메타 인스타그램 계정 탈취를 유발한 AI 챗봇 보안 결함

주장메타가 고객 지원 업무를 인공지능(AI) 챗봇에 전적으로 위임하면서 심각한 보안 취약점이 드러났습니다. 기술적 판단이 필요한 계정 복구 업무를 AI가 자동 처리하게 함으로써 해커들에게 악용될 여지를 제공했습니다.

팩트해커들은 메타의 AI 지원 챗봇에게 대상 계정과 연결된 이메일 주소를 변경해달라고 직접 요청하는 방식을 사용했습니다. 이 과정에서 해커들은 챗봇을 속여 계정 소유권을 탈취하는 데 성공했습니다.

팩트이번 사건으로 버락 오바마 전 미국 대통령의 백악관 계정, 우주군 주임원사 계정, 화장품 브랜드 세포라 계정 등 다수의 유명 인스타그램 계정이 탈취되었습니다. 해커들은 텔레그램 그룹을 통해 계정 탈취 과정을 담은 영상과 스크린샷을 공유했습니다.

팩트메타는 지난 3월 페이스북과 인스타그램의 모든 계정에 AI 지원 기능을 확대 적용한다고 발표했습니다. 해당 기능은 비밀번호 재설정 및 계정 보안과 복구 등 핵심적인 관리 기능을 수행하도록 설계되었습니다.

팩트해커가 공유한 영상에 따르면, 챗봇에게 대상 계정의 사용자 이름을 입력하고 새로운 이메일 주소를 연결해달라고 요청하는 것만으로도 절차가 진행되었습니다. 해커는 챗봇에게 인증 코드를 보내겠다고 말하며 시스템을 기만했습니다.

교차검증계정을 탈취당한 사용자들은 메타의 AI 시스템이 문제를 해결해주지 않으며, 사람 상담원에게 문제를 보고할 수 있는 경로조차 차단되어 있다고 불만을 제기합니다. 자동화된 시스템이 오히려 피해자의 구제 가능성을 낮추고 있습니다.

주장이번 사건은 기업이 비용 절감을 위해 고객 지원을 AI로 대체할 때 발생할 수 있는 치명적인 위험을 시사합니다. 보안과 직결된 업무를 AI에 맡길 경우, 시스템의 논리적 허점을 파고드는 공격에 무방비로 노출될 수 있습니다.

교차검증메타의 AI 챗봇은 제안을 넘어 해결책을 제공한다는 명목으로 도입되었습니다. 그러나 이번 사건은 AI가 인간의 검증 없이 계정 권한을 변경할 수 있는 권한을 가질 때 발생하는 보안 사고의 전형을 보여줍니다.

팩트404 미디어는 이번 사건을 보도하며 메타의 AI 지원 시스템이 가진 기술적 결함을 지적했습니다. 해당 매체는 보안 연구원들과 해킹 그룹들이 텔레그램에서 공유한 증거 자료를 바탕으로 취재를 진행했습니다.

주장기술적 결함이 확인된 만큼 메타는 AI 챗봇의 권한을 즉각 제한해야 합니다. 보안 사고를 방지하기 위해 계정 복구와 같은 민감한 작업에는 반드시 인간 관리자의 승인 절차를 포함해야 합니다.

교차검증자동화된 고객 지원은 운영 효율성을 높이지만, 보안 정책이 뒷받침되지 않으면 사용자 피해를 양산합니다. 기업은 기술 도입 속도보다 안전한 운영 체계 구축을 우선해야 합니다.

출처404 미디어의 보도 내용을 바탕으로 메타 AI 챗봇의 보안 결함 사례를 교차 검증했습니다. (https://www.404media.co/hackers-simply-asked-meta-ai-to-give-them-access-to-high-profile-instagram-accounts-it-worked/)