메타 AI 지원 챗봇 악용해 인스타그램 계정 무더기 탈취…메타는 '패치 완료'

메타의 AI 기반 고객지원 챗봇이 해커가 인스타그램 계정을 탈취하는 데 악용됐다고 더버지가 404미디어 보도를 인용해 전했다. 텔레그램에 공유된 한 영상에서 해커는 메타 챗봇에 다른 사람 프로필에 연결된 이메일을 자신의 주소로 바꿔 달라고 요청한 뒤 비밀번호를 재설정하는 방식으로 계정을 빼앗는 과정을 보여줬다.

공격 방식은 의외로 단순했다. 해커는 메타 지원 챗봇에 자신이 보내는 코드로 새 이메일 주소를 연결해 달라는 취지의 메시지를 보냈고, AI 어시스턴트는 해커에게 인증 코드를 전송했다. 해커는 이 코드로 이메일을 인증하고 새 비밀번호를 설정해 원래 계정 주인을 잠가 버렸다.

메타는 지난 3월 AI 기반 지원 어시스턴트를 도입했다. 비밀번호 재설정, 2단계 인증 설정, 계정 접근 복구 같은 작업을 돕기 위한 기능이었지만, 바로 그 기능이 계정 탈취 통로가 됐다.

이번 문제는 버락 오바마 전 대통령의 백악관 인스타그램 계정(@obamawhitehouse)이 해킹된 시점과 비슷한 때 불거졌다. 일요일 이 계정은 이란 선전 이미지를 올리기 시작했고, 404미디어에 따르면 미 우주군 주임원사와 화장품 소매업체 세포라의 인스타그램 계정도 탈취된 것으로 보인다.

공격자들은 한 글자나 한 단어로 된 'h'나 'eggs' 같은 값나가는 사용자명을 노렸다. 일부 해커는 가상사설망(VPN)으로 위치를 속여 메타 지원팀에 연락할 때 표적과 같은 지역에 있는 것처럼 꾸몄다.

앱 속 신기능을 분석해 온 보안 연구자 제인 만춘 웡도 자신의 계정이 탈취됐다고 밝혔다. 웡은 X에 자신도 모르는 사이 비밀번호가 바뀌었고 하루 종일 여러 차례 비밀번호 재설정 시도가 있었으며, 인스타그램 iOS 앱에서 반복적으로 로그아웃됐다고 적었다.

메타는 더버지의 문의에 커뮤니케이션 책임자 앤디 스톤의 X 성명을 안내했다. 스톤은 이 문제는 해결됐으며 영향을 받은 계정을 보호하고 있다고 밝혔다. 메타는 다른 여러 기술 기업과 마찬가지로 대규모 정리해고를 단행하면서 남은 직원들에게 AI 도구 사용을 늘리라고 압박해 왔다.

더 프래그매틱 엔지니어 뉴스레터를 만든 게르겔리 오로시는 X에서 인스타그램의 신뢰·안전 팀이 최근 몇 주 사이 정리해고와 AI 라벨링 같은 업무 재배치로 완전히 무너졌다고 전했다. 그는 보아하니 이건 정교한 해킹이 아니었다며, 인스타그램 엔지니어들이 모든 일에 AI를 과도하게 쓰면서 보안 같은 영역에는 아무런 동기 부여가 없었던 결과라고 지적했다.