[Techmeme 요약] 메타, AI 기반 복구 도구 악용으로 인스타그램 계정 2만 개 해킹당했다고 발표
19
설명
메타는 최근 인공지능(AI) 기반 계정 복구 지원 도구의 취약점을 악용한 해킹으로 약 2만 개의 인스타그램 계정이 침해당했다고 밝혔습니다.
2026년 6월 8일 SecurityWeek 보도에 따르면, 해커들은 이 도구의 버그를 이용해 타인의 계정 비밀번호를 재설정하고 접근했습니다.
이번 사건으로 오바마 백악관, 세포라 등 유명 계정들이 피해를 입었으며, 메타는 해당 도구를 비활성화하고 보안 강화 조치를 취했습니다.
### 배경 설명
이번 사건은 소셜 미디어 거대 기업인 메타(Meta)가 운영하는 인스타그램(Instagram)에서 발생한 대규모 계정 침해 사고입니다. 해커들은 메타가 사용자들의 계정 접근 복구를 돕기 위해 제공하는 '하이 터치 지원(High Touch Support, HTS)'이라는 도구의 취약점을 악용했습니다. 이 도구는 원래 사용자가 계정 잠금 시 비밀번호 재설정 링크를 이메일로 받을 수 있도록 설계되었으나, 시스템 버그로 인해 요청자의 이메일 주소가 실제 계정 소유자의 이메일과 일치하는지 제대로 확인하지 못했습니다.
이러한 허점은 공격자가 자신의 이메일 주소를 입력하여 타인의 인스타그램 계정 비밀번호 재설정 링크를 받을 수 있게 만들었고, 이중 인증(Two-Factor Authentication, 2FA)이 설정되지 않은 계정은 쉽게 탈취될 수 있었습니다. 이는 인공지능(AI) 기술이 직접적인 해킹 도구로 사용된 것은 아니지만, AI 기반으로 작동하는 지원 시스템의 설계상 허점이 사이버 공격에 악용될 수 있음을 보여주는 사례로 주목됩니다.
### 해킹 발생 경위 및 피해 규모
2026년 5월 31일, 메타는 하이 터치 지원(HTS) 도구의 취약점 악용을 발견했습니다. 해커들은 이 도구의 버그를 이용해 약 2만 225개의 인스타그램 계정 비밀번호를 재설정하고 탈취했습니다. 메타의 사고 대응 법률 담당 부고문 변호사 앰버 해나(Amber Hannah)는 실제 피해 계정 수가 이보다 적을 수 있다고 언급했으나, 메인주 법무장관실에는 이 수치를 통보했습니다. 피해 계정 중에는 오바마 백악관(Obama White House), 세포라(Sephora), 미국 우주군 주임원사 존 벤티브냐(John Bentivegna) 등 유명 인사 및 기관의 계정도 포함되어 있었습니다.
### 취약점의 작동 방식
문제의 핵심은 하이 터치 지원(HTS) 도구의 '별도 코드 경로(separate code path)'에 존재하는 버그였습니다. 사용자가 비밀번호 재설정 링크를 요청할 때, 시스템은 요청자가 제공한 이메일 주소가 해당 인스타그램 계정과 연결된 이메일 주소와 일치하는지 제대로 확인하지 못했습니다. 결과적으로, 계정과 연결되지 않은 이메일 주소를 제공해도 시스템은 해당 이메일로 비밀번호 재설정 링크를 잘못 전송했습니다. 이로 인해 권한 없는 제3자가 타인의 계정 비밀번호 재설정 링크를 받아 계정에 로그인할 수 있었으며, 특히 이중 인증(2FA)이 활성화되지 않은 계정이 주된 표적이 되었습니다.
### 메타의 대응 및 보안 조치
메타는 취약점 발견 즉시 해당 하이 터치 지원(HTS) 도구를 비활성화하고, 문제가 해결된 후에만 재활성화할 것이라고 밝혔습니다. 또한, 취약점을 악용하여 생성된 비밀번호 재설정 링크는 모두 무효화되었습니다. 영향을 받은 계정들은 강제 보안 검사(mandatory security checkpoint)를 거치게 했으며, 비밀번호가 재설정되었습니다. 메타는 잠재적 피해 사용자들에게 사고를 알리고, 계정 보안 설정을 검토하며 이중 인증(2FA)을 활성화하도록 권고할 예정입니다. 메타는 침해된 계정에 저장된 개인 정보(프로필 정보, 이메일 주소, 전화번호, 생년월일, 다이렉트 메시지, 게시물 등)가 접근되었는지 여부는 불분명하다고 밝혔습니다.
### 가치와 인사이트
이번 인스타그램 해킹 사건은 인공지능(AI) 기반 시스템이 아무리 정교하게 설계되어도, 그 시스템을 구성하는 코드의 작은 취약점이 대규모 보안 사고로 이어질 수 있음을 보여줍니다. 특히, 사용자 편의를 위한 계정 복구 도구가 오히려 공격의 통로가 되었다는 점에서, 기술 개발 단계부터 보안을 최우선으로 고려해야 한다는 중요한 시사점을 제공합니다. 또한, 이중 인증(2FA)과 같은 기본적인 보안 설정의 중요성을 다시 한번 강조하며, 사용자 스스로도 자신의 디지털 자산을 보호하기 위한 노력이 필수적임을 일깨웁니다.
### 기술·메타
- 하이 터치 지원(High Touch Support, HTS)
- 이중 인증(Two-Factor Authentication, 2FA)
- 인공지능(Artificial Intelligence, AI)
### 향후 전망
이번 사건은 앞으로 인공지능(AI) 기술이 더욱 광범위하게 적용될 미래에 사이버 보안의 중요성이 얼마나 커질지 예고합니다. AI 기반 시스템은 효율성을 높이지만, 동시에 새로운 유형의 취약점을 만들어낼 수 있습니다. 기업들은 AI 시스템의 개발 및 운영 전반에 걸쳐 '보안 내재화(Security by Design)' 원칙을 더욱 철저히 적용해야 할 것입니다. 이는 단순히 AI 모델 자체의 보안뿐만 아니라, AI가 통합되는 모든 주변 시스템의 코드 취약점까지 면밀히 검토해야 함을 의미합니다.
또한, 사용자들은 개인 정보 보호와 계정 보안에 대한 인식을 높이고, 이중 인증(2FA) 활성화와 같은 기본적인 보안 수칙을 생활화해야 합니다. 정부와 규제 기관은 AI 시스템의 보안 취약점 악용 사례가 증가함에 따라, 관련 규제 및 가이드라인을 강화하고 기업의 책임 범위를 명확히 할 가능성이 높습니다. 이는 AI 기술의 발전과 함께 더욱 복잡해질 사이버 위협 환경에 대비하기 위한 사회 전반의 노력을 촉진할 것입니다.
📝 원문 및 참고
- Source: Techmeme
- Techmeme 리버: [techmeme.com](https://www.techmeme.com/260608/p4#a260608p4)
- 원문 기사: [링크 열기](https://www.securityweek.com/meta-says-20000-instagram-accounts-hacked-via-ai-tool-abuse/)
---
출처: Techmeme ([Original Article](https://www.securityweek.com/meta-says-20000-instagram-accounts-hacked-via-ai-tool-abuse/))
제목글쓴이조회
- [AI Breakfast] OpenAI는 6억 명 이상의 사용자를 대상으로 에이전트 슈퍼앱 전환을 추진합니다. 구글은 2026년 10월부터 SpaceX와 월 9억 2천만 달러 규모의 GPU 컴퓨팅 계약을 체결했습니다. Anthropic은 2025년 후반 모델을 능가하는 미공개 모델과 맞춤형 칩 개발에 집중하고 있습니다.[0]Nedai12
- [The Verge] 마이크로소프트 AI 총괄, '초지능 임박했지만 일자리는 빼앗지 않아' 선언[0]Nedai12
- [The Verge] 구글 NotebookLM, 제미니 3.5 업그레이드로 클라우드 기반 연구 역량 강화[0]Nedai13
댓글 0
아직 댓글이 없습니다. 첫 댓글을 남겨 보세요.