인스타그램, '1,750만 건 유출설' 전면 부인… “해킹 없었다” 반박

인스타그램이 최근 제기된 17만여 명 계정의 개인정보 유출 의혹에 대해 강력히 부인하며 보안사고는 없었다고 해명했다. 사용자들 사이에서 비정상적인 비밀번호 재설정 이메일 수령 사례가 잇달아 보고되면서 보안 침해 관련 우려가 급속도로 확산됐으나, 메타(Meta)는 이는 시스템 외부에서 발생한 공격적 요청에 따른 결과일 뿐, 실제 데이터 탈취는 없었다고 선을 그었다.

이번 논란은 예고 없이 수많은 인스타그램 사용자들이 본인이 요청하지 않은 비밀번호 재설정 메시지를 받기 시작하면서 촉발됐다. 이를 두고 일부 보안 전문가들과 커뮤니티에서는 해커들이 내부 시스템에 접근해 대규모 계정 탈취 시도를 했을 가능성을 제기했다.

불안을 심화시킨 것은 한 보안업체가 다크웹에서 인스타그램 계정 1,750만 건의 사용자 정보가 포함된 데이터셋이 판매 중이라는 정황을 포착하면서부터다. 해당 정보에는 사용자명, 이메일, 전화번호뿐 아니라 일부 사례에선 물리적 주소 같은 민감한 정보도 포함된 것으로 전해졌다.

하지만 메타는 블리핑컴퓨터(Bleeping Computer)를 통해 발표한 공식 입장문에서 “내부 시스템이 침해됐다는 증거는 전혀 없다”며, “해킹은 없었고 계정 자격 증명 역시 노출되지 않았다”고 강조했다. 문제의 원인은 비밀번호 재설정 요청 기능 내에서 외부인이 이를 과도하게 호출할 수 있었던 오류 때문이라고 설명했다. 이와 관련해 해당 취약점은 이미 수정됐으며, 사용자 정보는 안전하다고 덧붙였다.

업계 전문가들은 현재 유통 중인 데이터셋이 실제 유출본이 아닐 수도 있다고 지적한다. 과거 인스타그램의 스크래핑 사례나 이전 정보 수집 사례를 재포장해 게시하는 수법은 비일비재하다는 것이다. 유명 플랫폼에서 혼란이나 이슈가 발생했을 때 과거 유출 데이터를 ‘최신 해킹’인 것처럼 포장해 재판매하거나 주목도를 높이려는 시도가 과거에도 여러 차례 있었다.

한편, 인스타그램 측은 다크웹에 올라온 데이터셋의 출처가 무엇인지에 대해서는 여전히 조사 중이라고 밝혔다. 이에 따라 정보의 진위 여부와 사고의 성격이 완전히 규명되기까지는 다소 시간이 걸릴 것으로 보인다.

전문가들은 이번 사례를 계기로 계정 소유자들이 더욱 각별한 주의를 기울여야 한다고 조언한다. 특히 의심스러운 이메일의 링크는 클릭하지 말고, 직접 인스타그램 웹사이트로 접속해 비밀번호를 점검할 것을 권고하고 있다. 또한 2단계 인증 같은 보안 강화조치를 사용하는 것이 계정 탈취 위험을 줄이는 데 효과적이라고 강조했다.