인스타그램 계정, AI 때문에 속수무책으로 털렸다?

커뮤니티에서는 인스타그램의 AI 지원 시스템이 임의의 이메일 주소로 인증 코드를 발송하는 기능에 대한 심각한 우려를 표하고 있습니다. 이는 제로 인증(Zero Authentication)에 가까운 보안 모델로, 공격자가 단순히 계정 사용자 이름만 알면 VPN 등을 이용해 위치를 조작하여 쉽게 계정을 탈취할 수 있다는 지적입니다. 특히, 인간 검토 없이 AI가 직접 민감한 인증 절차를 처리하는 방식이 문제로 지목되었습니다.

이번 공격 방식은 기존의 2단계 인증(2FA)을 완전히 우회한다는 점에서 큰 충격을 주고 있습니다. 공격자는 계정 소유자의 이메일과 전화번호를 탈취한 후, 시스템은 이를 정상적인 계정 복구 절차로 간주하여 기존 세션을 무효화하고 비밀번호를 변경합니다. 이 과정에서 사용자에게 어떠한 알림도 가지 않으며, 복구 시도조차 불가능해지는 심각한 보안 허점이 드러났습니다.

이러한 취약점을 악용한 계정 탈취(Account Takeover) 서비스가 텔레그램 등 암시장에서 고가에 거래되고 있다는 사실이 언급되었습니다. 특히 수십만 달러에 달하는 희귀 사용자 이름(Short Handles)을 노린 범죄가 성행했으며, 유명인 계정이나 정부 기관 계정까지 탈취 대상이 되었습니다. 이는 보안 시스템의 허점이 곧바로 금전적 이득으로 이어지는 현실을 보여줍니다.

논의에서는 인스타그램의 보안 가드레일(Security Guardrails) 부족과 AI 지원 시스템의 부적절한 권한 부여가 근본적인 문제라고 지적합니다. 일부 사용자는 낮은 가치의 계정과 높은 가치의 계정에 대한 검증 절차를 차등화하지 않은 점, 그리고 인간 지원팀의 부재가 이러한 사고를 키웠다고 분석합니다. 또한, 과거 인간 상담원을 통한 계정 탈취 사례와 비교하며 AI가 이를 답습하거나 더 악화시켰다는 비판도 제기되었습니다.

메타 측에서 해당 취약점을 신속하게 패치(Patch)한 것으로 보이나, 이 문제가 수 주 또는 수개월간 지속되었다는 점은 기업의 보안 관리 능력에 대한 의문을 제기합니다. 커뮤니티에서는 이러한 사고가 발생했을 때 법적 책임을 물어야 한다는 의견과 함께, AI 에이전트에게도 인간 상담원과 유사한 수준의 책임 및 제약을 두어야 한다는 주장이 나왔습니다. 또한, 데이터 격리 아키텍처(Data Isolation Architecture)와 같은 근본적인 보안 강화 방안 마련이 시급하다는 의견도 있습니다.