피드로 돌아가기
Meta, AI 챗봇 악용으로 Instagram 계정 수천 개 해킹 확인
GeekNewsGeekNews
Security

Meta, AI 챗봇 악용으로 Instagram 계정 수천 개 해킹 확인

이메일 검증 로직 결함으로 인한 20,225개 Instagram 계정 탈취 사고

xguru2026년 6월 7일9intermediate

Context

방대한 규모의 계정 복구 요청 처리 비용 절감을 위해 AI 지원 계정 복구 시스템 도입. 사용자 편의성을 높이기 위해 챗봇 기반의 비밀번호 재설정 워크플로우를 구축했으나, 백엔드 검증 계층의 설계 결함이 발생함.

Technical Solution

  • AI 챗봇을 통한 사용자 인터페이스 제공으로 1차 지원 데스크의 운영 부하 감소 도모
  • 비밀번호 재설정 요청 시 사용자로부터 이메일 주소를 입력받는 데이터 수집 경로 설계
  • 입력받은 이메일과 계정 프로필에 등록된 실제 이메일의 일치 여부를 확인하는 검증 로직 누락
  • 이중 인증(2FA)이 비활성화된 계정에 대해 조건 없는 재설정 링크 발송 허용
  • 공격자가 통제하는 외부 이메일로 인증 코드를 전송하여 권한 없는 비밀번호 변경 가능케 한 구조적 취약점 노출
  • 사고 인지 후 해당 AI 챗봇 비활성화 및 취약한 코드 경로(Code Path)의 완전 제거 조치

- AI 기반 워크플로우 도입 시 LLM의 출력값이 아닌 백엔드 비즈니스 로직에서 최종 검증 수행 여부 확인 - 비밀번호 재설정 등 민감한 권한 변경 시 요청자 식별 정보와 시스템 등록 정보의 일치 여부를 강제하는 Validation 로직 점검 - 2FA 비활성화 계정에 대한 별도의 보안 강화 정책 및 예외 처리 경로 검토 - 새로운 기능 배포 전 '비정상적인 입력값'을 통한 권한 상승 시나리오에 대한 Edge Case 테스트 수행

원문 읽기
Meta, AI 챗봇 악용으로 Instagram 계정 수천 개 해킹 확인 | Devpick