메타 AI 지원 해킹으로 2만여 인스타그램 계정 탈취.
Meta는 최근 공격자들이 Meta의 AI 기반 지원 시스템을 이용해 비밀번호를 재설정하면서 20,000명 이상의 Instagram 사용자가 계정을 탈취당했다고 밝혔습니다.
BleepingComputer가 일주일 전에 보도했듯이, 위협 행위자들은 회사의 High Touch Support(HTS) 도구의 결함을 악용했습니다. HTS는 사용자가 Instagram 계정에서 잠긴 경우 접근을 복구하도록 돕는 AI 지원 지원 시스템입니다.
HTS가 대상 Instagram 계정과 연결된 이메일 주소인지 여부를 확인하지 않는다는 점을 이용해, 공격자들은 비밀번호 재설정 링크를 얻어 2단계 인증(2FA)이 활성화되지 않은 상태에서도 로그인하고 계정을 탈취할 수 있었습니다.
소셜 미디어에 이러한 공격에 대한 사용자 신고가 급증한 뒤, Meta 커뮤니케이션 부사장 Andy Stone은 영향을 받은 사용자 중 한 명에게 답변하며 “문제가 해결되었으며, 영향을 받은 계정을 보호하고 있다”고 밝혔습니다.
BleepingComputer는 지난 주에도 이 보안 침해에 대한 의견을 묻기 위해 Meta에 연락했지만 아직 회신을 받지 못했습니다.
“귀 관할 구역 내 30명의 Instagram 계정이 복구 지원 도구의 취약점으로 인해 잠재적으로 침해될 수 있음을 알려드립니다. 모든 계정은 지속적인 무단 접근을 방지하기 위해 보호되었습니다.”라고 Meta가 최근 메인 주 검찰청에 제출한 데이터 침해 통지서에서 밝혔습니다.
Meta는 “2026년 5월 31일, Instagram용 AI 지원 계정 복구 시스템(‘High Touch Support’ 또는 ‘HTS’)에 취약점이 존재함을 발견했으며, 이는 무단 제3자에 의해 악용되어 Instagram 사용자 계정의 비밀번호 재설정이 이루어졌다”고 설명했습니다.
침해 통지서에서는 공격이 언제 시작됐는지 명시하지 않았지만, 메인 주 검찰청 웹사이트에 올라온 서류에 따르면 침해는 4월 17일에 발생했으며, 이는 HTS 결함을 최초로 악용한 공격일 가능성이 높습니다.
또한, 회사는 침해된 계정에서 어떤 개인 정보가 접근되었거나 도난당했는지에 대한 정보는 없다고 밝히면서, 공격자들이 영향을 받은 Instagram 사용자의 **연락처 정보(이메일 주소 및/또는 전화번호), 생년월일,