[수완뉴스= #페이스북] 최근 SNS를 이용하는 이용자들의  회원가입 정보가 담겨 있는 토큰을 빼내  은밀하게 좋아요 클릭을 유도하고, 방문자 추적서비스를 빌미로 악성 광고를 제공하는 서비스들이 수면 위로 올라와 파문을 일고 있습니다.

페이스북 방문자 추적 서비스의 어두운 그림자

페이스북 방문자 추적앱은 방문자*적.c*m, 방문자*인.c*m 등 주소를 웹브라우저 창에 기재하여 접속하면 다양한 화면으로 서비스를 이용할 수 있도록 되어 있습니다.

처음 이용은 페이스북 로그인으로 시작하지만 이후에는 토큰정보를 복사, 붙여넣기를 요구합니다. 단순히 방문자추적을 위한 과정인 줄 알고 붙여넣기 하는 순간 자신의 계정이 광고의 소굴로 빠지는 순간이 되는 것입니다.

액세스 토큰(access tokens)은 페이스북 뿐만 아니라 사용자가 아이디, 패스워드를 이용해 매번 활용시 발생되는 문제(‘개인정보 유출사고’ 등)를 방지하기 위해서 무분별한 문자를 이용해 이용자의 정보를 암호화하기 위해 고안된 기술입니다.

페이스북 방문자 추적 서비스는 ‘HTC Sense’라는 앱 이름으로 사용자들에게 접근합니다. HTC 센스는  HTC에서 제작한 스마트폰 사용자 그래픽 인터페이스를 말합니다.  타사의 앱을 이용하는 이유는 무엇일까요?  정책위반으로 본계정이 날라가더라도 기존 서비스의 기반을 두고 있는 인터넷 웹사이트의 개인정보는 그대로 유지되기 때문입니다.

겉에서는 합법적인 절차로 보일지라도 속은 온통 불법투성이로 얼룩져있죠.

Facebook 방문자 추적 서비스를 이용하다가는 위 사진처럼 타임라인에 광고게시글로 얼룩질 수 있다. 사진, 수완뉴스 기획취재팀

겉에서 알 수 없지만 그렇다고 함부로 남발하면 큰 코 다친다!

토큰은 그냥 봐서는 어떤 정보인지 유추하기 어렵지만 토큰을 활용하면 특정한 사이트에 가입한 회원의 계정을 이용, 정보를 얻거나 행동을 대신할 수 있는 권한이 주어지게 됩니다.

보통 페이스북이나 네이버, 다음 계정으로 로그인하는 서비스인 소셜로그인이 토큰을 활용한 대표적인 예라고 볼 수 있습니다. 그러나 요즘 문제가 되고 있는 방문자추적앱처럼 대놓고 회원토큰 정보를 요구하지 않습니다.

사전에 개발자와 제공사가 협의된 매뉴얼에 따라 소셜로그인 서비스를 제공하는 것이 일반적인 관례라면 방문자추적앱은 소셜로그인과 더불어 별도의 액세스 토큰을 빼내 이용자에게 토큰정보를 추가로 붙여넣기 하는 수법을 이용합니다.

Facebook 계정으로 로그인한 다양한 앱서비스 목록 (모자이크 처리된 부분) 사진, 수완뉴스 기획취재팀

만약 토큰정보를 제공했다면 답이 없는건가?

본지 취재진 중 한 명이 개인 페이스북계정으로 HTC Sense앱을 이용하는 방문자 추적 사이트를 로그인한 결과, 타임라인에 성인웹툰, 스팸게시글 좋아요 등을 유도한 흔적이 포착되었습니다.

만약 모르고 토큰 정보를 스팸 유포자에게 제공하였다면 그 즉시 패스워드를 변경하는 것이 1차적인 방법입니다. 한편 페이스북에서는 고객센터 페이지를 통해  액세스토큰 도용을 Facebook 계정 또는 페이지에 대한 액세스를 요청하는 링크가 회원님과 공유됩니다. 이 링크는 합법적인 앱의 링크로 보일 수 있지만 스팸 유포자들이 회원님의 계정에 대한 액세스 권한을 얻고 스팸을 퍼뜨리기 위해 사용하는 방법이라고 말하고 있다.

위와 같은 피해를 겪은 누리꾼들도 대부분은 패스워드만 바꿔도 토큰 정보는 바뀌기 때문에 피해가 발생되기 전이나 피해가 발생된 것을 목격한 이후에는 바로 패스워드를 바꾸는 것이 추가 피해를 막을 수 있는 방법이라고 말한다.

이외에도 페이스북 등 SNS를 통한 범죄는 연애, 복권, 대출 등으로 다양하며 혹시나 피해를 입은 사람은 국번없이 112나 경찰청 사이버안전국(http://cyber.go.kr)에 사이버 범죄 상담 신고 메뉴를 이용하면 된다.

 

Categories: 청소년