해커가 메타(Meta) AI 지원 챗봇을 속여 유명인 인스타그램 계정을 탈취한 뒤 되팔려 했던 것으로 드러났다. 해커는 VPN으로 실제 위치를 숨긴 채 챗봇에 계정에 연결된 이메일 주소를 변경해 달라고 요청하는 것만으로 유명인 계정 탈취에 성공했다.
보도에 따르면 해커 및 보안 연구자 대상 텔레그램 그룹에서 놀랍도록 단순한 익스플로잇(exploit)을 소개하는 영상이 유포됐다. 이 익스플로잇을 활용해 해커는 수천만 원 상당 인스타그램 계정을 탈취하고 메타가 긴급 패치를 적용한 5월 29일까지 그레이마켓에서 계정을 되파는 데 성공했다.
탈취된 인스타그램 계정에는 버락 오바마 전 대통령의 백악관 계정과 우주군 최선임 부사관 계정도 포함됐다. 침해된 계정은 일시적으로 친이란 성향 이미지와 메시지를 게시했다.
Obama White House IG HACKED
Iranian Gen Qasem Soleimani photos flood page — TMZ
‘The White House is under Shiites’ control’ pic.twitter.com/5f8OXXYuec
— RT (@RT_com) May 31, 2026
해커는 VPN으로 자신의 위치 정보를 표적 인스타그램 계정 이용자 거주지에 맞춘 뒤 비밀번호 재설정 절차를 개시했다. 이후 메타 AI 지원 챗봇에 계정에 연결된 이메일 주소를 변경해 달라고 요청하는 것으로 끝이다. 보도에선 이를 단순한 프롬프트 인젝션(prompt injection) 공격이라고 표현했다.
이 취약점은 지난 2월부터 악용됐으며 해커가 수천 개에 이르는 인스타그램 계정을 침해했다고 한다. 해당 취약점은 유명인 인스타그램 계정이 침해되면서 널리 알려지게 됐다.
저명한 보안 연구자 제인 맨친 웡(Jane Manchun Wong)도 자신의 인스타그램 계정도 해킹당했다며 자신이 모르는 사이에 비밀번호가 변경됐고 어제 하루 종일 다양한 비밀번호 재설정 시도가 들어왔다면서 인스타그램 iOS 앱에서 여러 차례 강제 로그아웃을 당했다며 피해 사실을 알렸다.
오픈소스 인텔리전스 연구자 잭엑스비티(ZachXBT)는 메타 AI 지원은 쓰레기라며 수많은 접근 권한을 가지고 있으면서 2단계 인증 없이 임의 이용자 계정 비밀번호를 재설정할 수 있고 상대방이 누구인지조차 확인하지 않는다고 지적했다.
보안 전문가 더 사이버섹 구루(The CyberSec Guru)에 따르면 해커가 노린 건 가치가 높은 인스타그램 계정으로 그레이마켓 합산 평가액이 100만 달러 이상인 계정들이었다.
한편 보안 블로그 크렙스온시큐리티(KrebsOnSecurity)에 따르면 다중 인증을 활성화한 계정에 대해서는 이번 프롬프트 인젝션 공격이 통하지 않았다고 한다. 보도에선 이번 공격은 중요한 데이터를 변경·생성·삭제할 수 있는 높은 권한을 가진 AI 에이전트를 서둘러 배포하려는 기술 기업 및 여타 조직이 안고 있는 더 광범위한 위험을 부각했다며 메타는 지난 3월 메타 AI 지원 어시스턴트를 출시하며 언제든 거의 모든 지원 문제에 대해 신뢰할 수 있는 연중무휴 24시간 지원을 제공할 수 있다고 내세웠다고 지적했다. 관련 내용은 이곳에서 확인할 수 있다.
![[AI서머리] 오션스마트, 시드 투자 유치‧와이브레인·디지스트, 차세대 BCI 기술 개발 MOU](https://i0.wp.com/startuprecipe.co.kr/wp-content/uploads/2026/06/260604_fast-track.asia_5003205.jpg?resize=75%2C75&ssl=1)
![[AI서머리] 광주창경, 초기창업기업 ‘Mini IR’ 성료‧BNSR, TSMC 대만 본사 1차 벤더 등록](https://i0.wp.com/startuprecipe.co.kr/wp-content/uploads/2026/06/260604_bnsr.co_.kr_50030235.png?resize=350%2C250&ssl=1)
