Instagram AI 지원 시스템 취약점으로 대규모 계정 탈취
원제: The newest Instagram “exploit” is the goofiest I've seen
왜 중요한가
1.5조 달러 기업의 AI 지원 시스템 보안 허점이 노출되어 소셜미디어 플랫폼 보안 강화 필요성이 대두됐다.
Meta의 Instagram AI 지원 시스템에서 사용자명만으로 계정을 탈취할 수 있는 심각한 취약점이 발견됐다. 오바마 백악관 계정 등 유명 계정들이 피해를 입었으며, 공격자가 VPN으로 위치를 속이고 AI에게 임의 이메일로 인증 코드 전송을 요청하면 패스워드 재설정이 가능했다.
보안 연구자 Sid가 공개한 바에 따르면, Instagram에서 발생한 계정 탈취 사건의 공격 방식은 매우 단순했다. 공격자는 대상 계정의 사용자명만 확보한 후 VPN을 통해 해당 지역 근처로 위치를 변경하고, Meta AI 지원팀에 계정이 해킹당했다고 신고한다. 이때 인증 코드를 자신이 통제하는 임의의 이메일 주소로 보내달라고 요청하면, AI는 해당 이메일이 사용자와 연관된 계정인지 별도 확인 없이 인증 코드를 전송한다. 공격자가 이 코드를 다시 입력하면 패스워드 재설정 링크가 제공되어 계정을 완전히 장악할 수 있다. AI는 신원 확인을 위해 비디오 셀피를 요구할 수도 있지만, 대상의 공개 사진을 AI로 애니메이션화한 영상으로도 우회가 가능하다고 보고됐다. 이 방식은 기존 2단계 인증도 무력화시키며, 원래 소유자는 복구 수단을 잃게 된다. 텔레그램 해커 그룹들이 이 방법으로 계정 탈취 서비스를 제공했으며, Meta는 현재 해당 취약점을 패치한 상태다.