해커들이 메타(Meta)의 AI 고객지원 챗봇을 이용해 오바마 백악관 공식 계정, 미 우주군 최선임 부사관 계정, 화장품 체인 세포라(Sephora) 계정 등 유명 인스타그램 계정을 탈취했다. 2단계 인증(2FA)을 우회한 이번 수법은 단순했다. 공격자는 VPN으로 피해자 계정의 지역으로 위치를 위장한 뒤 비밀번호 재설정을 시작하고, AI 지원 어시스턴트에 해당 계정의 이메일 주소를 변경해 달라고 요청했다. 봇은 공격자 이메일로 8자리 확인 코드와 비밀번호 재설정 링크를 전송했다. 자동화 신원 확인이 작동하는 경우에는 피해자의 공개 인스타그램 사진을 AI 영상 생성기로 처리해 사실적인 셀프 영상을 만들어 보안 검사를 통과시켰다고 보안 연구자 사이버섹 구루(CyberSec Guru)가 분석했다.
보안 연구자들은 이를 IT 보안 분야에서 잘 알려진 ‘혼동된 대리인(confused deputy)’ 공격의 교과서적 사례로 규정했다. AI 어시스턴트는 일반 사용자가 직접 실행할 수 없는 이메일 변경과 비밀번호 재설정 권한을 보유하고 있었고, 공격자는 이를 단순 요청으로 활용했다. 언어 모델은 정상 사용자 요청과 악의적 지시를 텍스트 수준에서 구별하지 못했다. 보안 전문가들은 이를 SQL 인젝션과 유사한 프롬프트 인젝션 문제로 보면서, SQL은 명확한 규칙으로 격리가 가능하지만 언어 모델에는 데이터와 명령어의 경계가 없다는 점을 지적했다. 비밀번호 재설정 같은 돌이킬 수 없는 단계에는 기존 등록 이메일로 확인을 보내거나 이미 인증된 기기에 푸시 알림을 보내는 강제 검증 절차가 필요했으나 해당 API 경로에는 이 안전장치가 없었다.
메타는 2026년 3월 페이스북과 인스타그램 전 계정에 AI 고객지원을 도입하면서 비밀번호 재설정과 보안 유지 기능을 포함했으며, 계정 탈취 탐지에도 도움이 될 것이라고 홍보했다. 그러나 이 AI 기능이 오히려 탈취 경로가 됐다. 피해자들은 일반 지원 채널을 통해 사람 상담원에 연결하지 못했다고 전했으며, 계정 복구를 위한 수동 검토 절차는 수일이 소요된다. 탈취된 계정 가운데는 짧은 유저네임(OG 핸들) 등 그레이 마켓에서 수만~100만 달러 이상의 가치를 지닌 것들이 포함됐으며, 텔레그램 채널을 통해 재판매됐다.
첫 대규모 탈취가 발생한 2026년 5월 29일 당일 저녁 메타는 이메일 바인딩과 비밀번호 재설정에 쓰기 접근 권한을 갖는 AI 플로우를 비활성화하는 긴급 패치를 배포했다. 메타는 자사 시스템에 대한 침해는 없었다고 밝혔으나, 사이버섹 구루는 데이터베이스 침해가 없더라도 논리 결함으로 인한 대규모 계정 탈취는 신뢰 침해라고 반박했다. 아울러 해당 연구자는 패치 당시 페이스북 복구 플로우를 악용하는 또 다른 방식이 여전히 텔레그램에서 유통되고 있다고 경고했다.














