해킹이라고 하기엔 너무 단순했습니다. 공격자가 한 일은 Meta의 AI 지원봇에게 “이 계정의 이메일 주소를 내 걸로 바꿔줘”라고 요청한 것뿐입니다. 봇은 그대로 따랐습니다.

지난 5월 말부터 6월 초 사이, Instagram에서 연달아 고프로필 계정 탈취 사건이 발생했습니다. 오바마 전 대통령의 백악관 공식 계정(@obamawhitehouse)이 이란 선전물을 올리기 시작했고, 미 우주군 최고 주임원사 계정과 뷰티 브랜드 Sephora 계정도 탈취됐습니다. 보안 전문가들이 공격 방식을 분석한 결과, 범인은 정교한 해킹 기술이 아니었습니다. Meta가 3월에 도입한 AI 지원 챗봇이었습니다.

출처: The Newest Instagram “Exploit” is the Goofiest I’ve Seen – 0xsid.com

공격 방식: 단계가 두 개뿐이었습니다

공격 흐름은 놀랍도록 단순했습니다.

1. 공격자는 VPN으로 피해자와 같은 지역처럼 위치를 위장한 뒤, Meta AI 지원봇에 접속해 “계정이 해킹당했다”고 신고합니다.
2. 봇이 인증 코드를 보낼 이메일 주소를 묻자, 공격자는 자신이 통제하는 이메일 주소를 입력합니다. 봇은 해당 주소로 코드를 발송하고, 공격자는 이를 입력해 계정의 완전한 소유권을 가져갑니다.

보안 연구자 Sid는 이를 “실서비스에서 본 최초의 제로 인증 비밀번호 재설정”이라고 표현했습니다. 입력한 이메일이 기존 계정에 등록된 것인지 확인하는 절차가 전혀 없었던 겁니다. 봇이 신원 확인을 위해 셀피 영상을 요구하는 경우도 있었지만, 피해자의 공개 프로필 사진으로 만든 AI 합성 영상으로도 통과됐다고 알려져 있습니다.

2FA도, 기존 세션도 모두 무력화됩니다

2단계 인증(2FA)을 켜놓았다면 괜찮지 않을까 생각할 수 있습니다. 그렇지 않습니다.

시스템이 이 과정을 계정 “진짜 주인”의 완전 초기화로 처리하기 때문에, 기존 2FA는 그 과정에서 함께 해제됩니다. 기존 로그인 세션은 모두 강제 종료되고, 이메일과 전화번호는 공격자 것으로 교체됩니다. 정작 원래 주인은 아무런 알림도 받지 못한 채 계정을 잃습니다.

더 곤란한 건 그 다음입니다. 피해자가 계정을 되찾으려 해도, 이제 연락처가 모두 공격자 것으로 바뀌어 있어 일반적인 복구 방법은 통하지 않습니다. AI 지원봇과 씨름하는 것 외에 사람에게 에스컬레이션할 방법이 없었습니다. AI 지원이 A/B 테스트 중인 계정이라면 이 옵션 자체를 끄는 것도 불가능했습니다.

왜 이런 일이 가능했을까

Simon Willison은 이 사건을 한 문장으로 정리했습니다. “이건 프롬프트 인젝션도 아니다. 지원봇을 계정 원샷 탈취가 가능한 구조로 연결해놓으면 안 된다.”

Meta는 AI 지원봇을 출시하면서 “단순한 제안이 아닌 실제 해결책”을 표방했습니다. 비밀번호 재설정, 2FA 설정, 계정 복구까지 직접 수행할 수 있는 권한을 봇에 부여한 것입니다. 그런데 이 강력한 실행 권한에 견고한 신원 확인 절차가 따라붙지 않았습니다. AI가 단순히 자연어 요청을 처리하는 것이 아니라 민감한 계정 변경을 직접 실행할 수 있을 때, 인증 절차의 허점은 곧 보안의 구멍이 됩니다.

복수의 텔레그램 블랙마켓에서는 계정 탈취 서비스가 유통됐습니다. 짧은 핸들(@hey 같은)은 수십만에서 수백만 달러에 거래되기도 하는 만큼, 이 취약점이 빠르게 상업화된 건 놀랄 일이 아닙니다. Meta는 현재 이 취약점을 패치했다고 밝혔지만, 해당 방식은 수 주에서 수 개월간 활성 상태였던 것으로 보입니다.

참고자료:

• Meta’s own AI was exploited to hijack Instagram accounts – The Verge
• Hackers Simply Asked Meta AI… – Simon Willison