유출된 페북 보안정보 악용 '엑세스 토큰' 챙기고 원격 조정
(부산=연합뉴스) 민영규 기자 = 페이스북 사용자 80만명이 자신도 모르는 사이에 '좋아요 좀비'로 전락해 사회관계망서비스(SNS) 세계를 떠돈 것으로 나타났다.
안드로이드용 페이스북 보안정보가 유출됐고 이를 악용한 일당이 네티즌을 속여 페이스북 계정을 마음대로 이용할 수 있는 '엑세스 토큰'(Access Token)을 챙긴 뒤 멋대로 조정했기 때문이다.
엑세스 토큰은 영어 소·대문자가 뒤섞인 3∼4줄의 암호문이어서 사전 지식이 없으면 웹사이트 화면에 나타나도 어떤 용도인지 알기 어렵다.
그러나 엑세스 토큰을 넘기는 것은 자신의 이름과 프로필의 학력, 주소 등 기본 정보를 알려주고 게시물을 작성하거나 '좋아요'를 찍고 다른 계정의 팔로워가 되는 권한 등을 모두 맡기는 것이다.
자신의 계정 아이디(ID)와 비밀번호를 넘기는 것과 마찬가지다.
이렇게 되면 자신도 모르는 사이에 음란업체 페이지 등에 '좋아요'를 마구 찍고 알지도 못하는 상품 광고 페이지의 팔로워가 되는 등 SNS 좀비로 전락하게 된다.
이 때문에 대책 마련이 시급하다는 지적을 받고 있다.
부산경찰청 사이버수사대는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 전모(22) 씨 등 5명을 불구속 입건했다고 1일 밝혔다.
전 씨 등은 올해 2월부터 10월까지 엑세스 토큰 80만5천건을 수집해 광고업자들의 페이스북 페이지에 '좋아요' 횟수를 대폭 올려주거나 팔로워 수를 부풀린 계정을 만들어 파는 수법으로 1억6천만원을 챙긴 혐의를 받고 있다.
전 씨 등은 1만명이 '좋아요'를 눌러 주는 데 4만9천원을 받고 팔로워 5만∼20만명인 계정을 300만∼600만원에 파는 등 페이스북 이용자들의 계정을 돈벌이 수단으로 이용했다.
경찰 조사결과 이들은 페이스북 방문자 추적기, 애정도 측정기 등 페이스북 페이지를 만들거나 동물학대방지법 강화, 생리대 성분 의무공개 법안 제정 등을 촉구하는 서명운동을 벌이는 것처럼 꾸민 사이트를 만들어 페이스북 이용자들의 엑세스 토큰을 챙겼다.
방문자 추적이나 서명운동은 미끼에 불과했다.
페이스북 이용자들이 ID와 비밀번호를 입력하면 엑세스 토큰이 자동으로 형성돼 이용자 계정에 보이도록 한 뒤 "위에 발급된 코드를 복사해 보내주면 서비스를 이용할 수 있다"고 속이는 수법을 썼다.
페이스북 이용자들은 엑세스 토큰인지도 모른 채 자신의 계정을 마음대로 이용할 수 있는 권한을 넘겼다.
이 같은 범행이 가능했던 것은 안드로이드용 페이스북 애플리케이션의 보안정보가 유출됐기 때문이라고 경찰은 설명했다.
전 씨 등은 경찰에서 "페이스북 앱 보안정보를 이용자의 ID, 비밀번호와 조합해 엑세스 토큰을 자동으로 만드는 프로그램을 개발해 범행에 활용했다"면서 "페이스북 앱 보안정보는 인터넷 검색으로 획득했다"고 말했다.
이런 방식으로 엑세스 토큰을 챙기면 페이스북 이용자들이 알아차릴 수 없다는 것이 더 큰 문제라고 경찰은 지적했다.
경찰은 페이스북 계정과 정상적인 엑세스 토큰으로 다른 앱이나 사이트에 회원으로 가입하면 페이스북 설정 화면에서 해당 앱 등을 확인할 수 있지만 비정상적인 방법을 쓰면 자신이 어떤 앱 등의 회원인지도 알 수 없다고 설명했다.
경찰은 이에 따라 페이스북코리아 측에 대책 마련을 촉구하기로 했다.
경찰은 "페이스북 계정의 비밀번호를 바꾸면 기존에 형성된 엑세스 토큰이 무용지물이 된다"면서 "보안을 위해 수시로 페이스북 계정 비밀번호를 바꿔달라"고 당부했다.
youngkyu@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스