인스타그램에서 사용자명·사용자 본명·주소·전화번호·이메일 주소가 유출되는 사태가 발생했다. 영향 범위는 1,750만 건에 달한다.
보안 기업 멀웨어바이트 연구 부문인 멀웨어바이트랩(Malwarebytes Labs)에 따르면 인스타그램에서 계정 1750만 건의 정보가 도난당해 다크웹에서 판매되고 있다고 한다. 멀웨어바이트랩은 다크웹을 스캔하던 중 정보가 판매되고 있다는 사실을 발견했다고 한다. 이미 패스워드 재설정을 시도할 때 발송되는 이메일이 많은 사용자에게 도착하고 있다는 보고가 있다.
인스타그램에서의 정보 유출은 2019년과 2021년에도 발생했지만 과거 유출된 정보는 이메일 주소나 프로필란의 링크 등에 한정되어 문제는 있었지만 심각도는 그다지 높지 않았다. 하지만 이번에는 인스타그램 사용자 ID와 위치정보 데이터가 연결된 상태로 유출된 것으로 보이며 보안 전문가는 위험 수준을 높게 평가하고 있다. 또 주소가 유출되어 사용자명과 주소를 조합하면 현실에서 위해가 가해질 가능성도 지적되고 있다.
멀웨어바이트랩은 유출된 정보를 바탕으로 피싱이나 계정 탈취 등 추가 공격이 이뤄질 가능성이 있다며 메타 계정 센터에서 인스타그램에 의심스러운 기기가 로그인하지 않았는지 확인하는 등 대책을 권고하고 있다.
한 보안 정보 사이트(The CyberSec Guru)는 메타 공식 성명을 기다리다가는 늦다며 자신의 정보가 유출되었다고 가정하고 4단계 수행을 권고하고 있다. 첫째 인스타그램 앱 계정 센터를 통해 패스워드 변경하기. 패닉 상태에 빠진 사용자를 겨냥하기 위해 패스워드 재설정을 요구하는 이메일을 가장한 피싱 사기가 진행되고 있다. 이 때문에 이메일 링크는 클릭하지 말고 인스타그램 앱 내 계정 센터를 통해 패스워드를 변경해야 한다.
Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more.
This data is available for sale on the dark web and can be abused by cybercriminals.
— Malwarebytes (@malwarebytes.com) 2026년 1월 10일 오전 1:34
둘째 인스타그램에서 발송한 최근 이메일 확인하기. 계정 센터 패스워드와 보안 항목 내에 인스타그램이 최근 발송한 이메일 로그가 보관되어 있다. 보안 탭에 패스워드를 재설정하려는 이메일이 있다면 실제로 누군가가 패스워드를 변경하려다 차단당했다는 걸 의미한다. 없다면 메일함에 도착한 패스워드 재설정을 요구하는 이메일은 피싱 사기이므로 삭제해야 한다.
셋째 앱 기반 2단계 인증을 사용하도록 설정하기. 전화번호도 유출되었기 때문에 SMS를 이용한 2단계 인증은 이제 안전하지 않다. 앱 내 패스워드와 보안에서 Google Authenticator나 Duo 등 앱을 이용한 2단계 인증을 수행하도록 설정해야 한다.
넷째 서드파티 앱 권한 삭제하기. 이번 데이터 침해는 API 데이터에 대한 정당한 접근 권한을 가진 서드파티 분석 앱 또는 팔로워 추적 기능을 통해 이뤄졌을 가능성이 있기 때문에 웹사이트 권한 내 앱과 웹사이트에서 권한을 부여한 기억이 없는 앱이나 더 이상 사용하지 않는 앱을 삭제해야 한다. 관련 내용은 이곳에서 확인할 수 있다.
![[AI서머리] 패스트캠퍼스, ‘2026 패스트 빌더톤’ 개최‧집업페이, KT멤버십 맞손](https://startuprecipe.co.kr/wp-content/uploads/2026/01/260113_musinsa.com_000002-75x75.jpg)
![[DailyRecipe] 2024년 농식품 지원 사업 체크포인트 7](https://startuprecipe.co.kr/wp-content/uploads/2023/11/FOOD-1.jpg)
