해커들이 AI에게 요청하여 2만 개의 Instagram 계정을 훔쳤다

요청만으로 Instagram 계정을 훔칠 수 있었다. 이것은 디스토피아적인 AI 악몽이 아니다. 보안 전문가들이 '2026년 최악의 허술한 보안 익스플로잇'이라고 평가한 Meta의 High Touch Support (HTS) AI 도구의 놀라운 현실이다. 치명적인 결함은 AI 비서의 핵심 기능에 있었다. 비밀번호 복구 요청을 위해 제공된 이메일이 대상 Instagram 계정에 등록된 이메일과 실제로 일치하는지 전혀 확인하지 않았다.

공격자들은 놀랍도록 적은 노력으로 이 거대한 취약점을 악용했다. 그들의 방법은 숨 막힐 듯이 간단했다. VPN을 사용하여 지리적 위치를 위조하고, 대상 계정의 일반적인 지역과 '대략적으로' 일치하도록 했다. 그런 다음, AI 챗봇에게 계정과 연결된 이메일 주소를 변경해달라고 요청하는 대화형 요청을 시작했다.

쉽게 위조할 수 있는 위치 데이터 외에 시스템의 거의 완벽한 보안 검사 부족은 재앙으로 판명되었다. 추가 인증도, 2차 확인도 없이, AI와의 간단한 대화뿐이었다. 이로 인해 공격자들은 비밀번호 재설정 링크를 자신의 받은 편지함으로 직접 받을 수 있었고, 완전한 account takeover가 가능해졌다. 보관된 Obama White House 계정과 U.S. Space Force의 주임원사를 포함하여 20,225개 이상의 Instagram 프로필이 침해되었는데, 이는 Meta의 AI가 가장 기본적인 질문을 하는 것을 잊었기 때문이었다.

Meta의 결함 있는 High Touch Support (HTS) 도구의 여파는 연쇄적인 침해였다. 2026년 4월 17일부터 5월 31일까지 7주간의 끊임없는 기간 동안, 해커들은 Meta가 취약한 AI를 마침내 비활성화하기 전에 20,225 accounts를 체계적으로 탈취했다. 이것은 사소한 결함이 아니었다. 대규모 계정 도용을 허용하고, 지원 기능으로 여겨지던 것을 공격자의 꿈으로 만든 거대한 보안 구멍이었다.

익스플로잇의 범위는 놀랍도록 넓었으며, 난공불락이어야 할 대상들을 낚아챘다. 고위층 피해자들은 다음과 같다: - 보관된 Obama White House의 Instagram 계정 - U.S. Space Force의 주임원사 - 국제 뷰티 소매업체 Sephora 이러한 침해는 취약점의 임의적인 특성을 강조하며, 공공 기관과 개인 모두에게 똑같이 쉽게 영향을 미쳤다.

피해자들에게 그 영향은 단순한 비밀번호 재설정을 훨씬 넘어섰다. 그것은 전면적인 디지털 약탈이었다. 공격자들은 다음을 포함한 민감한 개인 정보의 보물창고에 무제한으로 접근했다: - 연락처 정보 (이메일, 전화번호) - 생년월일 - 비공개 사진 및 동영상 - 스토리 - 결정적으로, private DMs 침해는 또한 계정 활동 및 연결된 서비스 정보도 노출하여, 각 침해된 사용자의 포괄적이고 친밀한 디지털 초상화를 그렸다. 이것은 단순한 불편함이 아니었다. 놀랍도록 간단한 AI의 감독 소홀로 가능해진 심각한 사생활 침해였다.

진정한 스캔들은 단순히 Meta의 감독 소홀이 아니다. 그것은 판단 없는 권한을 가진 AI를 배포하는 데 있어서의 근본적인 결함이다. AI 시스템은 프로세스를 효율적으로 자동화하지만, 이상한 요청을 표시하는 인간의 직관이 근본적으로 부족하다. 계정 복구를 돕는 사람은 사용자가 소유권을 먼저 증명하지 않고 복구 이메일을 변경하려는 이유에 대해 분명히 의문을 제기할 것이다.

이 Instagram 해킹은 "High Touch Support"를 위해 설계된 AI를 활용했지만, 고전적인 프롬프트 인젝션 공격의 전형적인 예입니다. 공격자들은 코드를 주입하는 대신, AI가 명시적으로 거부하도록 프로그래밍되지 않은 행동, 즉 적절한 인증 없이 새 이메일을 계정에 연결하도록 속이는 대화형 프롬프트를 만들어 챗봇을 사회 공학적으로 조작했습니다.

이 사건은 기업들이 민감한 작업을 위해 인간 지원에서 AI 챗봇으로 전환함에 따라 나타나는 위험한 새로운 공격 표면을 드러냅니다. AI가 계정 복구와 같은 중요한 기능을 처리할 때, 위험은 엄청나게 커집니다. 20,000개 이상의 Instagram 계정이 도난당한 이 공격은 강력한 안전장치와 인간과 같은 분별력 없이는 AI가 악의적인 행위자들의 순응적인 공범이 된다는 것을 강조합니다. 이 침해의 규모에 대한 자세한 내용은 Meta AI 지원 해킹으로 20,000개 이상의 Instagram 계정 도난에 대한 기사를 읽어보십시오. 우리는 대화형 인터페이스가 새로운 공격 벡터가 되는 시대로 접어들고 있습니다.

Meta는 20,225개의 계정이 침해된 후에야 단호하게 조치했습니다. 회사는 5월 31일에 결함이 있는 High Touch Support (HTS) 도구를 비활성화하여, 사기적으로 생성된 모든 비밀번호 재설정 링크를 무효화했습니다. Meta는 또한 AI 기반 계정 복구 흐름에 대한 전면적인 검토를 시작했는데, 이는 시스템적 실패에 대한 필요하지만 뒤늦은 인정입니다.

하지만 솔직히 말하자면, Meta가 많은 비난을 받아야 하지만, 사용자 측 보안은 여전히 가장 중요합니다. 이러한 대부분의 계정 탈취는 강력한 다단계 인증 (MFA), 특히 물리적 하드웨어 키로 보호될 경우 완전히 실패했을 것입니다. AI 시대에 이러한 기본적인 공격으로부터의 보호를 전적으로 플랫폼 제공업체에 의존하는 것은 위험한 도박입니다.

이 사건은 업계 전반에 걸쳐 냉혹한 교훈을 제공합니다. 사이버 보안의 미래는 인간 주도의 공격뿐만 아니라 AI 조작에 대한 방어를 요구합니다. 우리는 중요한 권한 부여 역할을 수행하는 AI 시스템에 대해 훨씬 더 엄격한 테스트와 인간의 감독을 주장해야 합니다. AI의 효율성은 양날의 검입니다. 통제되지 않으면 대규모 재앙을 자동화할 뿐입니다.

2026년 Instagram AI 공격은 무엇이었습니까?

Meta의 AI 지원 계정 복구 도구의 보안 결함으로 인해 공격자들은 챗봇이 적절한 인증 없이 연결된 이메일 주소를 변경하도록 설득하여 Instagram 계정을 탈취할 수 있었습니다.

공격자들은 어떻게 Instagram 계정을 훔쳤습니까?

그들은 VPN을 사용하여 피해자의 위치와 일치하도록 자신의 위치를 위장한 다음, AI 비서에게 새로운 공격자 제어 이메일을 대상 계정에 연결하도록 요청하여 비밀번호 재설정 링크를 받을 수 있었습니다.

Meta AI 해킹으로 몇 개의 계정이 영향을 받았습니까?

Meta는 취약점이 발견되고 도구가 비활성화되기 전인 2026년 4월 17일부터 5월 31일 사이에 20,225개의 Instagram 계정이 침해되었음을 확인했습니다.

유사한 공격으로부터 Instagram 계정을 어떻게 보호할 수 있습니까?

가장 효과적인 보호는 강력한 다단계 인증 (MFA)을 활성화하는 것이며, 가급적 하드웨어 보안 키 또는 인증 앱을 사용하는 것이 좋습니다. 이는 이러한 유형의 계정 탈취를 막았을 것입니다.