□ 부산지방경찰청(청장 조현배) 사이버안전과는,
❍ 해외 SNS 페이스북의 방문자나 친구위치를 추적해주거나 동물학대방지, 청소년인권신장 등 각종 사회적 이슈에 대한 서명운동을 핑계로 몰래 수집한 사용자들의 ‘액세스 토큰(Access Token)’* 약 80만건을 ‘좋아요’ 및 ‘팔로우’ 횟수를 조작하는데 악용할 수 있도록 광고업자들에게 불법 제공한 온라인마케팅업자 A씨(22세, 인천) 등 3개 업체 5명을 정보통신망법위반 등 혐의로 형사입건 하였습니다.
❍ 피의자 A씨(22세, 인천, 00컴퍼니) 등 3명은,
「페이스북 방문자추적, 뒷삭친구찾기, 페메염탐기, 친구위치찾기, 차단친구찾기」사이트와『아동성폭행 강화법안, 생리대 유해화학물질 규제, 청소년 인권신장 강화, 동물학대 방지법안』등 각종 사회적 이슈 서명운동을 빙자한 허위사이트를 개설하여 페이스북 이용자들을 끌어 들인 후,
이용자들이 입력한 페이스북 아이디와 비밀번호로 생성한 ‘액세스 토큰’ 정보 약 60만건을 불법 수집하여,
광고업자들에게 ‘팔로워’ 횟수를 부풀린 계정을 팔거나 게시글의 ‘좋아요’ 횟수를 조작해주는 유료서비스를 제공,
2017. 2월~9월까지 8개월간 약 1억3천만원의 부당이득을 취한 것으로 밝혀졌습니다.
❍ 피의자 B씨(34세, 서울, 00컴즈)는,
불상의 개발자가 만든 유사사이트를 이용, 같은 방식으로 2017. 5월~8월까지 4개월간 ‘액세스 토큰’ 약 1만5천건을 빼돌려 광고업자들을 상대로 영업을 준비하다 경찰에 검거되었습니다.
❍ 피의자 C씨(21세, 부산, 00커뮤니케이션)는 「페이스북 방문자추적, 뒷삭친구찾기, 경품룰렛」등의 허위 사이트를 개설한 후,
2017. 3월부터 10월까지 ‘액세스 토큰’ 약 19만건을 빼돌려 광고업자들을 상대로 유사서비스를 제공하고 약 3천만원의 부당이득을 취한 것으로 밝혀졌습니다.
❍ 피의자들은 페이스북 이용자들이 방문자추적, 친구위치찾기, 뒷삭친구(자신 몰래 친구 관계를 삭제한 친구) 등의 정보에 호기심이 많다는 점을 착안, 이를 알려줄 것처럼 속여 해당 사이트로 접속을 유도하였으며,
이용자들이 계정정보(아이디, 비밀번호)를 입력하면 마치 추적기능이 실행되는 것처럼 화면에 복잡한 문자코드(액세스 토큰)가 나타나고 이를 화면에 복사하여 제출해달라고 하지만, 이는 이용자들 몰래 발급받은 토큰을 가로채기 위해 만든 과정이었으며, 실제 문자코드를 복사하여 ‘제출하기’ 버튼을 누르는 순간 토큰 정보가 고스란히 피의자들에게 넘어가는 피해를 입는 것으로 밝혀졌습니다.
❍ 사이트를 직접 제작한 피의자 A씨의 진술에 따르면,
방문자추적사이트는 이용자들로부터 몰래 빼돌린「액세스 토큰」으로 계정에 침입한 후, 페이스북 친구 몇 명을 무작위로 선택해 보여주거나 거리를 임의로 표시해 진짜인 것처럼 표시할 뿐이지 실제 방문자나 친구위치 확인과 같은 기능은 없다고 진술하고 있습니다.
❍ 피의자들이 빼돌린「액세스 토큰」은,
페이스북 계정에서「타임라인 글작성, 좋아요 추가, 팔로워·친구 신청, 이름·나이·친구·연락처 조회」등 대부분의 주요 기능을 로그인없이 실행할 수 있는 권한이 포함되어 있었습니다.
❍ 그 이유는 인터넷에 유출된 안드로이드용 페이스북 공식앱의 보안정보를 구글링을 통해 알아낸 후, 이 정보와 페이스북 이용자들의 아이디, 비밀번호 등을 조합해서 액세스 토큰을 생성하였기 때문이라고 피의자들은 진술하고 있습니다.
❍ 경찰이 실제 압수한 토큰 정보를 공식 ‘페이스북 개발자 사이트’에서 확인한 바, ‘Facebook for Android’ 앱 정보로 발급된 사실을 확인할 수 있었으며, 이 경우 해당 이용자의 계정 ‘설정’ 항목에서도 그 발급 여부를 전혀 확인할 길이 없어 자신이 피해 당사자인지도 알 수 없고, 다른 액세스 토큰과 달리 거의 대부분의 계정 권한을 갖고 있다는데서 심각성이 있었습니다.
❍ 경찰은, 피의자들이 빼돌린 토큰 정보를 이용해 페이스북 이용자들의 타임라인에 자신들의 방문자추적사이트 광고글을 반복 게시하고, 이를 본 이용자의 친구들이 다시 피의자들의 사이트를 접속하다가 토큰을 탈취당하기를 반복하는 악순환의 과정에서 약 80만건의 정보가 유출된 것으로 파악하고 있습니다.
❍ 피의자 A씨의 경우 빼돌린 60만건의 액세스 토큰으로 팔로워 수를 부풀린 계정*을 온라인 광고업자들에게 판매하거나, 게시물 ‘좋아요 조작기’ 프로그램**을 개발해 유료서비스로 제공해주고 부당이득을 취했습니다.
* 팔로워 약 5만~20만명 계정 당 300~600만원 판매
**좋아요 횟수 10,000개 당 4만9천원의 유료서비스 제공
❍ ‘좋아요’ 횟수가 높으면 광고효과가 높다고 생각한 온라인 광고업자들이 이 서비스에 가입하였고, 의류쇼핑몰, 음식점, 숙박업소, 도박사이트 등 광고 의뢰인을 상대로 ‘좋아요’ 횟수를 부풀린 광고글을 게시하는 등 실제 활용한 것으로 밝혀졌습니다.
❍ 경찰은 피의자들이 몰래 빼돌린 페이스북 이용자들의 토큰 정보 약 52만건을 압수하였으나 이미 시중에 유통되고 있을 가능성이 있어 페이스북 업체와 협의하여 보안조치를 요구할 예정입니다.
❍ 아울러 이용자들도 자신의 계정을 직접 확인한 후, 직접 작성한 사실이 없는 글이 ‘타임라인’에 게시되거나, ‘활동로그’ 내역에 의심스런 항목이 있거나, ‘설정’의 ‘앱’ 항목에 의심스런 앱이 자리잡고 있다면 토큰이 유출된 것으로 의심해서 즉시 비밀번호를 바꾸고 해당 앱을 삭제해줄 것을 당부드립니다.
❍ 또한 경찰은, 방문자 추적, 친구위치 추적 등 기능은 페이스북 업체측에서도 이미 불가능하다며 밝힌 내용이므로 이러한 것을 광고하는 사이트에 속지 말 것과, 토큰 정보를 넘겨주는 것은 아이디, 비밀번호를 알려주는 것과 똑같이 위험한 행위임을 명심해 줄 것을 당부하고,
앞으로도 인터넷상의 모니터링을 강화하여 유사사이트에 대해 강력히 단속할 계획임을 밝혔습니다.
