인스타그램 계정 복구 AI가 username 하나에 무너졌어요

인스타그램 계정 복구 AI가 username 하나에 무너졌어요

AI 뉴스 썸네일

인스타그램 계정 복구 절차에서 계정 이름만으로 비밀번호 재설정까지 이어질 수 있었다는 사례가 공개됐어요. 글쓴이는 공격자가 피해자 근처 지역의 VPN이나 프록시로 접속한 뒤, Meta의 고객지원 AI에 “계정이 해킹됐다”고 말하는 흐름을 설명해요. 글쓴이는 Meta가 이미 이 문제를 막은 것으로 설명하지만, AI가 계정 복구처럼 권한이 큰 업무를 맡을 때 어떤 검증 절차가 필요한지 보여주는 사례예요. 2

핵심 요약

구분	핵심	왜 볼 만한가요
취약점	username과 지역 위장만으로 계정 복구 요청이 시작됐어요	계정 복구 흐름이 공격 표면이 될 수 있다는 점을 보여줘요
AI 지원	공격자 이메일로 인증 코드가 가는 흐름이 있었다고 설명돼요	고객지원 AI가 어떤 결정을 내려도 되는지 경계를 다시 봐야 해요
2FA 우회	복구 절차가 소유자 초기화처럼 처리되면 기존 2FA가 무력해질 수 있어요	“2FA가 있으니 안전하다”는 전제가 깨지는 지점이에요
대응	글쓴이는 Meta가 이미 막은 것으로 설명해요	패치 이후에도 비슷한 지원 자동화 설계는 계속 점검해야 해요

1. 공격 시작점은 계정 이름 하나였어요

원문은 공격자가 인스타그램 username만 알아도 시도를 시작할 수 있었다고 설명해요. 공개 프로필이나 About 정보에서 대략적인 지역을 파악한 뒤, 피해자 도시 근처의 VPN이나 프록시로 접속하는 방식이에요. 이렇게 하면 보안 알고리즘이 평소와 다른 지역의 요청으로 보기 어려워질 수 있어요. 2

그다음 공격자는 고객지원 AI에 계정이 해킹됐다고 말하고, 자신이 통제하는 이메일로 인증 코드를 보내 달라고 요청해요. 원문에서 가장 큰 문제로 지목한 부분은 여기예요. 해당 이메일이 실제 계정 소유자가 과거에 썼던 주소인지, 계정과 어떤 관계가 있는지 충분히 확인하지 않은 채 다음 단계로 넘어갔다는 설명이에요.

2. 인증 코드를 받은 쪽이 곧 소유자처럼 처리됐어요

글쓴이는 이 흐름을 “제로 인증 비밀번호 재설정”에 가깝게 봐요. AI가 공격자 이메일로 코드를 보내고, 공격자가 그 코드를 다시 입력하면 검증이 끝난 것처럼 처리돼요. 이후 플랫폼이 새 비밀번호 재설정 링크를 넘기면서 계정 소유권이 공격자 쪽으로 넘어갈 수 있었다는 이야기예요. 2

이 대목이 단순한 챗봇 실수보다 위험한 이유는 권한 때문이에요. 고객지원 채팅은 보기에는 대화창이지만, 뒤에서는 계정 이메일 변경과 비밀번호 재설정 같은 높은 권한의 작업으로 이어져요. AI가 “상담원처럼 답하는 도구”를 넘어 “계정 상태를 바꾸는 도구”가 되면, 대화 품질보다 권한 검증이 먼저예요.

3. 2FA가 있어도 복구 절차가 더 위에 있으면 막기 어려워요

원문에 따르면 이 복구 흐름은 계정의 진짜 소유자가 전체 초기화를 요청한 것으로 처리됐어요. 그래서 기존 2FA가 우회되고, 세션 해지와 비밀번호 변경이 진행될 수 있었다고 설명해요. 글쓴이는 기존 소유자에게 이메일, 문자, 푸시 알림이 가지 않았다는 점도 문제로 짚어요. 2

많은 사용자는 2FA를 켜면 계정 탈취 위험이 크게 줄었다고 생각해요. 맞는 말이에요. 다만 2FA보다 상위 권한을 가진 복구 절차가 따로 있고, 그 절차가 허술하면 이야기가 달라져요. 공격자는 로그인 화면을 뚫는 대신 “내가 원래 주인인데 잠겼다”는 복구 절차를 노릴 수 있어요.

4. 영상 셀피도 만능 방어선은 아니었어요

인스타그램이 신원 확인용 영상 셀피를 요구할 수도 있지만, 원문은 이 검사도 안정적인 방어선으로 보기 어렵다고 말해요. 공개 피드의 사진을 AI로 움직이게 만든 영상만으로도 통과됐다는 보고가 많았다는 설명이에요. 2

여기서 문제는 AI 생성물이 직접 악용되는 방식이에요. 공개 사진은 원래 프로필 홍보나 기록을 위한 자료였어요. 이제는 계정 복구용 신원 확인을 속이는 입력값이 될 수 있어요. 영상 셀피가 필요한 서비스라면 “움직이는 얼굴” 자체보다, 촬영 시점과 기기, 계정 이력, 위험 신호를 함께 봐야 해요.

5. 짧은 핸들은 실제 돈이 걸린 표적이에요

원문은 Telegram 블랙마켓에서 계정 탈취 서비스가 빠른 처리 시간과 높은 가격으로 거래됐다고 설명해요. 특히 짧은 핸들은 수십만 달러에서 수백만 달러 가치가 붙을 수 있어요. `hey` 같은 짧은 계정이나 `obamawhitehouse`, `ocmssf` 같은 유명 계정이 사례로 언급돼요. 2

이건 단순한 장난이나 개인 계정 사고로 보기 어려워요. 인기 있는 username은 디지털 자산처럼 거래돼요. 유명 기관 계정은 선전이나 사칭에 쓰일 수 있어요. 계정 복구 자동화가 허술하면 피해는 개인 프로필을 넘어 브랜드, 기관, 공공 커뮤니케이션까지 번질 수 있어요.

6. 이미 막혔다고 해도 설계 질문은 남아요

글쓴이는 Meta가 이 방법을 이미 패치했다고 말해요. Telegram 그룹도 조용해졌다고 해요. 다만 이 방식이 몇 주에서 몇 달 동안 활성 상태였을 수 있다는 설명도 붙어 있어요. 1 2

패치 자체보다 더 오래 남는 질문은 고객지원 자동화의 경계예요. AI가 상담을 돕는 것과 계정 복구 결정을 내리는 것은 다른 문제예요. 이메일 변경, 2FA 초기화, 비밀번호 재설정 같은 작업은 공격자가 가장 먼저 노리는 지점이에요. 이런 작업에는 단일 채팅 판단이 아니라 여러 독립 신호와 지연, 알림, 인간 검토가 필요해요.

왜 중요한가요

AI 고객지원은 비용을 줄이고 응답 속도를 높일 수 있어요. 하지만 계정 복구처럼 실패 비용이 큰 업무에서는 “빠른 해결”이 곧 위험이 될 수 있어요. 사용자가 계정에 접근하지 못하는 상황을 도와야 하지만, 공격자가 그 상황을 흉내 낼 수도 있기 때문이에요.

서비스 운영자는 복구 절차를 로그인 절차만큼 엄격하게 봐야 해요. 기존 이메일과 전화번호, 장기 사용 기기, 최근 로그인 지역, 2FA 상태, 고위험 username 여부를 따로따로 확인해야 해요. 기존 연락처가 바뀌는 순간에는 원래 연락처로 지연 알림을 보내고, 일정 시간 안에 취소할 수 있는 장치도 필요해요.

사용자 입장에서는 짧은 username이나 유명 계정일수록 공격 표적이 될 수 있다는 점을 기억해야 해요. 2FA를 켜고, 계정의 이메일과 전화번호를 최신 상태로 유지하고, 복구 알림을 놓치지 않는 습관이 필요해요. 계정이 갑자기 로그아웃되거나 복구 수단이 바뀐 흔적이 있으면 바로 플랫폼 지원 채널과 공개 공지 채널을 함께 확인해 주세요. 1

참고 자료

1. 최신 Instagram “익스플로잇”은 내가 본 것 중 가장 어이없다 — GeekNews
2. The Newest Instagram "Exploit" is the Goofiest I've Seen — Sid's Blog
3. Hacker News discussion — Hacker News