메타(Meta)의 인공지능(AI) 기반 고객지원 시스템의 보안 허점이 악용되면서 해커들이 인스타그램 계정을 손쉽게 탈취한 사실이 드러나 충격을 주고 있습니다.
IT 전문매체 더 버지(The Verge)와 테크크런치(TechCrunch) 등에 따르면, 보안 연구원들은 최근 메타의 자동화된 AI 고객지원 도구가 해커들의 공격 수단으로 이용됐다고 밝혔습니다.
해커들은 AI 고객지원 챗봇을 속여 특정 인스타그램 계정에 등록된 이메일 주소를 자신들이 통제하는 이메일 주소로 변경하도록 만들었습니다. 이메일 변경이 승인되면 해커들은 비밀번호 재설정 코드를 받아 계정 소유자를 강제로 로그아웃시키고 계정을 완전히 장악할 수 있었습니다.
특히 다중 인증(Multi-Factor Authentication·MFA)을 설정하지 않은 계정들이 가장 큰 위험에 노출된 것으로 나타났습니다.
소셜미디어 X(구 트위터)에는 한 해커가 실제로 AI 챗봇과 대화하며 계정 정보를 변경하는 과정을 시연하는 영상까지 공개됐습니다. 영상에서는 챗봇이 새로운 이메일 주소를 등록한 뒤 해당 이메일로 인증 코드를 발송하는 모습이 담겼습니다.
이번 공격의 피해 계정 가운데에는 오바마 행정부 시절 백악관과 관련된 인스타그램 계정도 포함된 것으로 알려졌습니다. 해당 계정은 해킹 이후 잠시 동안 이란 선전성 게시물이 올라오기도 했다고 더 버지는 보도했습니다.
또한 글로벌 화장품 유통업체 세포라(Sephora), 미 우주군(U.S. Space Force) 관련 계정, 그리고 유명 보안 연구원 제인 만춘 웡(Jane Manchun Wong)의 계정도 피해를 입은 것으로 전해졌습니다.
웡 연구원은 X를 통해 “비밀번호가 내 동의 없이 변경됐고 하루 종일 여러 차례 비밀번호 재설정 시도가 이어졌다”며 “인스타그램 iOS 앱에서도 반복적으로 로그아웃됐다”고 밝혔습니다.
메타 대변인 앤디 스톤(Andy Stone)은 X를 통해 해당 문제가 현재는 해결됐으며 피해 계정들에 대한 보안 조치도 완료됐다고 설명했습니다.
그러나 이번 사건은 민감한 계정 복구 기능을 AI 고객지원 시스템에 맡길 경우 발생할 수 있는 위험성을 보여주는 대표적인 사례라는 지적이 나오고 있습니다.
전문가들은 이번 공격이 악성코드나 고도의 해킹 기술 없이도 가능했다는 점에 주목하고 있습니다. 해커들은 시스템 자체를 해킹한 것이 아니라 AI를 교묘하게 조작해 스스로 보안 절차를 우회하도록 만들었습니다.
사이버보안 전문가들은 계정 탈취를 예방하는 가장 효과적인 방법 가운데 하나로 다중 인증(MFA) 설정을 권고하고 있습니다.
한편 메타가 취약점을 긴급 수정하기 전까지 정확히 몇 개의 인스타그램 계정이 해킹 피해를 입었는지는 아직 공개되지 않았습니다.
[KTLA]
