SNS 방문자와 친구위치를 추적해주는 등 각종 사회적 이슈에 대한 서명운동을 핑계로 페이스북 이용자들을 유인해 개인정보를 빼돌린 일당이 경찰에 붙잡혔다.
부산경찰청 사이버수사대는 정보통신망법 위반 등의 혐의로 A모(22) 씨 등 5명을 불구속 입건했다고 1일 밝혔다.
A 씨 등은 지난 2월부터 9월까지 해외 SNS 페이스북의 방문자나 친구위치 추적, 동물학대방지, 청소년인권신장 등 사회적 이슈에 대한 서명운동을 핑계로 몰래 수집한 사용자들의 '액세스 토큰(Access Token)' 약 80만 건을 광고업자들에게 불법으로 제공해 1억6000만 원 상당의 부당이익을 취한 혐의를 받고 있다.
액세스 토큰은 SNS 계정에 접근할 수 있는 임시 보안권한으로 암호문 형태의 문자열이다. 이를 통해 해당 계정의 게시물 작성, 프로필, 좋아요, 팔로워 신청 등 사용자 정보에 접근해 실행할 수 있는 권한이 포함돼 있다.
경찰에 따르면 A 씨 등은 아동성폭행 강화법안, 생리대 유해 화학물질 규제, 동물학대 방지법안 등 각종 사회적 이슈에 대해 서명운동을 한다는 허위사이트를 개설해 페이스북 이용자들을 유인했다.
해당사이트로 이용자들이 아이디와 비밀번호를 입력해 접속하면 마치 추적 기능이 실행되는 것처럼 화면에 복잡한 문자코드 액세스 토큰이 나타나고 제출해 달라고 요청 문구가 나온다.
실제 이용자들이 문자코드를 복사해 제출하기 버튼을 누르는 순간 토큰 정보가 A 씨 등에게 넘어갔고 이를 통해 수집한 약 80만 건의 액세스 토큰을 광고업자들에게 불법으로 '팔로워' 횟수를 부풀린 계정을 300~600만 원에 판매하거나 게시글의 '좋아요' 횟수를 조작해주는 프로그램을 개발해 좋아요 횟수 1만 개당 4만9000원의 유료서비스를 제공했다.
경찰 조사결과 A 씨 등은 인터넷에 유출된 안드로이드용 페이스북 공식앱의 보안정보와 페이스북 이용자들의 아이디, 비밀번호 등을 조합해 액세스 토큰을 생성했기에 주요 기능을 로그인 없이 실행할 수 있었던 것으로 드러났다.
특히 경찰이 실제 압수한 토큰 정보를 공식 페이스북 개발자 사이트에서 확인한 결과 'Facebook for Android' 앱 정보로 발급된 사실을 확인했으며 이 경우 해당 이용자의 계정 '설정' 항목에서는 발급 여부를 확인할 수 없어 자신이 피해 당사자인지도 알 수 없었던 것으로 확인됐다.
경찰에서 사이트를 직접 제작한 A 씨는 "방문자추적사이트는 이용자들로부터 몰래 빼돌린 액세스 토큰으로 계정에 침입한 후 페이스북 친구 몇 명을 무작위로 선택해 보여주거나 거리를 임의로 표시해 진짜인 것처럼 표시할 뿐이지 실제 방문자나 친구위치 확인과 같은 기능은 없다"고 진술했다.
경찰은 A 씨 등이 몰래 빼돌린 페이스북 이용자들의 토큰 정보 약 52만 건을 압수했으나 이미 시중에 유통되고 있을 가능성이 있어 페이스북 업체와 협의해 보안조치를 요구할 예정이다.
이재홍 사이버수사대장은 "SNS 이용자들은 자신의 계정을 확인한 후 직접 작성한 사실이 없는 글이 타임라인에 게시되거나 활동로그 내역에 의심스러운 항목이 있으면 토큰이 유출된 것으로 의심해볼 필요가 있다"며 "즉시 비밀번호를 바꾸고 해당 앱을 삭제해야 안전하다"고 당부했다.
전체댓글 0