Instagram 사용자 데이터의 막대한 보물이 방금 표면으로 다시 솟아 올랐으며 원래 유출이 죽어 묻혀 있다고 생각된 지 1년이 넘도록 수백만 개의 계정이 다시 십자선에 놓이게 되었습니다.
2026년 1월 초 악명 높은 해킹 포럼에서 데이터가 돌아다니기 시작한 이후 약 1,750만 개의 계정이 이 최신 물결에 휩싸였습니다. Malwarebytes의 보안 경고에 따르면 "Solonik"이라는 이름을 사용하는 해커가 유출의 배후에 있습니다. 이것이 완전히 새로운 보안 위반처럼 느껴질 수도 있지만 전문가들은 데이터가 실제로 2024년의 실수, 즉 Meta가 구멍을 메우기 전에 악의적인 행위자가 엄청난 양의 프로필 정보를 긁어낼 수 있도록 허용한 잘못 구성된 Instagram API에서 비롯된 것이라고 말합니다.
처음 이런 일이 발생했을 때 공격자들은 몇 달 동안 조용히 데이터를 수집할 수 있었습니다. 결국 데이터베이스는 다크 웹에서 사라졌지만 갑작스러운 복귀는 디지털 시대의 실망스러운 현실을 입증합니다. 일단 정보가 외부에 있으면 영원히 존재하게 됩니다.
사용자 이름만 있는 것이 아닙니다. 여기에는 전체 이름, 이메일 주소, 전화번호, 실제 집 주소까지 포함됩니다. 이는 일반적인 스팸을 통과하여 믿을 수 없을 만큼 설득력 있는 표적 공격을 실행할 수 있게 해주기 때문에 사이버 범죄자들에게는 금광입니다. Malwarebytes에서는 사람들이 로그인 정보를 넘겨주도록 유도하기 위해 Instagram 지원을 가장하는 사기꾼이 이미 급증하고 있습니다.
그러나 이 공격의 가장 영리한 부분은 비밀번호 재설정 사기입니다. 해커는 가짜, 개략적인 이메일을 보내는 대신 실제로 Instagram 자체 서버에서 실제 비밀번호 재설정 요청을 실행하고 있습니다. “meta.com” 또는 “instagram.com” 주소로부터 합법적인 이메일을 받고, 누군가가 귀하의 계정에 들어와 있다는 생각에 당황하게 되며, 그 혼란스러운 순간에 후속 피싱 문자나 전화를 받을 가능성이 훨씬 더 높아집니다.
지금까지 가장 눈에 띄는 영향은 유럽에서 발생했지만 위험은 전 세계에 걸쳐 있습니다. 특히 은행이나 이메일에서와 마찬가지로 Instagram에서도 동일한 비밀번호를 사용하는 사람에게는 더욱 그렇습니다.
보안 전문가의 조언은 간단하지만 타협할 수 없습니다. 지금 비밀번호를 변경하고 고유한지 확인하고 2단계 인증을 켜십시오(SMS보다는 앱을 사용하는 것이 좋습니다). 이번 유출은 회사가 버그를 수정하더라도 이를 통해 도난당한 데이터가 언제든지 다시 돌아올 수 있다는 점을 노골적으로 상기시켜 줍니다.