페이스북 액세스 토큰 정보 불법 수집해 '팔로우·좋아요' 횟수 조작 악용

등록 2017.11.01 10:28:41

【부산=뉴시스】 하경민 기자 = 부산경찰청 사이버수사대는 1일 페이스북 방문자 추적 또는 각종 사회이슈에 대한 서명운동을 미끼로 불법 수집한 페이스북 액서스 토큰 정보 수 십만 건을 '좋아요' 또는 '팔로우' 횟수를 조작하는데 악용한 온라인마케팅업자 5명을 정보통신망법 위반 등의 혐의로 불구속 입건했다고 밝혔다.사진은 범행 개요도. 2017.11.01. (사진=부산경찰청 제공)[email protected]

【부산=뉴시스】 하경민 기자 = 페이스북 방문자 추적 또는 각종 사회이슈에 대한 서명운동을 미끼로 불법 수집한 페이스북 액서스 토큰 정보 수 십만 건을 '좋아요' 또는 '팔로우' 횟수를 조작하는데 악용한 온라인마케팅업자들이 경찰에 적발됐다.

액서스 토큰은 특정 페이스북 계정에 접근할 수 있는 임시 보안권한으로, 암호문 형태의 문자열을 말한다. 이 정보는 페이스북 계정에서 타임라인 글작성, 좋아요 추가, 팔로워·친구 신청, 이름·나이·친구·연락처 조회 등 대부분의 주요 기능을 로그인 없이 실행할 수 있는 권한이 포함돼 있다.

부산경찰청 사이버수사대는 1일 A(22)씨 등 온라인마케팅업체 3곳의 운영자 등 5명을 정보통신망법 위반 등의 혐의로 불구속 입건했다고 밝혔다.

페이스북 토큰정보 불법 수집·판매한 일당을 검거한 것은 국내에서 처음이다.

경찰에 따르면 A씨 등 3명은 페이스북 방문자 추적, 뒷삭친구찾기, 페메염탐기, 친구위치찾기, 차단친구찾기 등의 사이트와 아동 성폭행 강화법안, 생리대 유해화학물질 규제, 청소년 인권신장 강화, 동물학대 방지법안 등 각종 사회적 이슈에 대한 서명운동을 빙자한 허위 사이트를 개설해 페이스북 이용자들을 유인하고, 이들이 입력한 페이스북 아이디와 비밀번호로 생성한 액세스 토큰 정보 약 60만 건을 불법 수집했다.

A씨 등은 수집한 토큰 정보를 이용해 광고업자들을 상대로 팔로워 횟수를 부풀린 계정을 팔거나 게시글의 '좋아요' 횟수를 조작해 주는 유료서비스를 제공하는 수법으로 지난 2월부터 약 8개월 동안 1억3000만원 상당의 부당이득을 챙긴 혐의를 받고 있다.

A씨 등은 팔로워 약 5만~20만명 규모 계정당 300만~600만원을 받고 판매했고, 좋아요 횟수 조작 유료서비스는 좋아요 1만개 당 4만9000원을 챙겼다고 경찰은 전했다.

좋아요 횟수가 높으면 광고효과가 높다고 생각한 온라인 광고업자들은 이 서비스에 가입했고, 의류쇼핑몰과 음식점, 숙박업소, 도박사이트 등 광고 의뢰인을 상대로 좋아요 횟수를 부풀린 광고글을 게시하는 등 실제 활용한 것으로 밝혀졌다.

B(34)씨는 불상의 개발자가 만든 유사 사이트를 이용해 비슷한 방식으로 지난 5월부터 4개월 동안 액세스 토큰 1만5000여 건을 빼돌려 광고업자들을 상대로 한 영업을 준비한 혐의를 받고 있다.

C(21)씨는 페이스북 방문자 추적, 뒷삭친구찾기, 경품룰렛 등의 허위 사이트를 개설한 이후 액세스 토큰 정보 19만여 건을 빼돌려 광고업자들을 상대로 유사 서비스를 제공, 지난 3~10월 3000만원 상당의 부당이득을 챙긴 혐의다.

경찰조사 결과 이용자들이 페이스북 계정정보(아이디, 비밀번호)를 입력하면 마치 추적기능이 실행되는 것처럼 화면에 복잡한 문자코드(액세스 토큰)가 나타나고, 이를 화면에 복사해 제출해 달라고 하지만, 이는 이용자들 몰래 발급받은 토큰을 가로채기 위해 만든 과정으로 드러났다.

실제 문자코드를 복사해 '제출하기' 버튼을 누르는 순간 토큰 정보가 고스란히 이들에게 넘어가는 피해를 입는 것이라고 경찰은 설명했다.

이 같은 사이트를 직접 제작한 A씨는 경찰에서 "방문자 추적 사이트는 이용자들로부터 몰래 빼돌린 액세스 토큰으로 계정에 침입해 페이스북 친구 몇 명을 무작위로 선택해 보여주거나 거리를 임의로 표시해 진짜인 것처럼 표시할 뿐이지 실제 방문자나 친구위치 확인과 같은 기능은 없다"고 진술했다.

액세서 토큰은 페이스북 계정에서 타임라인 글작성, 좋아요 추가, 팔로워·친구 신청, 이름·나이·친구·연락처 조회 등 대부분의 주요 기능을 로그인 없이 실행할 수 있는 권한이 포함돼 있다.

이는 인터넷에 유출된 안드로이드용 페이스북 공식앱의 보안정보를 구글링을 통해 알아낸 이후 이 정보와 페이스북 이용자들의 아이디, 비밀번호 등을 조합해서 액세스 토큰을 생성했기 때문이라고 A씨 등은 경찰에서 진술하고 있다.

경찰이 실제 압수한 토큰 정보를 공식 페이스북 개발자 사이트에서 확인한 결과, 'Facebook for Android' 앱 정보로 발급된 사실이 확인됐다. 이 경우 해당 이용자의 계정 '설정' 항목에서도 그 발급 여부를 전혀 확인할 길이 없어 자신이 피해 당사자인지도 알 수 없고, 다른 액세스 토큰과 달리 거의 대부분의 계정 권한을 갖고 있다는데서 심각성이 있다고 경찰은 밝혔다.

경찰은 A씨 등이 빼돌린 토큰 정보를 이용해 페이스북 이용자들의 타임라인에 자신들의 방문자추적사이트 광고글을 반복 게시하고, 이를 본 이용자의 친구들이 다시 사이트를 접속하다가 토큰을 탈취당하기를 반복하는 악순환의 과정에서 약 80만 건의 정보가 유출된 것으로 파악하고 있다.

경찰은 이들이 빼돌린 페이스북 이용자들의 토큰 정보 약 52만 건을 압수했지만, 이미 시중에 유통되고 있을 가능성이 있어 페이스북 업체와 협의해 보안조치를 요구할 예정이다.

경찰은 "방문자 추적, 친구위치 추적 등의 기능은 페이스북 업체 측에서도 이미 불가능하다고 밝힌 내용이니 이같은 내용을 광고하는 사이트에 속지 말아야 한다"며 "페이스북 이용자들도 자신의 계정에서 직접 작성한 사실이 없는 글이 게시되거나 활동로그 내역에 의심스런 항목이 있을 경우 토큰이 유출된 것으로 보고 즉시 비밀번호를 바꾸는 등 조치를 취해야 한다"고 말했다.

[email protected]