메타(Meta)의 인공지능(AI) 챗봇에 존재하는 치명적인 취약점을 이용해 수천 개의 인스타그램(Instagram) 계정이 해킹당하는 사건이 발생했습니다. 메타는 이 사실을 공식 인정하고, 최소 20,225명에게 계정 침해 사실을 통지했다고 밝혔습니다. 이 공격은 수개월간 지속되었으며, 해커들은 2단계 인증(two-factor authentication)이 설정되지 않은 계정의 비밀번호를 챗봇을 통해 재설정하여 계정을 탈취했습니다.
이번 해킹은 메타 AI 챗봇의 계정 복구 시스템 내 버그에서 비롯되었습니다. 원래 챗봇은 계정 소유자의 이메일 주소로 인증 코드를 보내야 하지만, 버그로 인해 해커가 제공한 임의의 이메일 주소로 비밀번호 재설정 링크를 보내는 문제가 발생했습니다. 즉, 챗봇에게 단순히 요청하는 것만으로 해커는 계정 소유자가 아닌 자신의 이메일로 비밀번호 재설정 링크를 받을 수 있었고, 이를 통해 계정 전체를 장악할 수 있었습니다. 해커들은 이 방식으로 연락처, 생년월일, 프로필 정보뿐 아니라 게시물, 다이렉트 메시지, 계정 활동 내역까지 접근할 수 있었습니다. 메타는 지난 4월 17일부터 해킹이 시작되어 최근까지 지속되었으며, 현재는 취약점을 수정하고 챗봇 기능을 일시적으로 비활성화했다고 설명했습니다.
이번 사건은 AI 기술이 편리함을 제공하는 동시에 새로운 보안 취약점을 야기할 수 있음을 보여줍니다. 특히 대규모 언어모델(LLM) 기반의 챗봇이 사용자 인증과 같은 민감한 시스템에 통합될 때, 예상치 못한 논리적 오류나 구현상의 버그가 심각한 보안 문제로 이어질 수 있다는 경고를 던집니다. 사용자 입장에서는 2단계 인증과 같은 기본적인 보안 수단이 얼마나 중요한지 다시 한번 상기시켜주는 계기가 되었으며, 기업들은 AI 시스템 도입 시 철저한 보안 검증과 함께 잠재적 위험에 대한 깊이 있는 이해가 필요하다는 점을 시사합니다.