최신 Instagram “익스플로잇”은 내가 본 것 중 가장 어이없다

1 week ago 10

인스타그램 계정 username만으로 Meta 고객지원 AI를 속여 비밀번호 재설정과 계정 탈취가 가능한 취약점으로, Obama White House 계정 등 유명 계정 다수가 피해를 입음
공격자는 피해자 도시 인근의 VPN·프록시로 접속해 보안 알고리듬의 의심을 회피한 뒤, 지원 AI에 "계정이 해킹됐다"며 임의 이메일로 인증 코드 전송 요청
해당 이메일이 사용자가 이전에 쓰던 것인지 추가 검증 없이 코드가 발송되며, 공격자가 코드를 되돌려주면 비밀번호 재설정 링크가 그대로 넘어가는 제로 인증(zero auth) 비밀번호 재설정
이 복구 흐름이 소유자 본인의 전체 계정 초기화로 처리돼 기존 2FA가 우회되고, 세션 해지·비밀번호 변경이 알림 없이 진행
$1.5조 규모 기업의 지원 AI가 부탁만으로 연결 이메일을 바꿔주는 가드레일 부재가 핵심 문제이며, 이미 패치됐으나 수주~수개월간 활성 상태였음

계정 탈취 흐름

Step 01 — 위치 위장과 지원 요청 시작
- 공격 시작에 필요한 건 대상 계정의 username 하나뿐이며, 공개 프로필이나 "About" 섹션 등 다양한 경로로 사용자의 위치를 손쉽게 확보 가능
- 피해자 도시 인근의 VPN 또는 프록시로 접속해 인스타그램 보안 알고리듬이 의심하지 않도록 요청 지역을 정상으로 위장
- 올바른 지역에서 온 요청처럼 보이면, Meta 지원 AI에 계정이 해킹됐다고 말한 뒤 공격자가 통제하는 임의 이메일로 인증 코드 전송 요청
Step 02 — 이걸로 끝
- 실제로 이게 전부이며, 프로덕션에서 목격한 첫 제로 인증 비밀번호 재설정 사례
- 제공된 이메일이 사용자가 실제로 사용하던 것인지에 대한 추가 확인 없음
- AI가 공격자 이메일로 보안 코드를 보내면, 공격자가 그 코드를 되돌려주어 검증 완료, 플랫폼이 새 비밀번호 재설정 링크를 넘기며 전체 소유권 이전
영상 셀피 검증
- 인스타그램 AI가 신원 증명용 영상 셀피(video selfie) 를 요구할 수도 있고 아닐 수도 있음
- 현재 판별력이 높지 않아, 대상 피드의 공개 사진을 AI로 애니메이션 처리한 것만으로도 통과된다고 널리 보고됨

시스템이 이 고권한 복구 흐름을 "진짜" 소유자의 전체 계정 초기화로 취급하기 때문에, 그 과정에서 기존 2FA가 완전히 우회됨
기존 세션이 해지되고 비밀번호가 변경되지만 이메일·문자·푸시 알림이 전혀 없음
실제 소유자는 이메일과 전화번호가 이미 공격자에게 매핑돼 복구를 시작할 수 없으며, 에스컬레이션할 사람도 없이 채팅과 씨름하며 통제권 회복을 시도하는 상황
A/B 테스트로 AI 지원 옵션이 활성화된 계정에 속하면 해당 옵션을 끌 수도 없음

여러 블랙마켓 Telegram 그룹이 높은 비용과 빠른 처리 시간을 내세우며 "계정 탈취(account takeover)" 서비스 제공
짧은 핸들(short handle)은 수십만 달러에서 수백만 달러에 이르는 가치를 지녀, 이러한 시장 형성은 놀랍지 않은 일
실제 사례로 hey 같은 계정이 거래되거나, obamawhitehouse·ocmssf(미 우주군 주임원사 계정)처럼 선전(propaganda) 용도로 악용됨

Meta가 이미 패치한 것으로 보이며 Telegram 그룹들도 조용해졌으나, 이 방법이 수주~수개월간 활성 상태였던것으로 보임
$1.5조 규모 기업이 견고한 가드레일을 갖추지 못한 채, 지원 AI가 충분히 정중히 요청하면 누구의 연결 이메일이든 바꿔준다는 사실 자체가 핵심 문제