이전트를 대상으로 이 격자를 실행해야 합니다. 각 행은 복구 경로에서 에이전트가 수행하는 인증 쓰기를 나타내며, Meta 사건이 증명한 내용, 여러분의 스택이 이를 놓치는 이유, 그리고 이를 차단할 수 있는 제어 방안을 제시합니다.