메타(Meta)의 인공지능(AI) 기반 고객 지원 챗봇에서 심각한 보안 취약점이 발견되어 2만 225개 이상의 인스타그램(Instagram) 계정이 해킹당한 것으로 밝혀졌습니다. 이 사건은 메타가 메인주(Maine)에 제출한 공지에서 확인되었으며, 공격자들은 챗봇의 버그를 이용해 2단계 인증(2FA)이 설정되지 않은 계정의 비밀번호를 손쉽게 재설정하여 계정을 탈취했습니다.
메타에 따르면, 이 취약점은 챗봇 자체의 문제가 아니라 별도의 코드 경로에 존재하는 버그 때문이었습니다. 원래 비밀번호 재설정 요청 시 시스템은 요청자의 이메일 주소가 해당 인스타그램 계정과 연결된 이메일인지 확인해야 하지만, 버그로 인해 이 검증 과정이 제대로 작동하지 않았습니다. 그 결과, 공격자가 계정 소유자의 이메일이 아닌 다른 이메일 주소를 제공해도 시스템은 해당 이메일로 비밀번호 재설정 링크를 잘못 전송했고, 이를 통해 권한 없는 제3자가 계정의 비밀번호를 재설정하고 접근할 수 있게 된 것입니다. 이번 공격은 5월 31일에 시작되어 6월 1일에 해결되었으며, 버락 오바마 전 대통령의 백악관 계정, 미 우주군 최고 주임원사 존 F. 벤티브냐, 세포라(Sephora) 등 유명 계정들도 피해를 입었습니다.
메타는 이번 해킹으로 개인 데이터가 유출되었는지 여부는 파악되지 않았다고 밝혔지만, 해커들이 이메일 주소, 전화번호, 생년월일, 게시물, 다이렉트 메시지, 프로필 정보 등 다양한 개인 정보에 접근했을 가능성을 언급했습니다. 회사는 문제가 된 AI 지원 도구를 비활성화하고 버그가 있는 코드 경로를 제거했으며, 이 취약점을 통해 생성된 모든 비밀번호 재설정 링크를 무효화했습니다. 또한, 잠재적 피해 계정에는 강제 보안 검증 절차를 적용하여 추가적인 피해를 막기 위한 조치를 취했습니다. 이번 사건은 AI 기반 서비스의 편리함 뒤에 숨겨진 보안 취약점의 위험성을 다시 한번 상기시키며, 사용자들에게 2단계 인증(2FA) 활성화의 중요성을 일깨워주는 계기가 될 것입니다.