Meta’s own AI was exploited to hijack Instagram accounts

개요

Meta의 AI 지원 챗봇이 해킹에 악용되어 인스타그램 계정 탈취에 사용되었으며, 이 문제는 현재 해결된 것으로 알려졌다.

주요 내용

* 해커들은 Meta의 AI 챗봇에게 다른 사람의 계정에 연결된 이메일 주소를 변경하고 비밀번호를 재설정해달라고 요청하는 방식으로 인스타그램 계정을 탈취했다.
* 탈취 과정에서 해커는 AI 챗봇으로부터 이메일 주소를 인증하는 코드를 받아 새로운 비밀번호를 설정했다.
* 바락 오바마 전 대통령의 백악관 인스타그램 계정, 미국 우주군 최고 하사 계정, 뷰티 리테일러 세포라 계정 등이 이와 유사한 방식으로 해킹당한 것으로 파악되었다.
* 해커들은 VPN을 사용하여 위치를 속이고, 'h'나 'eggs'와 같이 길이가 짧거나 단어로 이루어진 고가치 사용자 이름을 타겟으로 삼았다.
* 보안 연구원 Jane Manchun Wong 또한 자신의 계정이 무단으로 변경되고 재로그인 시도가 반복되는 피해를 겪었다.
* Meta는 해당 문제가 해결되었으며, 영향을 받은 계정들을 복구하고 있다고 밝혔다.
* 최근 Meta의 대규모 감원 및 AI 도구 사용 증가로 인해 인스타그램의 신뢰 및 안전 팀이 약화되었으며, AI 기능 도입에 대한 보안 인센티브 부족이 문제점으로 지적되었다.

시사점

Meta의 AI 챗봇 보안 취약점 악용 사례는 AI 기술 도입 시 발생할 수 있는 보안 위험을 시사하며, 특히 인력 감축과 맞물려 보안 시스템의 효율성이 저하될 수 있음을 보여준다.