[디지털투데이 AI리포터] 메타의 AI 지원 챗봇을 악용한 인스타그램 계정 탈취 수법이 메타가 문제가 해결됐다고 밝힌 이후에도 계속된 정황이 나타났다. 

3일(현지시간) IT매체 테크크런치에 따르면 일부 이용자들은 메타가 해당 문제를 수정했다고 발표한 뒤에도 인스타그램 계정이 탈취됐다고 주장했다. 텔레그램에서는 같은 방식으로 메타 AI 챗봇을 계속 악용할 수 있다고 주장하는 대화가 이어졌으며, 탈취된 것으로 보이는 사용자명 판매 게시물도 올라왔다. 다만 이들 계정이 모두 동일한 수법으로 탈취됐는지는 확인되지 않았다.

공격 방식은 단순했다. 공격자는 메타 AI 챗봇에 자신이 특정 인스타그램 계정의 소유자라고 주장한 뒤, 해당 계정을 자신이 통제하는 이메일 주소에 연결해 달라고 요청했다. 챗봇이 이를 승인하면 공격자는 비밀번호를 재설정해 계정을 장악할 수 있었고, 일부 피해자는 계정 접근 권한을 잃었다. 이 과정에는 메타 직원이나 외부 계약 인력이 개입하지 않은 것으로 전해졌다.

메타는 지난 2일 해당 문제가 이미 수정됐다고 밝혔다. 앤디 스톤 메타 대변인은 당시 실제 발생했던 문제는 해결됐다고 설명했다. 그러나 이후에도 계정 탈취 주장이 잇따랐다. 스톤 대변인은 일부 이용자가 비밀번호 재설정 알림을 받거나 계정 로그인 과정에서 보안 질문을 요구받을 수 있다고 덧붙였다.

피해 사례에는 희소성이 높은 사용자명 계정도 포함된 것으로 알려졌다. 일반 이름이나 국가명 등 이른바 'OG 핸들'로 불리는 사용자명은 암시장에서 거래되기도 한다. 휴면 상태였던 오바마 백악관 계정과 미 우주군 주임원사 존 벤티베냐의 계정도 피해 사례로 거론됐지만, 메타는 오바마 백악관 계정 관련 주장에 대해서는 사실이 아니라고 반박했다.

메타는 지난 2일 피해 계정을 보호한 뒤 비밀번호 재설정 이메일 발송을 시작했다. 일부 이용자들은 인스타그램으로부터 계정이 침해됐을 가능성이 있는 수상한 활동이 감지됐다는 안내 메일을 받았다고 공개했다. 메타는 계정 보호 조치를 시행했으며 비밀번호 변경을 요청했다고 밝혔다. 다만 피해 규모는 공개하지 않았다.

이번 사고는 메타가 지난 3월 AI 기반 이용자 지원 기능을 도입한 이후 발생했다. 당시 메타는 AI 챗봇이 계정 문제를 처음부터 끝까지 처리하고 비밀번호도 안전하게 재설정할 수 있다고 설명했다. 과거 희소한 인스타그램 사용자명 탈취에는 피싱, 전화번호 탈취, 통신사 내부자 매수 등 복잡한 수법이 사용됐지만, 이번에는 자신이 계정 소유자라고 속인 뒤 계정을 통제 가능한 이메일에 연결해 달라고 요청하는 방식으로 계정 탈취가 이뤄졌다.

• 임욱빈 대표이사, 바이오다인 주식 7만7542주 매수
• KT, 금융권 대상 보안 AX 인프라 전략 제시
• 무료 PC 모니터링 앱이 우주 연구에?…NASA 방사선 실험에 쓰인 'HWiNFO'
• 애플 확장현실 기기 전략 바뀌나…'비전 프로 후속작' 대신 스마트 글래스 집중
• 젝시믹스, 자기주식취득 신탁계약 20억원 체결 결정