최신 Instagram “익스플로잇”은 내가 본 것 중 가장 우스꽝스럽다

• Instagram 계정 탈취는 사용자명만으로 시작될 수 있었고, 대상 도시 근처 VPN·프록시로 보안 알고리듬의 의심을 피함
• 공격자는 공개 위치 정보를 바탕으로 Meta 지원 AI에 해킹을 신고하고, 자신이 통제하는 이메일로 인증 코드를 받음
• 제공 이메일이 과거 실제 사용자 주소인지 확인하는 검사가 없어 보였고, 코드를 다시 입력하면 비밀번호 재설정 링크가 발급됨
• 복구 흐름은 “진짜 소유자”의 전체 재설정처럼 처리되어 2FA가 우회됐고, 기존 세션 취소·비밀번호 변경 알림도 가지 않음
• Telegram 암시장에는 빠른 계정 탈취 서비스가 등장했고, Meta가 패치한 뒤 조용해졌지만 몇 주에서 몇 달간 활성 상태였던 것으로 보임

계정 탈취 흐름

• 사용자명만으로 Instagram 계정 탈취를 시작할 수 있었고, 공격자는 대상 도시 근처 VPN이나 프록시를 써서 Instagram 보안 알고리듬의 의심을 피함
• 공개 프로필이나 “About” 섹션에서 위치 정보를 얻은 뒤, Meta 지원 AI에 계정이 해킹됐다고 신고하고 공격자가 통제하는 임의 이메일 주소로 인증 코드를 보내 달라고 요청함
• 제공된 이메일이 실제 사용자가 과거에 사용한 주소인지 확인하는 추가 검사가 없어 보였고, AI가 보낸 보안 코드를 공격자가 다시 입력하면 새 비밀번호 재설정 링크가 발급됨
• Instagram AI가 신원 확인을 위해 비디오 셀피를 요구할 수도 있었지만, 대상 피드의 공개 사진을 AI로 애니메이션화하는 단순한 방식도 통했다는 보고가 있었음

영향과 사후 상태

• 이 복구 흐름은 “진짜 소유자”의 전체 계정 재설정처럼 처리되어 기존 2FA를 우회함
• 기존 세션이 취소되고 비밀번호가 바뀌어도 원래 소유자에게 이메일·문자·푸시 알림이 가지 않음
• 이메일과 전화번호가 공격자 쪽으로 매핑된 뒤에는 실제 소유자가 복구를 시작하기 어려웠고, 사람에게 에스컬레이션할 수 없는 채팅 기반 절차만 남음
• AI 지원 옵션이 활성화된 A/B 테스트 대상 계정은 해당 기능을 끌 수도 없었음
• 여러 Telegram 암시장에는 높은 가격과 빠른 처리 시간을 내세운 계정 탈취 서비스가 등장했고, 짧은 핸들은 수십만 달러에서 수백만 달러 가치가 있을 수 있어 표적이 됨
• hey 같은 계정은 거래됐고, obamawhitehouse나 U.S. Space Force의 Chief Master Sergeant 계정인 ocmssf는 선전 목적으로 사용됨
• Meta가 이미 패치한 것으로 보이면서 Telegram 그룹들은 조용해졌지만, 이 방식은 몇 주에서 몇 달 동안 활성 상태였던 것으로 보임
• 핵심 문제는 대형 플랫폼의 지원 AI가 강력한 보호 장치 없이 연결 이메일을 바꿔 주는 고권한 복구 흐름을 처리했다는 데 있음