(이미지 출처 | DALL-E 2로 생성함)
해커들이 메타의 AI 고객지원 챗봇에 대상 계정의 e메일 주소를 바꿔 달라고 요청하는 방식으로 인스타그램 주요 계정을 잇따라 탈취한 사실을 404 미디어가 6월1일 보도했습니다.
피해 계정에는 버락 오바마 전 대통령 시절 백악관 공식 계정, 미국 우주군 최선임원사 계정, 뷰티 브랜드 세포라 계정이 포함됐습니다.
404 미디어에 따르면 VPN으로 피해자의 예상 위치를 속여 인스타그램 자동 보호 시스템을 피한 해커가 피해 계정에 새 e-메일 주소를 추가해 달라는 요청을 메타 AI 지원 어시스턴트가 받아들이면서 발생했습니다.
챗봇은 요청받은 해커의 e-메일로 인증 코드를 보냈고, 이 코드를 챗봇에 전달하자 ‘비밀번호 재설정’ 버튼이 나타났으며, 새 비밀번호를 입력하는 것만으로 계정 탈취가 완료됐습니다.
지난 3월 모든 페이스북·인스타그램 계정을 대상으로 AI 고객지원을 전면 확대하고 비밀번호 재설정과 계정 관리 등 민감한 기능을 챗봇에 연결한 이후, 이 허점은 몇 달 동안 텔레그램 커뮤니티에 알려진 상태였습니다.
크렙스온시큐리티에 따르면 SMS 일회용 코드처럼 가장 기본적인 다중 인증(MFA) 수단만 켜 놓아도 이번 공격은 막을 수 있었는데, 해커들도 MFA가 켜진 계정에서는 공격이 실패했다고 밝혔습니다.
메타는 5월 29일 긴급 패치를 배포했으나 그 이전까지 해킹은 지속됐고, 계정을 빼앗긴 이용자들은 인간 상담원에게 도움을 요청할 방법을 찾을 수 없다고 호소하고 있으나 메타는 아직 대책을 내놓지 않았습니다.
언제나 기분 좋은 소식을 전하고 싶습니다.
news@techg.kr
