해커들이 Meta의 챗봇을 악용하여 인스타그램 계정을 해킹했습니다.
최근 Meta는 자사의 AI 기반 챗봇과 관련된 보안 사고에 대해 해커들이 해당 도구를 악용하여 여러 인스타그램 계정을 해킹한 사건을 언급했습니다.
챗봇이 보안 취약점이 될 때
Tuoi Tre Online 의 조사에 따르면, 여러 국제 기술 웹사이트는 공격자가 Meta의 챗봇을 조작하여 대상 계정에 새 이메일 주소를 추가한 다음 비밀번호 재설정 절차를 이용하여 계정 제어권을 탈취했다고 보도했습니다.
이번 사건은 인공지능을 고객 서비스에 통합하는 기업들이 늘어나는 추세 속에서, 특히 챗봇이 신원 확인, 계정 복구 정보 변경, 계정 복구 지원과 같은 민감한 업무와 연결될 때 발생할 수 있는 새로운 위험성을 부각시켰습니다.
특히, 이러한 유형의 공격은 악성코드, 피싱 링크 또는 피해자의 원래 이메일 주소에 대한 접근 권한을 반드시 필요로 하지 않습니다. 해커들은 플랫폼 자체의 자동 지원 메커니즘을 악용하여 챗봇이 엄격한 신원 확인 절차를 거쳐야 하는 작업을 수행하도록 조작합니다.
해킹 피해를 입은 계정에는 버락 오바마 전 대통령 재임 시절 백악관 인스타그램 계정, 세포라 계정, 미 우주군 고위 관계자 계정 등 유명 계정들이 다수 포함된 것으로 알려졌습니다. 일부 계정은 해킹 후 콘텐츠가 변경되거나 관련 없는 메시지를 게시하는 데 사용되었습니다.
메타 측은 문제가 해결되었으며 영향을 받은 계정을 보호하고 있다고 밝혔습니다. 그러나 이번 사건은 계정 복구 과정에서 민감한 단계를 인공지능에 맡기는 것이 과연 옳은지에 대한 큰 의문을 여전히 제기하고 있습니다.
본질적으로 이것은 전통적인 의미의 정교한 사이버 공격이 아닙니다. 해커는 암호화를 해제하거나 서버에 침투할 필요가 없습니다. 그들은 시스템이 연락하는 사람이 정당한 계정 소유자라고 믿도록 설계된 요청으로 챗봇을 속입니다.
보안 전문가들은 이러한 유형의 공격을 프롬프트 주입과 유사한 AI 조작의 한 형태로 부릅니다. 일반적인 챗봇의 경우, 결과는 단순히 잘못된 답변일 수 있습니다. 그러나 챗봇이 계정 정보 변경, 이메일 재설정 또는 비밀번호 복구 지원과 같은 권한이 있는 시스템에 연결된 경우, 단 하나의 잘못된 답변이 심각한 보안 사고로 이어질 수 있습니다.
이번 사건은 고객 지원과 계정 보안 사이의 경계가 모호해지고 있음을 보여줍니다. 이전에는 복구 이메일 변경, 비밀번호 재설정, 계정 소유권 확인과 같은 작업에 여러 단계의 절차가 필요했고, 때로는 사람의 감독이 요구되기도 했습니다. 하지만 AI 자동화 시대에는 챗봇의 "상황 이해"에만 의존할 수 없고, 더욱 강력한 보안 조치가 필요합니다.
사용자는 자신의 계정을 보호하기 위해 무엇을 할 수 있을까요?
일반 사용자들에게 이번 사건은 의심스러운 링크를 클릭하거나 타인에게 비밀번호를 제공하지 않더라도 소셜 미디어 계정이 해킹될 수 있다는 사실을 다시 한번 상기 시켜 줍니다. 플랫폼의 고객 지원 과정에 취약점이 있다면, 해커들은 이를 우회하여 계정에 접근할 수 있을 것입니다.
인스타그램 사용자라면 2단계 인증을 활성화하는 것이 좋습니다. SMS로 인증 코드를 받는 것보다는 인증 앱을 사용하는 것이 더 효과적입니다. 비밀번호가 유출되거나 계정 복구 과정에서 계정 정보가 변경되는 경우, 2단계 인증은 중요한 보호 수단이 됩니다. 또한, 계정에 연결된 이메일 주소와 전화번호를 확인하여 알 수 없는 정보가 추가되지 않았는지 확인해야 합니다.
사용자는 로그인 세션, 계정에 접속하는 기기, 타사 애플리케이션의 권한 등을 정기적으로 검토해야 합니다. 계정 비밀번호가 변경되었거나, 새 이메일 주소가 추가되었거나, 익숙하지 않은 기기에서 로그인했다는 이메일 알림을 받으면 무시하지 말고 즉시 처리해야 합니다.
팔로워가 많은 계정, 판매 계정, 콘텐츠 크리에이터 또는 브랜드 계정은 특히 위험도가 높습니다. 해킹당한 인스타그램 계정은 고객 사기, 악성 콘텐츠 유포 또는 평판 손상에 악용될 수 있습니다.
메타의 사례는 기술 산업이 직면한 더 큰 과제를 보여줍니다. AI가 점점 더 많은 운영 프로세스에 통합되고 있지만, 모든 프로세스를 기계에 완전히 위임할 수는 없습니다. 계정 보안과 관련된 운영에서는 AI가 보조적인 역할을 해야 하며, 최종 결정은 독립적인 검증 메커니즘을 통해 이루어져야 합니다.
모든 제품에 AI를 통합하려는 경쟁 속에서 속도만이 유일한 우선순위가 되어서는 안 됩니다 . 챗봇에 더 많은 권한이 부여될수록, 속았을 때의 결과는 더욱 심각해집니다. 사용자에게 가장 실질적인 방어책은 사고가 발생하기 전에 계정 보안을 강화하는 것입니다.
출처: https://tuoitre.vn/hacker-danh-lua-ai-cua-meta-chiem-quyen-tai-khoan-instagram-20260605112903826.htm
