AI 챗봇에 “부탁”만 했을 뿐… 인스타그램 2만 계정 탈취 사건의 충격적인 전말

여기서 결정적인 문제가 발생했다. 메타는 이 AI 챗봇을 사내에서 ‘하이터치 지원(HTS: High Touch Support)’이라 불리는 계정 복구 인프라에 직접 연결해 두었다 . 이 때문에 챗봇은 인간 상담원이라면 반드시 요구했을 다단계 신원 확인 절차 없이도 계정에 연결된 이메일 주소를 변경할 수 있는 막강한 권한을 갖게 된 것이다. 챗봇은 요청을 고분고분히 들어주었고, 공격자의 이메일을 표적 프로필에 연결해 버렸다. 이메일이 변경되자, 공격자는 평범한 비밀번호 재설정 절차를 진행하여 자신이 통제하는 이메일로 재설정 링크를 받아 계정 전체를 완전히 장악했다. 계정의 주된 이메일이 공격자 손에 넘어갔기에 2차 인증도 아무 소용이 없었다 .

피해 규모와 영향

2026년 4월 17일에서 6월 초 사이, 이 단순한 수법을 통해 최소 20,225개의 인스타그램 계정이 탈취당했다 . 메타는 2026년 6월 5일 메인 주 검찰총장실에 제출한 데이터 유출 신고 서류를 통해 이 수치를 시인했다 . 해킹된 계정 목록은 그야말로 충격적이었다.

• 오바마 행정부 시절 백악관 공식 기록 보관소 계정 (@ObamaWhiteHouse)
• 글로벌 뷰티 리테일러 세포라 (Sephora)
• 미 우주군 고위 관계자의 계정
• 암시장에서 고가에 거래되는 수많은 희귀 한 글자 계정들

탈취된 계정들은 메타가 6월 1일 긴급 패치를 적용하기 전까지 암시장에서 수천만 엔에 달하는 가격에 재판매된 것으로 알려졌다 .

공격이 성공한 이유

이 사건은 정교한 해킹 기술이 아니라 설계의 실패였다. 메타의 AI 지원 봇은 다중 인증 확인이나 기존 이메일로의 인증 코드 발송, 인간의 검토와 같은 확정적인 승인 절차 없이 이메일 주소 변경 및 비밀번호 재설정이라는 핵심 계정 소유권 기능을 실행할 수 있는 권한을 부여받았다 . 한 보안 분석가는 이 AI 시스템이 “2만 개가 넘는 인스타그램 계정을 위한 비밀번호 재설정 백도어”로 기능했다고 꼬집었다 .

사건 2: 개인 연락처 정보를 그대로 노출한 비밀번호 찾기 오류

첫 사건이 터지고 일주일도 채 지나지 않은 2026년 6월 6일, 인스타그램의 웹 기반 비밀번호 찾기 절차에서 또 다른 치명적인 논리 오류가 발견됐다 . 사용자가 비밀번호 찾기를 요청하면, 시스템은 원래 j***@example.com처럼 일부를 가린 복구 옵션만 보여주도록 설계되어 있었다. 그러나 실제 응답에는 계정과 연결된 마스킹 처리되지 않은 원본 이메일 주소와 전화번호가 고스란히 포함되었다 .

무엇이 노출되었나

이 오류는 누군가 표적 계정의 비밀번호 찾기를 시도하기만 하면 서버 응답 데이터를 통해 계정 소유자의 온전한 이메일과 전화번호를 볼 수 있다는 뜻이었다. 연구원들은 이 취약점을 유명 계정을 대상으로 입증했다. 그 결과 다음과 같은 인물의 평문(plaintext) 연락처 정보가 그대로 노출되었다.

• 메타 CEO 마크 저커버그의 계정
• 모델 헤오르히나 로드리게스

위험은 표적 공격에만 국한되지 않았다. 공격자는 비밀번호 재설정을 대량으로 요청한 뒤, 반환되는 평문 연락처 정보를 긁어모아 수백만 사용자의 인스타그램 프로필과 연결된 검증된 이메일 주소 및 전화번호 데이터베이스를 손쉽게 구축할 수도 있었다. 이는 2026년 1월 외부인이 비밀번호 재설정 이메일을 대량으로 발송했을 뿐 내부 데이터를 노출시키지는 않았던 사건과는 완전히 다른, 훨씬 심각한 사안이었다 .

시너지 효과를 낸 두 가지 위험

기술적으로는 서로 독립된 이 두 결함은 서로의 심각성을 극대화했다. AI 프롬프트 인젝션을 통해 계정에 초기 접근 권한을 얻은 공격자는, 이어서 비밀번호 찾기 오류를 이용해 피해자의 마스킹되지 않은 이메일과 전화번호를 빼낼 수 있었다. 설령 초기 계정 탈취 문제가 해결되더라도, 공격자는 이미 탈취한 개인 연락처 정보를 바탕으로 사회 공학 기법이나 타 플랫폼에서의 심 스와핑(SIM-swapping) 공격을 통해 언제든지 다시 계정을 탈취할 수 있게 된 셈이다 .

불과 일주일 사이, 같은 사용자층을 겨냥한 이 취약점들이 동시다발적으로 터져 나온 것은 단순한 개별적 실수가 아닌 시스템적 문제임을 시사한다.

더 큰 보안 문제: 특권적 공격 표면이 된 AI 에이전트

특히 프롬프트 인젝션 공격은 AI 에이전트 보안 분야에서 중요한 사례 연구로 남게 되었다. 이 사건으로 인해 주요 플랫폼들이 AI 통합을 어떤 방식으로 설계하고 있는지에 대해 연구자들 사이에서 큰 경고가 쏟아져 나왔다.

부재한 확정적 승인 체계

핵심적인 실패 요인은 아키텍처 설계에 있었다. 메타는 인간 상담원이라면 반드시 직면했을 승인 시스템 없이, LLM 기반 챗봇이 민감한 계정 변경을 실행할 수 있도록 허용했다. 다중 인증 확인도, 기존 등록된 이메일로의 확인 메일 발송도, 중간에 사람이 개입하는 검증 과정도 전혀 없었다. 챗봇은 그저 자연어로 표현된 지시를 묵묵히 따랐을 뿐이다 . 보안 연구원들은 이러한 현상을 ‘편의성’을 ‘승인’으로 착각한 것이며, 본래 신원을 확인하기 위해 존재하는 프로세스를 AI를 통해 건너뛰어 버린 것이라고 지적했다 .

비밀번호 찾기 백도어로 전락한 AI

메타는 AI를 사용자 관리 API에 직접 연결함으로써 자신들의 계정 복구 시스템에 의도치 않은 백도어를 심은 꼴이 되었다. 이 공격에는 전통적인 의미의 취약점이 전혀 필요하지 않았다. SQL 인젝션도, OAuth 토큰 탈취도, 계정 정보 대입 공격도 아니었다. 이는 신뢰 경계 설계의 실패였다. 회사는 AI가 오직 합법적인 목적으로만 그 능력을 사용할 것이라고 가정했을 뿐, 권한이 부여된 호출을 실행하기 전에 확실한 사전 인증 관문을 구현하지 않았다 .

전사적 제품으로 이어질 수 있는 시스템적 위험

전문가들은 확정적 확인 절차 없이 AI 에이전트에게 주요 행정 기능에 직접 접근하도록 허용하는 이 아키텍처 패턴이 메타의 다른 서비스로 확대 적용되거나 다른 플랫폼들에서 답습할 경우, 시스템 전반에 걸친 취약점으로 이어질 수 있다고 경고했다. 이제 진짜 문제는 LLM이 프롬프트 인젝션으로 속을 수 있느냐가 아니라, 애초에 왜 그런 챗봇에게 왕국의 열쇠를 쥐여 주었느냐가 되었다 . 클라우드 보안 연합(CSA)은 이 사건을 연구 노트 ‘헬프데스크 탈취(Helpdesk Hijack)’로 기록하며, 보안 커뮤니티가 이 실패 모드를 얼마나 심각하게 받아들이고 있는지를 분명히 했다 .

메타는 무엇을 했나?

메타는 이 취약점이 대중에게 문서화된 바로 그날인 2026년 6월 1일에 AI 챗봇 취약점에 대한 긴급 패치를 적용했다 . 회사는 수정 사항을 확인했지만, 처음에는 피해 계정 수를 공개하지 않았다. 이 수치(20,225개)는 메인 주 검찰총장실에 제출된 데이터 유출 신고 서류를 통해 뒤늦게 드러났다 . 비밀번호 재설정 논리 오류 역시 수정되었으나, 이 패치가 적용된 구체적인 시점은 공개된 자료에 덜 명확하게 기록되어 있다 .

AI와 보안, 그 더 큰 그림

이 두 사건은 AI와 보안을 둘러싼 대화의 전환점을 의미한다. 수년간 프롬프트 인젝션은 주로 연구적 호기심의 대상으로 여겨졌다. 챗봇을 속여 당황스러운 말을 하게 하거나 콘텐츠 필터를 우회하는 정도의 장난으로 치부된 것이다. 그러나 인스타그램 공격은 LLM이 사용자 계정에 대한 실질적인 권한을 부여받을 때, 프롬프트 인젝션이 곧 강력한 무기가 될 수 있음을 생생하게 보여주었다. 이제 AI 에이전트를 도입하는 모든 플랫폼이 직면한 질문은 단순하지 않다. 봇이 속을 수 있느냐가 아니라, 아무리 공격자가 예의 바르게 부탁하더라도 말로써 우회할 수 없는, 견고하고 비AI적인 승인 장치로 그 기능적 능력을 제한해야 하는지에 대한 물음이다.