계정 관리권한 넘겨주는 꼴… 악성사이트 유인 속임수에 주의해야

인터넷 분신과도 같은 페이스북 계정이 졸지에 흉물스러운 ‘좋아요 좀비’가 될 수 있어 주의가 필요하다.

클릭 한 번에 페이스북 ‘엑세스 토큰’(Access Token)을 악성 웹사이트나 해킹 프로그램에 잘못 넘겨줬다가는, 나도 모르는 사이에 내 계정이 누군가의 지시에 움직이며 음란 업체 페이지에 ‘좋아요’를 마구 찍을 수 있게 된다.

20일 IT(정보기술) 업계에 따르면 엑세스 토큰은 페이스북 계정의 보안 권한을 제3자에게 넘겨준다는 암호문 형태의 ‘증서’다. 작게는 내 프로필의 학력·주소 등 기본 정보를 알려주는 것부터 크게는 게시물을 작성하거나 ‘좋아요’를 찍는 권한도 맡길 수 있다.사실상 나의 계정 ID와 비밀번호를 넘겨주는 것과 마찬가지다.

문제는 엑세스 토큰의 뜻을 잘 모르는 페이스북 이용자들이 많다는 것이다.

대수롭지 않은 것을 요구하는 어투로 사람들에게 접근해 엑세스 토큰을 받아내고 계정을 탈취할 수 있기 때문이다. 엑세스 토큰은 영어 소·대문자가 뒤섞인 3∼4줄의 암호문으로, 사전 지식이 없으면 웹사이트 화면에 나타나도 무슨 용도인지 추측할 수 없다.

페이스북은 엑세스 토큰을 통해 중요 권한이 넘어가면 꼭 관련 고지가 노출되도록 했지만,이조차도 기술적 용어에 익숙하지 않으면 대충 보고 ‘동의’를 누를 공산이 작지 않다.

악성 웹사이트나 해킹 프로그램은 이렇게 빼돌린 계정을 주로 ‘좋아요 장사’에 쓴다. 좀비 계정을 조종해 각종 상품 광고 페이지의 ‘좋아요’ 수치를 올려주고 그 대가로 업체에서 돈을 받아 챙기는 것이다.

엑세스 토큰을 얻으려면 먼저 사용자에게 솔깃한 제안을 해야 한다.‘당신 페이스북 계정의 친구 수를 늘려주겠다’,‘연예계 비밀 동영상을 보여주겠다’ 등 제안형태도 다양하다.

국내에서 가장 잘 알려진 사례는 ‘페이스북 방문자 추적기’다.

내 페이스북 페이지를 일부러 찾았지만,댓글이나 좋아요 등 자취 없이 내용을 보기만 한 사람을 다 찾아준다는 것이다.

페이스북 측은 방문자 추적기가 실제로는 기술적 근거가 부족한 엉터리라고 설명한다.

페이스북코리아의 관계자는 “특정 페이스북 페이지를 보기만 한 사람이 누구인지는 페이스북 회사 내부에서도 추적하기 어려운 정보”라며 “방문자 추적기는 엉뚱한 정보나 막연한 추정을 ‘당신을 실제 찾은 사람’이라고 우기는 경우가 사실상 100%다”고 설명했다.

이 관계자는 “엑세스 토큰은 매우 조심스럽게 다뤄야 할 정보다.정말 신뢰할 만한 상대가 아닌 이상은 토큰을 넘겨주지 말아야 한다”고 주의를 당부했다.

온라인뉴스부 iseoul@seoul.co.kr