"페북 액세스 토큰 주의하세요"…내 계정 '좋아요 좀비'된다
계정 관리권한 넘겨주는 꼴…악성사이트 유인 속임수에 주의해야
(서울=연합뉴스) 김태균 기자 = 토큰(Token)이란 말을 들으면 30대 이상은 1990년대까지 시내버스에서 받았던 동전 모양 승차권을 연상할 것이다.
이보다 더 젊은 세대는 오락기에 넣는 이용권을 떠올릴 공산이 크다. 여하튼 서비스를 이용하기 위해 가볍게 쓸 수 있는 물건이란 이미지가 강한 말이다.
그런데 페이스북의 세계에서는 토큰이라는 말의 의미가 훨씬 더 무겁다. '엑세스 토큰'(Access Token)이라는 개념 때문이다.
악성 웹사이트나 해킹 프로그램에 페이스북 계정의 엑세스 토큰을 잘못 넘겨주면 사달이 난다. 내 계정이 나도 모르는 사이 누군가의 지시에 움직이며 음란 업체 페이지에 '좋아요'를 마구 찍을 수 있게 된다.
클릭한번 실수로 인터넷 분신 같은 내 페이스북 계정이 졸지에 흉물스러운 '좋아요 좀비'가 될 수 있는 만큼 면밀한 주의가 필요하다.
20일 IT(정보기술) 업계에 따르면 엑세스 토큰은 페이스북 계정의 보안 권한을 제3자에게 넘겨준다는 암호문 형태의 '증서'다.
작게는 내 프로필의 학력·주소 등 기본 정보를 알려주는 것부터 크게는 게시물을 작성하거나 '좋아요'를 찍는 권한도 맡길 수 있다. 사실상 나의 계정 ID와 비밀번호를 넘겨주는 것과 마찬가지다.
문제는 엑세스 토큰의 뜻을 잘 모르는 페이스북 이용자들이 많다는 것이다.
악성 웹사이트나 해커로서는 구미가 당기는 기회이기도 하다. 대수롭지 않은 것을 요구하는 어투로 사람들에게 접근해 엑세스 토큰을 받아내고 계정을 탈취할 수 있기 때문이다.
엑세스 토큰은 영어 소·대문자가 뒤섞인 3∼4줄의 암호문으로, 사전 지식이 없으면 웹사이트 화면에 나타나도 무슨 용도인지 추측할 수 없다.
페이스북은 엑세스 토큰을 통해 중요 권한이 넘어가면 꼭 관련 고지가 노출되도록 했지만, 이조차도 기술적 용어에 익숙하지 않으면 대충 보고 '동의'를 누를 공산이 작지 않다.
악성 웹사이트나 해킹 프로그램은 이렇게 빼돌린 계정을 주로 '좋아요 장사'에 쓴다. 좀비 계정을 조종해 각종 상품 광고 페이지의 '좋아요' 수치를 올려주고 그 대가로 업체에서 돈을 받아 챙기는 것이다.
엑세스 토큰을 얻으려면 먼저 사용자에게 솔깃한 제안을 해야 한다. '당신 페이스북 계정의 친구 수를 늘려주겠다', '연예계 비밀 동영상을 보여주겠다' 등 제안형태도 다양하다.
국내에서 가장 잘 알려진 사례는 '페이스북 방문자 추적기'다.
내 페이스북 페이지를 일부러 찾았지만, 댓글이나 좋아요 등 자취 없이 내용을 보기만 한 사람을 다 찾아준다는 것이다.
사이버 공간에서 몰래 내게 관심을 가지는 이들을 알려준다는 얘기인 만큼 솔깃할 수밖에 없다.
페이스북 측은 방문자 추적기가 실제로는 기술적 근거가 부족한 엉터리라고 설명한다.
페이스북코리아의 관계자는 "특정 페이스북 페이지를 보기만 한 사람이 누구인지는 페이스북 회사 내부에서도 추적하기 어려운 정보"라며 "방문자 추적기는 엉뚱한 정보나 막연한 추정을 '당신을 실제 찾은 사람'이라고 우기는 경우가 사실상 100%다"고 설명했다.
이 관계자는 "엑세스 토큰은 매우 조심스럽게 다뤄야 할 정보다. 정말 신뢰할 만한 상대가 아닌 이상은 토큰을 넘겨주지 말아야 한다"고 주의를 당부했다.
tae@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
뉴스