해커에 농락당한 메타 AI챗봇…고객 계정 줄줄이 내줬다

해커가 공개한 탈취 과정. 엑스 갈무리

메타의 인공지능(AI) 상담사가 해킹에 악용돼 인스타그램 계정들이 무단 탈취되는 사고가 발생했다.

피해 계정에는 버락 오바마 전 미국 대통령 시절의 백악관 계정이나 화장품 브랜드 세포라의 공식 계정 등도 포함됐다. 그런가하면 미 우주군 고위 관계자의 계정도 탈취되며 반미·친이란 성향의 선전물이 게시되는 등 소동이 일었다.

1일(현지 시간) 테크크런치에 따르면, 이날 메타는 AI 챗봇과 관련한 보안 취약점을 확인한 후 즉각 조치했다고 밝혔다.

해커들은 공격에 활용한 것은 메타가 올해 초 도입한 ‘AI 고객지원 챗봇’이다. 메타 측 보안 연구원이 공개한 영상에 따르면, 그들은 AI 챗봇에 피해 계정의 사용자명(username)을 보내며 ”새로운 이메일 주소와 연동하라”고 명령했다.

그러자 AI 챗봇은 본인 확인 없이 해커가 지정한 새 이메일로 인증 코드를 발송했고, 해커가 해당 코드를 입력하자 비밀번호를 재설정할 수 있는 링크를 띄웠다.

이 모든 과정에서 해커들은 피해자의 원래 이메일 계정을 해킹할 필요도 없었다.

● 공식 계정도 줄줄이 해킹…‘반미·친이란’ 선전물도 올라와

이번 해킹으로 일반 사용자를 비롯해 수많은 팔로워를 보유한 공식 계정들도 정보를 탈취당했다. 피해 계정에는 버락 오바마 전 미국 대통령 시절의 백악관 계정과 화장품 브랜드 세포라의 공식 계정 등도 포함돼 있었다.

2024년 7월 10일 미국 워싱턴 DC에서 열린 영화 ‘플라이 미 투 더 뮨(FLY ME TO THE MOON)’ 특별 시사회에서 존 “B-9” 벤티베냐 미 우주군 주임원사가 무대 위에서 발언하고 있다. 사진=게티이미지코리아

미국 우주군의 고위 관계자 계정도 탈취됐다.

미국 CNN에 따르면, 지난 31일 미 우주군 주임원사 존 벤티베냐의 인스타그램 계정에는 친이란·반미 선전물이 연달아 게시됐다. 같은 날 벤티베냐는 페이스북을 통해 “제 계정에 게시된 링크를 클릭하거나 동영상에 반응하지 말라”며 해킹 사실을 알렸다.

피해자 중 한 명인 메타의 보안 연구원 제인 웡은 자신의 엑스에 “내 동의 없이 비밀번호가 변경되었고, 어제 하루 동안 여러 번의 비밀번호 재설정 시도가 있었다”며 “매우 우려스러운 상황”이라고 말했다.

● 핵심 보안 조치까지 AI에?…보안 우려 ‘심각’

메타는 당초 AI 비서가 사기 행위나 사칭 계정 신고, 비밀번호 재설정 등의 기능을 제공한다며 “다양한 요청에 대해 사용자를 대신해 직접 조치를 취할 수 있다”고 설명했다. 그러나 이번 사태로 AI 챗봇의 보안 결함이 확인되자 이용자들 사이에선 우려가 제기되고 있다.

인스타그램 대변인 앤디 스톤은 이날 해당 문제가 현재 해결되었다고 테크크런치에 전했다. 다만 메타 측은 이번 사고로 정확히 얼마나 많은 인스타그램 사용자가 피해를 입었는지는 밝히지 않았다.

김영호 기자 rladudgh2349@donga.com