인스타그램과 페이스북을 운영하는 글로벌 빅테크 기업 메타(Meta)가 야심 차게 도입한 인공지능(AI) 고객 지원 챗봇이 도리어 해커들의 계정 탈취 통로로 악용되는 초유의 보안 사고가 발생했다. 당초 계정 잠김 문제를 빠르게 해결하겠다며 도입한 기술이 역설적으로 해커들에게 가장 손쉬운 해킹 도구를 제공해 준 셈이 됐다.

이번 사태는 메타의 AI 지원 어시스턴트가 사용자 계정의 이메일 주소를 변경하고 비밀번호를 재설정해 달라는 해커들의 요구를 아무런 검증 없이 수용하면서 촉발됐다. 보안 연구원들에 따르면 해당 AI 도구는 보안성이 높은 2차 인증(2FA) 설정까지 무력화하며 계정을 손쉽게 탈취할 수 있도록 방치한 것으로 드러났다. 이미 텔레그램 등 음성 커뮤니티를 통해 구체적인 해킹 기법과 인증 우회 영상이 광범위하게 유포됐으며, 실제로 버락 오바마 전 미국 대통령 시절의 백악관 공식 계정을 비롯해 유명 뷰티 브랜드 세포라, 미 우주군 고위 관계자의 계정이 도용되는 등 피해가 전방위로 확산됐다.

조사 결과 메타의 AI 챗봇은 사용자의 '물리적 위치'를 기반으로 본인 여부를 식별하도록 설계되었으나, 해커들이 가상사설망(VPN)을 이용해 타깃 사용자의 위치를 위장하는 수법에 완전히 무너진 것으로 밝혀졌다. 메타 측은 보안 취약점을 발견한 직후 긴급 패치를 적용해 문제를 해결했으며 피해 계정에 대한 복구 및 보안 조치를 진행 중이라고 해명했다. 하지만 이미 수개월 전부터 해당 취약점을 악용한 거래가 암암리에 이어져 온 것으로 알려져 정확한 피해 규모 파악에는 상당한 시간이 소요될 전망이다.