Meta AI 챗봇 악용, Instagram 계정 2만 건 이상 해킹 — 비밀번호 재설정 취약점 대규모 탈취

핵심 요약

Meta Instagram AI 지원 계정 복구 시스템 취약점을 악용해 공격자가 최소 20,225명 계정을 탈취한 사건이 데이터 침해 통지서를 통해 공개됐다. 비밀번호 재설정 링크가 공격자 통제 이메일로 발송되는 인증 우회 방식이 사용됐다.

배경

Meta는 AI 기반 고객 지원 자동화 및 Yoti 등 신원 확인 서비스와의 연동을 강화해왔다. Yoti 고객지원이 GrapheneOS 기기를 자동 플래그 처리해 당국에 보고하는 정책이 논란이 되며 Meta 생태계의 구조적 프라이버시 문제가 중첩됐다.

원인

Instagram AI 복구 시스템이 이메일 소유권 검증을 충분히 수행하지 않아 공격자가 타인 계정의 비밀번호 재설정 링크를 자신의 이메일로 수신하는 것이 가능했다.

경과

최소 20,225명에게 계정 침해 통지가 발송됐으며, 공격자는 전체 Instagram 및 연결 계정 접근 권한을 획득했다. Yoti의 GrapheneOS 자동 신고 정책 캡처가 유포되며 프라이버시 침해 논란이 확산됐다.

현재 상태

Meta는 취약점 패치 여부와 추가 피해 규모를 공식 발표하지 않은 상태다. 미 FTC 조사 가능성이 거론된다.

주요 영향

• 경제: Meta 법적·규제 리스크 증가, AI 고객지원 보안 투자 압박
• 시장: Meta 주가 단기 부정적 영향, 소셜미디어 신뢰도 저하
• 지정학: AI 신원 확인 서비스의 국가기관 연동 관행 국제 논란