해커들이 메타 AI 챗봇을 통해 이메일 변경 요청으로 인스타그램 고위 계정을 해킹

이번 사건은 Meta가 인스타그램 고객 지원에 도입한 AI 챗봇이 계정 소유권 검증 절차를 우회당하면서 발생했습니다. 핵심 문제는 AI 에이전트가 "이메일 주소를 바꿔달라"는 자연어 요청을 받았을 때, 정작 그 요청자가 진짜 계정 소유주인지 충분히 확인하지 않고 민감한 계정 변경 작업(이메일 변경)을 실행할 권한을 가지고 있었다는 점입니다. 전통적인 계정 복구 플로우라면 비밀번호, 2단계 인증(2FA) 코드, 본인 확인 절차가 게이트 역할을 하지만, AI 챗봇 경로에서는 이 게이트가 제대로 연결되지 않아 2FA가 통째로 무력화됐습니다. 이는 LLM 기반 에이전트가 강력한 백엔드 액션(계정 수정 API)에 직접 연결될 때, 자연어 입력 자체가 인증·인가 우회의 공격면이 되는 전형적인 사례입니다. 공격자는 별도의 익스플로잇 코드 없이 단지 "대화"만으로 권한을 탈취했고, 패치 이후에도 또 다른 우회 기법이 텔레그램에서 유통되고 있다는 점은 근본 설계 결함이 완전히 해소되지 않았음을 시사합니다.

엔지니어 관점에서 이 사건이 주는 충격은 "프롬프트 인젝션"이나 모델의 환각 문제를 넘어, **AI 에이전트의 권한 경계(authorization boundary) 설계 실패**라는 더 본질적인 영역에 있습니다. 최근 많은 서비스가 고객 지원, 내부 운영, DevOps 자동화에 LLM 에이전트와 툴 콜링(tool calling), MCP 기반 액션을 빠르게 붙이고 있는데, 이때 모델에게 "어떤 작업을 할 수 있는가"를 위임하면서 "그 작업을 요청한 주체가 정당한가"라는 인가 검증을 모델 바깥의 결정적(deterministic) 계층에 두지 않으면 동일한 사고가 반복됩니다. 즉 AI가 사용자 의도를 해석하는 것과, 실제로 권한이 필요한 액션을 승인·실행하는 것은 반드시 분리되어야 하며, 인증·인가는 절대 LLM의 판단에 맡겨서는 안 된다는 교훈입니다. Obama White House 같은 고프로필 계정까지 탈취됐다는 사실은, 이런 결함이 작은 버그가 아니라 브랜드 신뢰와 법적 책임으로 직결되는 운영 리스크임을 보여줍니다.

실무에서 당장 점검해야 할 항목은 명확합니다. 첫째, AI 에이전트가 호출할 수 있는 모든 툴/함수에 대해 **최소 권한 원칙**을 적용하고, 이메일·비밀번호 변경, 결제, 권한 부여 같은 민감 액션은 모델이 직접 실행하지 못하도록 별도의 인증된 사용자 세션 검증·재인증(re-authentication)·승인 단계를 강제해야 합니다. 둘째, "사용자가 무엇을 요청했는가"와 "현재 세션이 그 작업을 수행할 권한이 있는가"를 명확히 분리하고, 인가 결정은 모델 응답이 아니라 백엔드의 결정적 정책 엔진(RBAC/ABAC, 정책 미들웨어)에서 내려야 합니다. 셋째, 에이전트가 수행하는 모든 액션을 감사 로그로 남기고 이상 패턴(예: 본인 확인 없는 연락처 변경)에 대한 탐지·알림을 구축하며, 레드팀 관점에서 자연어 우회 시나리오를 정기적으로 테스트해야 합니다. AI 기능을 도입하는 모든 팀은 "모델은 신뢰 경계 안의 사용자가 아니라, 잠재적으로 적대적인 입력을 그대로 전달하는 통로"라는 전제로 권한 구조를 다시 설계할 필요가 있습니다.