메타(Meta)가 인스타그램(Instagram) AI 고객지원 챗봇의 결함으로 최대 2만 225개 계정이 침해됐다는 내용을 미국 메인주 법무장관실에 공식 데이터 침해 신고서로 제출했다. 이번 침해 규모를 수치로 공개한 것은 이번이 처음이다.
해커들은 ‘High Touch Support(하이 터치 서포트)’라는 이름의 AI 기반 계정 복구 챗봇의 코드 결함을 악용했다. 해당 챗봇은 잠긴 계정 복구를 돕기 위해 설계됐으나, 별도의 코드 경로에서 이메일 주소가 실제 해당 계정 소유자의 것인지 검증하지 않는 버그가 존재했다. 이 결함을 이용한 공격자들은 임의의 이메일 주소로 비밀번호 재설정 링크를 보내 타인의 계정을 탈취했다. 공격은 2026년 4월 17일부터 약 7주간 이어지다 5월 31일에야 발견됐다.
메타는 2만 225개라는 수치가 최대치이며, 일부는 정당한 계정 소유자의 시도일 수 있다고 밝혔다. 침해 가능성이 있는 데이터에는 연락처, 생년월일, 게시물, 다이렉트 메시지, 계정 활동, 프로필 정보, 연결된 서비스 등이 포함된다. 다만 어떤 정보가 실제로 열람됐는지는 파악하지 못하고 있다고 했다. 대응 조치로 챗봇 서비스를 즉시 중단하고 문제가 된 코드를 제거했으며, 침해된 링크를 모두 무효화하고 영향 받은 이용자들에게 강제 비밀번호 재설정을 요구했다.
메타는 챗봇을 재활성화하기 전에 이메일 검증 단계를 수정하고 전체 플랫폼의 유사 계정 복구 시스템을 감사할 계획이라고 밝혔다. 이번 사고는 메타가 수천 명의 직원을 감원하면서 AI 투자에 집중하는 시기에 발생해 주목된다. 아이러니하게도 해당 챗봇은 이전에 계정 보안을 강화하는 성과로 홍보된 바 있었다.
