이메일 해킹 없이 뚫린 인스타그램, 허점은 메타 AI 챗봇 지원 절차

AI 요약

메타의 인공지능 기반 고객지원 챗봇이 인스타그램 계정 탈취에 악용돼 공격자가 피해자의 이메일이나 비밀번호를 훔치지 않고 비밀번호 재설정 절차를 진행해 계정을 탈취했습니다. 공격자는 VPN으로 접속 위치를 위장한 뒤 AI 챗봇을 속여 새 이메일을 추가하고 챗봇이 보낸 인증 코드를 입력해 비밀번호를 바꿔 계정을 빼앗았으며, 피해 계정에는 2017년 이후 사실상 사용되지 않던 오바마 백악관 인스타그램 계정과 미국 우주군 최고주임원사 존 벤티베냐의 계정 등이 포함되었습니다. 메타는 취약점을 해결하고 영향을 받은 계정을 보호하고 있다고 밝혔으나 피해 계정 수와 구체적 재발 방지 조치는 공개하지 않았고, 보안 전문가들은 다중인증(MFA)이 상대적으로 방어에 유리하며 AI가 민감한 계정 변경을 단독으로 승인하지 못하도록 최소 권한 원칙 등 더 엄격한 검증이 필요하다고 지적했습니다.