류프리

 30대 초반의 K씨는 오늘도 습관처럼 페이스북 앱을 열어 다른 사람의 게시물을 눈으로 훑는다. 그러던 중 문득 K씨의 눈길을 끄는 게시물이 나타났다. 

<내 타임라인 눈팅하는 사람은 누굴까? 방문자 추적 앱! >

K씨는 문득 자신의 페이스북에 들어와 보기만 하고 가는 사람들은 어떤 사람들인지, 혹시 얼마 전 헤어진 여자친구는 아닌지 아주 조금 궁금한 마음에 링크를 클릭해 설치했다. 결과를 보니 씁쓸하게도 헤어진 여자친구는 없었다. 그런데 며칠 후 K씨는 친구가 보내온 메시지에 더욱 쓴맛을 느끼게 됐다. 

“야, 너 왜 자꾸 이상한 게시물에 좋아요 누르고 그러냐? 페친 중에 회사 사람이나 사회생활에 관련된 사람은 없어?” 

알고 보니 자신은 절대 클릭한 적도 없는 광고성 게시물과 이상한 성인 게시물에 자신이 ‘좋아요’를 누른 것으로 나타나고 있던 것이다. 당혹스럽고 억울한 것도 잠시, 도대체 원인이 무엇인지 알아야 이 사태를 해결할 것이 아닌가?

최근 페이스북, 인스타그램 등 소셜미디어(Social Media) 또는 소셜네트워크서비스(Social Network Service, SNS)의 이용자 수가 급격히 증가했다. 어느 보고자료에 따르면, 1인당 평균 3개의 소셜미디어 계정을 보유하고 있다고 한다. 이처럼 소셜미디어 이용자가 급증하면서 이를 상업적으로, 심지어 불법적으로 이용하려는 움직임도 지속적으로 나타나고 있다. ‘페이스북 방문자 추적 앱’이 대표적이다. 이 글에서는 페이스북 방문자 추적에 관한 잘못된 바램에 대해 짚어본다.

왠지 솔깃한 ‘방문자 추적’에 속지 말자

페이스북에 방문자를 추적할 수 있다는 프로그램이 나온 건 최근이 아니고 3~4년 전부터다. 당시에는 큰 반향을 일으키지 못했지만 최근 다시 급속하게 확산되고 있다.  

페이스북 방문자 추적 앱은 누군가가 공유한 게시물의 링크를 타고 유포되는 경우가 대부분이다. [그림 1]은 방문자 추적 앱에 관한 페이스북 게시글로, ‘누가 내 타임라인에 왔을까? 방문자 추적! 해킹 없는 버전’이라는 짤막하지만 제법 솔깃한 내용이 담겨있다. 하지만, 조금만 생각해보면 ‘해킹이 없는 버전’이라는 문구부터 속 보인다. 자신이 사기꾼이라고 하는 사기꾼이 절대 없는 것처럼 말이다. 

[그림 1] ‘방문자 추적 앱’ 관련 페이스북 게시글 (캡처)

방문자 추적 게시글이나 친구 찾기 등이 적혀있는 링크를 클릭하면 자신의 페이스북 페이지에 방문한 사람 수, 방문 시간, 접속 횟수 등을 알려준다는 예시를 보여주며 사람들을 현혹한다. 링크를 따라 들어가면 [그림 2]와 같이 ‘Log in with Facebook'이라는 화면에 페이스북 계정 로그인을 유도하는 버튼이 나온다. 해당 페이지에 자신의 페이스북 아이디와 패스워드를 다시 입력하고 로그인하는 순간, 사용자의 개인정보가 유출된다. 

[그림 2] 계정 입력을 유도하는 방문차 주적기 앱 (캡처)

혹은 'WWW.페북방문자.COM' 같은 인터넷 주소 링크를 누르면 사용자에게 특정 앱 설치를 권유하기도 한다. 이 프로그램은 방문자를 추적하기 위해 [그림 3]과 같이 '액세스 토큰(Access Token)'과 각종 사용자 권한을 추가로 요구한다. 액세스 토큰은 온라인 서비스를 이용하기 위한 일종의 신분증이다. 

[그림 3] 페이스북 권한 요구 화면

계정 비밀번호를 비롯한 개인정보에 이어 액세스 토큰까지 넘겨주면 사용자의 페이스북 좋아요, 팔로우, 게시글 및 사진 등 페이스북 이용 권한도 넘어가게 된다. 사용자를 대신해 게시물을 올릴 수 있을 뿐더러 내 뉴스피드에 있는 게시물도 관리할 수 있는 권한을 주게 되는 것이다. 

즉, 액세스 토큰을 탈취한 악의적인 프로그램 제작자는 사용자의 아이디와 비밀번호를 이용해 로그인한 것과 똑같은 권한을 이용해 페이스북의 거의 모든 개인정보에 접근할 수 있다. 자기도 모르게 이상한 게시물이 올라가 있거나 전혀 모르는 계정을 팔로우했거나, 한 번도 보지 못했던 게시물에 '좋아요'가 눌러져 있다면 해킹 당한 것이라고 볼 수 있다. 특히 이와 같이 방문자 추적 앱을 이용했다면 해킹을 당했다기보다는 사용자 본인이 기꺼이 정보와 권한을 내준 것과 다름없다. 

추적하려다 추적당하지 않도록 주의해야 

페이스북 코리아 측은 지난 2013년에 이어 올해 6월에도 페이스북 방문자 추적은 불가능하다는 공지 글을 올린 바 있다. 페이스북 코리아는 공지를 통해 “방문자 확인 URL 링크는 사실 방문자를 추적할 수 없는 가짜 링크”라면서 “대부분 방문자 추적이 가능하다고 하는 앱/프로그램 등은 자신의 타임라인에 남긴 댓글, 좋아요 수 등을 기준으로 순위를 보여줄 뿐이기 때문에 의심스러운 프로그램은 다운로드하지 않는 것이 좋다”고 당부했다. 또한 “해당 프로그램을 이용하기 위해 페이스북 계정 정보를 입력했다면 페이스북의 비밀번호를 빨리 바꿔야 한다”고 강조했다. 

과거 2000년 무렵, 싸이ㅇㅇ의 미니홈피에도 방문자 추적 프로그램이 등장해 네티즌들 사이에서 큰 인기를 끈 바 있다. 당시에는 미니홈피 내에 다른 소스코드를 심어서 실제로 로그인 하지 않은 상태의 방문자들도 추적이 가능하긴 했다. 그러나 페이스북은 현재까지는 추적이 불가능하다. 방문자 추적 앱들이 여러 편법을 동원해 방문자의 순위를 보여주긴 하지만 굳이 이 방법을 쓰지 않더라도 누구나 간단하게 확인할 수 있을 정도의 단순한 화면일 뿐이다.

즉, 현재 페이스북 방문자 추적이라고 떠도는 앱이나 사이트는 대부분 해킹을 위한 악의적인 프로그램이거나 피싱 사이트들이다. ‘속지 말자 조명빨, 다시 보자 사진빨’이라는 문구처럼 방문자를 추적할 수 있다는 문구에는 절대 속지 말아야 한다.​