인스타그램 사용자 1,750만 명의 개인정보가 다크웹에서 거래되고 있다는 정황이 확인됐습니다. 이와 함께 비밀번호 재설정 메일이 대량 발송되며, 피싱과 계정 탈취 위험이 동시에 커지고 있습니다. 보안 업체 분석에 따르면 과거 API 노출 사고와의 연관성도 제기되고 있으나, 현재까지 모회사 측의 공식 입장은 나오지 않았습니다.

사용자 1,750만 명 정보 유출 정황 확인

보안 소프트웨어 업체 Malwarebytes는 정기적인 다크웹 모니터링 과정에서 대규모 인스타그램 사용자 정보가 유통되고 있는 사실을 확인했습니다. 문제의 데이터에는 사용자명뿐 아니라 실제 주소, 전화번호, 이메일 주소 등 민감한 개인정보가 포함된 것으로 파악됐습니다.

이러한 정보 조합은 단순 계정 접근을 넘어, 신원 도용이나 맞춤형 피싱 공격에 활용될 수 있다는 점에서 위험성이 큽니다. 특히 계정과 연동된 이메일과 전화번호가 함께 노출됐다는 점은 공격 성공률을 높이는 요소로 작용합니다.

비밀번호 재설정 메일 폭주의 배경

최근 다수의 이용자가 인스타그램으로부터 비밀번호 재설정 요청 메일을 반복적으로 수신하고 있습니다. 이는 공격자가 유출된 정보를 기반으로 자동화된 계정 접근을 시도하면서 발생한 현상으로 분석됩니다.

단순한 시스템 오류가 아니라, 실제 계정 탈취 시도로 이어질 가능성이 있다는 점에서 주의가 필요합니다. 맬웨어바이츠는 이러한 메일이 피싱 링크와 결합될 경우, 사용자가 직접 자격 증명을 입력하도록 유도하는 공격으로 발전할 수 있다고 경고했습니다.

2024년 API 노출 사고와 연관 가능성

이번 유출은 2024년 발생했던 인스타그램 API 설정 문제와 연관됐을 가능성이 제기되고 있습니다. 당시 일부 사용자 정보가 외부에서 접근 가능한 상태로 노출된 정황이 있었으며, 이번에 발견된 데이터와 구조가 유사하다는 분석입니다.

다만 해당 정보가 단일 사고에서 비롯된 것인지, 여러 차례 수집된 데이터가 결합된 것인지는 명확히 확인되지 않았습니다. 현재 유출 데이터는 다크웹 마켓에서 거래 가능한 상태로 알려졌습니다.

메타의 공식 입장은 아직 없다

인스타그램의 모회사인 메타는 이번 개인정보 유출 의혹과 관련해 아직 공식 성명을 내놓지 않았습니다. 메타는 과거에도 개인정보 보호와 보안 문제로 여러 차례 논란을 겪은 바 있습니다.

공식 확인이나 사고 범위에 대한 설명이 없는 상황에서, 이용자 불안은 더욱 커지고 있습니다. 보안 사고 대응 체계와 사용자 보호 조치에 대한 투명한 설명이 필요하다는 지적도 나옵니다.

사용자가 지금 취해야 할 보안 조치

맬웨어바이츠는 모든 인스타그램 사용자에게 비밀번호 즉시 변경과 2단계 인증 활성화를 권장했습니다. 이미 개인정보가 유출된 상황에서는 사후 대응이 피해 확산을 막는 유일한 방법이라는 설명입니다.

또한 이메일이나 문자로 전달되는 링크 중 출처가 불분명한 메시지는 절대 클릭하지 말아야 합니다. 비밀번호 재설정 메일을 받았지만 직접 요청한 적이 없다면, 공식 앱이나 웹사이트를 통해 로그인 기록을 점검하는 것이 바람직합니다.

이번 사고는 단순한 메일 불편을 넘어, 장기적인 계정 보안과 개인정보 보호 문제로 이어질 수 있습니다. 이상 징후가 있다면 즉시 보안 설정을 점검하는 것이 안전합니다.