사이버위협분석/해킹 및 개인정보 유출사고 동향

[인스타그램] 이용자 1,750만 명 개인정보 다크웹 유통 정황_2026년 1월

경험한사람 2026. 1. 11. 13:45

해외 보안업체 분석에 따르면 인스타그램 이용자 약 1,750만 명의 개인정보가 다크웹에서 거래되는 정황이 포착되었으며, 이메일·전화번호·주소 정보 등이 포함된 것으로 알려졌다. 해당 정보는 피싱·계정탈취 등 2차 범죄에 악용될 우려가 제기되고 있다.


  개요 

   2026년 1월, 해외 사이버 보안업체 Malwarebytes는 다크웹 모니터링 과정에서 인스타그램 이용자 약 1,750만 명의 개인정보 데이터베이스가 유통되고 있는 정황을 확인했다고 밝혔다.
보도에 따르면 유출 데이터에는 사용자명(ID)뿐 아니라 이메일 주소, 전화번호, 일부 물리적 주소 정보까지 포함된 것으로 알려졌으며, 해당 정보는 2024년 하반기 중 API 취약점을 악용한 스크래핑 방식으로 수집됐다는 주장도 제기됐다.
다만, 인스타그램 운영사인 Meta는 본 사안과 관련해 공식적인 침해 사실이나 원인에 대해 명확한 입장을 내놓지 않은 상태다.

 

  사고내용 요약  

    1. 회사명 : 인스타그램 (Instagram)
    2. 사고유형
         - 개인정보 유출 정황
         - 다크웹 유통·거래 정황 (보안업계 탐지 기준)

    3. 유출규모 : 약 1,750만 명 (해외 보안업체 분석·보도 기준)
    4. 유출항목 : 인스타그램 사용자 ID, 이메일 주소, 전화번호, 일부 이용자의 물리적 주소 정보

    5. 특이사항
         - 다크웹 판매자가 API 허점을 이용한 스크래핑 방식 주장
         - 유출 이후 비밀번호 재설정 요청 메일 대량 발생 사례 다수 보고
         - 메타 측 공식 침해 인정 및 상세 설명은 미확인 상태


  해킹대응 타임라인  

    -  2024년 10~12월(추정): 판매자 주장 기준, API 노출 또는 허점을 통한 데이터 수집
    -  2026년 1월 초: Malwarebytes 다크웹 모니터링 과정에서 대규모 DB 유통 정황 포착
    -  2026년 1월 중순: 해외 보안 매체 및 언론을 통해 관련 내용 보도 확산

 

  다크웹 협박 게시글    


  개인정보 유출 관련 안내 공지   

    인스타그램/메타 공식 보안사고 공지 확인되지 않음
 
  대응내역  

    -  보안업계
       . 다크웹 유통 정보 분석 및 2차 공격 가능성 경고
       . 크리덴셜 스터핑, 피싱·스미싱 공격 가능성 제기

    -  이용자 권고사항(전문가 의견)
       . 2단계 인증(2FA) 즉시 활성화
       . 기존 비밀번호 변경 및 타 서비스와의 중복 사용 여부 점검
       . 계정에 연동된 제3자 앱·기기 접근 기록 점검
       . 인스타그램 사칭 메일·문자 내 링크 클릭 주의

    -  국내 기관 안내
       . 한국인터넷진흥원 ‘털린 내 정보 찾기’ 서비스 활용 권고


 재발방지대책(권고사항)   

    1. 기술적 조치
       - API 접근 통제 강화 및 대량 스크래핑 탐지 로직 고도화
       - 비정상 로그인·비밀번호 재설정 시도에 대한 이상행위 탐지 강화
       - 계정 보호 기본값으로 2단계 인증 적용 검토


    2. 관리적 조치
       - 개인정보 수집·노출 최소화 정책 재점검
       - 유출 의심 정황 발생 시 이용자 대상 신속 공지 체계 마련
       - 글로벌 플랫폼의 개인정보 침해 대응 투명성 강화 필요


  관련기사(출처)  

 

감사합니다.