최근 인스타그램 이용자 다수에게 비밀번호 재설정 요청 이메일이 발송되면서 데이터 유출 논란이 불거졌습니다. 인스타그램은 시스템 침해는 없다고 공식 부인했지만, 글로벌 보안 업체는 1750만 명 규모의 민감 정보가 유출됐다고 주장했습니다. 양측 입장이 엇갈리면서 이용자 보안 우려가 커지고 있습니다.

보안업체 “1750만명 개인정보 다크웹에 유통”

안티바이러스 및 보안 솔루션 기업 Malwarebytes는 정기적인 다크웹 모니터링 과정에서 인스타그램 이용자 약 1750만 명의 개인정보가 유출된 정황을 확인했다고 밝혔습니다.

Malwarebytes에 따르면 유출된 정보에는 인스타그램 사용자 이름을 비롯해 실제 주소, 전화번호, 이메일 주소 등 개인 식별이 가능한 데이터가 포함됐습니다. 해당 정보는 현재 다크웹에서 판매되고 있으며, 사이버 범죄자에 의해 피싱 공격이나 계정 탈취 시도에 악용될 수 있다고 설명했습니다.

또한 이번 침해는 2024년에 발생했던 인스타그램 API 노출과 연관된 잠재적 사고일 가능성이 있다고 언급하며, 단순 스팸이나 무작위 공격과는 성격이 다르다고 분석했습니다.

인스타그램 “시스템 침해 없어…비밀번호 메일 무시”

이에 대해 Instagram은 데이터 유출 사실을 전면 부인했습니다. 인스타그램은 소셜 플랫폼 X를 통해 “외부인이 일부 이용자에게 비밀번호 재설정 이메일을 요청할 수 있었던 문제를 해결했다”고 밝혔습니다.

회사 측은 “우리 시스템에 대한 침해는 없었으며 인스타그램 계정은 안전하다”고 강조했습니다. 이어 최근 수신된 비밀번호 재설정 요청 이메일은 사용자가 직접 요청한 것이 아니라면 무시해도 된다고 공지했습니다.

인스타그램은 이번 사안이 계정 정보가 외부로 유출된 결과가 아니라, 특정 기능이 악용된 사례라는 입장을 유지하고 있습니다.

이용자에게 실제로 발생한 ‘비밀번호 재설정 이메일’

이번 논란의 핵심은 다수 이용자에게 동시에 발송된 비밀번호 재설정 요청 이메일입니다. Malwarebytes는 유출된 정보가 사실일 경우, 해당 이메일은 2차 공격의 신호일 수 있다고 경고했습니다.

특히 이메일 주소와 전화번호가 함께 노출됐을 경우, 실제 인스타그램 공지로 위장한 정교한 피싱 공격이나 계정 탈취 시도로 이어질 가능성이 높아집니다. 보안 업계에서는 이러한 상황에서 링크 클릭이나 추가 정보 입력을 피해야 한다고 조언합니다.

메타의 과거 전력과 권장 보안 조치

인스타그램의 모회사인 Meta는 과거 여러 차례 대규모 개인정보 유출 문제로 논란을 겪은 바 있습니다. 이번 사안이 공식적으로 데이터 침해로 확인되지 않았더라도, 이용자 불안이 쉽게 가라앉지 않는 이유입니다.

전문가들은 예방 차원에서 2단계 인증을 활성화하고 비밀번호를 주기적으로 변경할 것을 권장합니다. 또한 메타 계정 센터에서 현재 로그인된 기기 목록을 확인해, 본인이 사용하지 않는 기기가 연결돼 있다면 즉시 로그아웃 조치를 취하는 것이 바람직합니다.

플랫폼의 해명과 보안 업체의 분석이 엇갈리는 상황에서, 이용자 스스로의 보안 관리가 가장 확실한 방어 수단으로 떠오르고 있습니다.