“페북 방문친구 찾기 조심하세요”…온라인 불법 마케팅업체 적발

방문자 추적·친구위치 찾기 사이트 유인…액세스 토큰 80만개 빼돌려
게시글 ‘좋아요’ 부풀린 뒤 광고업자 내다팔아 억대 수익

(부산ㆍ경남=뉴스1) 조아현 기자 | 2017-11-01 10:00 송고 | 2017-11-01 11:34 최종수정

온라인 불법마케팅업자가 개발한 페이스북 '좋아요' 횟수 조작기 프로그램 실행 화면.(부산지방경찰청 제공)© News1

방문자 추적이나 사회 이슈와 관련된 서명운동을 미끼로 80만여건에 달하는 SNS 이용자의 '액세스토큰(Access Token)' 정보를 불법 수집해 페이스북 '좋아요'와 '팔로우' 횟수를 조작한 온라인 마케팅업체가 경찰에 적발됐다.

이들은 페이스북 방문자 위치추적이나 친구 위치찾기, 차단친구 찾기를 비롯해 아동성폭행 강화법안, 동물학대방지법안 서명운동 등 SNS 이용자들의 관심이 높은 게시글을 통해 허위 사이트에 접속하도록 유인하고 계정 아이디와 비밀번호를 입력하도록 만들어 액세스 토큰을 확보했다.

액세스 토큰은 특정 페이스북 계정에 접근할 수 있는 보안권한으로 이를 가지고 있으면 게시물 작성이나 좋아요 클릭, 팔로우 신청 등 사용자 정보와 권한에 다양하게 접근할 수 있다.

부산지방경찰청 사이버안전과는 정보통신망법위반 혐의로 온라인 마케팅업자 정모씨(22)등 5명을 입건했다고 1일 밝혔다.

정씨 등 3명은 페이스북 사용자들이 입력한 아이디와 비밀번호로 생성한 액세스 토큰 약 60만건으로 계정 '팔로워' 를 부풀리거나 게시글의 '좋아요' 횟수를 조작한 뒤 광고업자들에게 내다파는 수법으로 올해 2월부터 9월까지 8개월동안 1억 3000만원 상당의 부당이득을 취한 혐의를 받고있다.

서울에 있는 모 업체를 운영한 전모씨(34)는 같은 방식으로 올해 5월부터 8월까지 4개월동안 '액세스 토큰' 약 1만 5000건을 빼돌려 광고업자들을 상대로 영업을 준비한 혐의다.

임모씨(21)도 부산에 있는 모 마케팅 업체를 운영하면서 허위사이트를 개설해 올해 3월부터 10월까지 '액세스 토큰' 19만여건을 빼돌려 광고업자들을 상대로 유료서비스를 제공하고 3000만원 상당의 부당이득을 취한 혐의를 받고있다.

경찰조사 결과 이들은 페이스북 사용자들이 방문자 추적, 친구위치찾기, 뒷삭친구찾기(자기도 모르게 자신과의 친구관계를 끊은 친구) 등의 정보에 호기심이 많다는 점을 알고 가짜 사이트를 만들어 접속을 유도한 것으로 드러났다.

또 아동성폭행 강화법안이나 생리대 유해 화학물질 규제, 청소년 인권신장 강화, 동물학대 방지법안 등 각종 사회이슈와 관련된 서명운동을 빙자해 아이디와 비밀번호를 입력하도록 유도한 뒤 액세스 토큰 정보를 불법수집했다.

경찰은 '친구위치찾기' 기능의 경우 SNS 이용자들이 자신의 페이스북 아이디와 비밀번호 등 계정정보를 입력하면 마치 추적기능이 실행되는 것처럼 화면에 복잡한 문자코드가 나타나고 이를 화면에 복사해 제출해달라고 하지만 사실은 액세스 토큰을 가로채기 위한 과정에 불과했다고 설명했다.

실제 문자코드를 복사해 '제출하기' 버튼을 누르면 토큰정보는 온라인 불법마케팅 업자들의 손에 고스란히 쥐어졌다.

특히 경찰은 방문자 추적사이트의 경우 업자들이 계정에 침입해 페이스북 친구 몇 명을 무작위로 선택해 보여주거나 거리를 임의로 표시해 진짜인 것처럼 나타낼 뿐 실제 방문자나 '친구위치찾기' 같은 기능은 존재하지 않았다고 전했다.

액세스 토큰 유출의 문제점은 페이스북 사용자 계정에서 이뤄지는 타임라인 글작성, 좋아요 추가, 팔로워 친구 신청, 이름·나이·친구·연락처 조회 등 대부분 주요 기능을 로그인 없이도 실행할 수 있는 권한이 포함되어 있다는 것이다.

이용자들이 계정 설정 항목에서도 액세스 토큰 발급 여부를 확인하지 못하기 때문에 자신이 피해자인지 알 수 없는데다 액세스 토큰이 한 번 유출되면 이처럼 상대방의 계정권한까지 가질 수 있다는 점에서 심각성이 제기된다.

온라인 마케팅 업체가 불법으로 빼돌린 토큰 정보로 방문자 추적사이트 광고 글을 반복적으로 올리고 이를 본 이용자의 친구들이 다시 사이트에 접속해 토큰을 빼앗기는 악순환 속에서 약 80만건에 달하는 토큰 정보가 유출된 것으로 경찰은 파악하고 있다.

피의자 정씨는 자신이 빼돌린 액세스 토큰으로 '좋아요 조작기' 프로그램까지 개발해 유료서비스를 제공했다.

정씨는 실제로 의류 쇼핑몰, 음식점, 숙박업소, 도박사이트 등 자신이 개발한 해당 유료서비스에 가입한 광고의뢰인들을 상대로 광고게시글의 '좋아요' 횟수를 부풀려 준 사실도 확인됐다.

경찰은 피의자들이 빼돌린 페이스북 이용자들의 토큰 정보 약 52만건을 압수했으나 이미 시중에 유통되고 있을 가능성이 큰 것으로 보고 페이스북에 보안조치를 요구할 예정이다.

경찰 관계자는 "자신의 계정을 확인해보고 직접 작성한 사실이 없는데도 타임라인에 글이 올려져 있거나 활동로그 내역에 의심스러운 항목이 있다면 즉시 비밀번호를 바꾸고 페이스북 설정에 등록된 수상한 앱도 삭제해 달라"고 당부했다.

또 "방문자 추적이나 친구 위치 추적 기능은 페이스북 업체에서도 불가능하다고 밝힌 내용이기 때문에 광고에 더이상 속아서는 안된다"며 "토큰 정보를 넘기는 것은 자신의 아이디와 비밀번호를 알려주는 것과 똑같이 위험한 행위"라고 덧붙였다.

choah4586@