‘친구 태그’하는 신종 페이스북 낚시 주의보

가 +
가 -

페이스북에 최근 새로운 사기 수법이 등장했다. 페이스북의 친구 태그 기능과 신용카드 정보를 검증하는 등 정교하게 사용자를 속이니 주의해야 한다.

직장인 신 아무개 씨는 최근 페이스북 타임라인에서 눈길을 잡아끄는 게시물을 봤다. 유명 브랜드의 선글라스를 최대 90% 할인해 판매한다는 내용이었다. 페이지를 방문해보니 해외 사이트였다. 선글라스 전 품목이 90% 가까이 할인 중이었고, 원래 국내에서는 20만원을 호가하는 제품을 24달러 선에서 팔고 있었다. 신씨는 싼값에 새 선글라스를 구입할 기회라 여겼다. 여름도 다가오고 있었으니까.

결론부터 얘기하면, 이 해외 온라인 장터는 이른바 낚시 웹사이트였다. 신씨의 카드정보와 e메일 주소를 모두 털어갔다. 신씨는 뒤늦게 이 사실을 알아차리고 서둘러 신용카드를 재발급받았다. 혹시 모를 2차 피해를 방지하기 위해서다.

facebook_1_600

신씨는 페이스북과 전자상거래 이용에 밝은 젊은 직장인이다. 스스로도 어지간해서는 빤히 수가 들여다보이는 낚시에 걸리지 않을 것이라고 장담했었다. 하지만 이 웹사이트에는 여지없이 낚이고 말았다. 어찌 된 일일까. 이 낚시 웹사이트는 3가지 부분에서 치밀하게 신씨를 속일 수 있었다.

하나는 페이스북 타임라인에 등장한 게시물에 신씨가 잘 알고 있는 친구가 태그로 함께 등장했다는 점이다. 신씨가 신뢰하는 페이스북 친구가 태그된 게시물을 보니 웹사이트 신뢰도가 올라갔음은 물론이다. 두 번째는 낚시 웹사이트라고는 믿을 수 없을 정도로 정교하게 제작된 홈페이지였다. 제품을 공식적으로 판매하는 웹사이트라고 해도 믿을 정도였다.

마지막 수법이 압권이다. 신씨는 처음 보는 온라인 쇼핑몰에서 신용카드로 결제해야 할 경우에는 신용카드 번호를 일부러 다르게 넣는 습관이 있다. 만에 하나 그 쇼핑몰이 신용카드 정보를 빼내기 위한 낚시 웹사이트일 수 있다는 생각 때문이다. 낚시 웹사이트는 틀린 신용카드 번호를 넣어도 정보가 잘못됐다는 메시지를 내놓지 못한다는 점을 이용한 일종의 신씨만의 검증과정인 셈이다. 애당초 낚시를 위한 웹사이트는 신용카드 결제 시스템과 연동돼있지 않으니 말이다.

신씨가 낚인 이 선글라스 쇼핑몰은 신씨가 잘못된 신용카드 정보를 집어넣자 신용카드 정보가 틀렸다는 메시지를 띄워 보여줬다. 신씨는 그대로 이 웹사이트를 믿을 수밖에 없었다. 정상적으로 작동하는 신용카드 인증 시스템과 연결돼 있다는 확실한 증거였으니까. 신씨는 결국 회원가입에 쓴 e메일 주소와 비밀번호, 신용카드 정보를 깡그리 털리고 말았다. 물론, 결제한 이후에도 결제가 이뤄졌다는 알림은 오지 않았다. 신용카드 회사에 알아봐도 결제된 내역에 선글라스 구매 내역은 없었다. 신용카드 정보만 털린 것이다.

‘친구 태그’, 어떻게 했나

신씨는 이 웹사이트를 모르고 있었다. 페이스북 타임라인에서 처음 봤다고 했다. 이 웹사이트가 운영하는 페이스북 페이지에 ‘좋아요’를 누른 적이 없다는 뜻이다. 태그 된 친구 두 명도 이 웹사이트에 ‘좋아요’를 누르지 않았다.

페이스북에서 다른 사람을 태그하려면, 우선 친구가 돼야 한다. 사진 얼굴에 거는 친구 태그는 친구의 친구까지만 허용된다. 정상적인 상황이라면, 이 낚시 웹사이트는 신씨의 친구를 태그할 수 없다는 얘기다.

이 낚시 웹사이트는 페이스북에서 어떻게 신씨의 친구를 태그할 수 있었을까. 해킹을 비롯해 몇 가지 가능성이 있겠지만, 가장 그럴듯한 설명은 바로 친구가 운영하는 페이지일 것이라는 풀이다.

국내에서 페이스북 홍보를 담당하는 업체 관계자는 “개인적인 생각이지만, 해킹이나 버그 등으로 친구가 태그 됐을 가능성은 매우 낮다”라며 “피해자와 페이스북에서 친구인 다른 이용자가 이 낚시 웹사이트를 알리기 위해 별도의 페이지를 개설해 운영하는 것은 아닌가 의심된다”라고 설명했다.

페이스북에서는 간혹 친구 사이가 아닌 경우에도 태그가 되는 버그가 발생한다. 하지만 신씨의 경우에는 친구가 두 명이나 태그됐다. 버그로 보기 어렵다. 페이스북을 해킹하는 것도 만만한 일은 아니다. 혹시 신씨의 페이스북 친구 중 어떤 이가 이 낚시 웹사이트를 알리기 위해 페이스북 페이지를 연 것은 아닐까.

예를 들어 신씨와 친구인 ㄱ씨가 ㄴ페이지를 개설했다고 가정해보자. ㄴ페이지를 운영하는 ㄱ씨는 신씨와 친구이니 신씨 친구를 마음대로 태그할 수 있다. 이때 계정 이름은 ㄱ씨가 아닌 ㄴ페이지를 활용하면 된다. 사진에 태그를 할 때는 친구의 친구까지 태그할 수 있으니 더 많은 이들을 태그에 끌어들일 수 있다. 실제로 이 페이지 운영자가 누구인지 확인해보지는 않았지만, 친구를 태그했다는 점으로 미루어보아 이 방법이 가장 설득력이 있다.

ray_2_600

신 씨는 친구가 태그된 페이스북 게시물에서 이 사이트를 방문해 신용카드 정보를 털렸다. 홈페이지도 매우 정교하게 제작됐다.

페이스북에서 낚이면, 책임은 누가?

이번 신씨 사례처럼 페이스북의 친구 태그는 게시물의 신뢰도를 높이는 데 활용될 수 있다. 포털사이트나 다른 경로로 낚시 피해를 당한 것과 다르다. 포털사이트는 서비스를 제공할 뿐이니 말이다. 페이스북의 친구 태그 기능이 낚시 웹사이트에 사용자를 끌어들였다는 데 문제가 있을 수 있다.

안타깝지만, 이 같은 피해를 당해도 페이스북에 책임을 물을 법적인 근거가 없다. 포털사이트에 악의적인 목적으로 개설된 카페가 생겨 피해가 발생해도 포털사이트가 모든 책임을 지지 않는 것과 마찬가지다. 낚시 문자메시지에 피해를 당해도 이동통신업체에 전적으로 책임을 묻기 어려운 것과 같다.

페이스북 홍보 업체 관계자는 “최근 페이스북 페이지 광고 등에 대해 특히 신고가 많이 들어오고 있는 상황”이라며 “웃긴 사진 하나 올리고 광고를 넣는 등 이런 것은 모두 정책에 어긋나는 행위로 전부 삭제 처리하고 있다”라고 설명했다. 페이스북도 부적절한 광고나 낚시 웹사이트로부터 사용자를 지키기 위한 노력을 하고 있다는 설명이다. 하지만 거름망에 걸러지는 콘텐츠 숫자와 비교해 늘어나는 낚시 건수가 더 많은 상황이다. 사용자 스스로 정보를 지키려는 노력도 함께 이루어져야 한다.

낚시 웹사이트 피해가려면

페이스북의 낚시 게시물도 고전적인 방법으로 피해가야 한다. 우선 친구가 태그돼 있더라도 함부로 웹사이트를 신뢰해서는 안 된다. 처음 보는 온라인 쇼핑몰이면 특히 주의해야 한다. 고객센터 전화번호가 있는지 확인하는 과정도 필요하다. 신씨가 낚인 웹사이트에는 고객센터 전화번호가 없다. 꼭 필요한 경우가 아니라면 해외 결제 웹사이트는 피하는 것도 좋은 방법이다.

페이스북에 올라온 게시물 품질을 검증해보는 것도 좋다. 신씨가 캡처한 이 낚시 웹사이트 게시물에는 ‘KER 38,251.10’이라는 문구가 있다. 뒤에 있는 숫자는 우리 돈 3만8251.1원을 표현한 것으로 보인다. ‘KER’은 한국의 통화 단위를 표시하기 위해 쓴 것으로 예상할 수 있다.

헌데, 한국의 통화 단위 ‘원’을 영어 약어로 표기할 때는 ‘KER’이 아니라 ‘KRW’를 쓴다. ’38,251.10′ 부분도 모호하긴 마찬가지다. 보통 국내에서는 10원 이하 단위는 잘 표기하지 않는다. 원 표기법이라기보다는 달러 표기법에 가깝다. 아마 이 게시물은 한국인을 낚을 목적으로 해외 사용자가 만든 것이 아닐까.

페이스북에서 잘 모르는 해외 사용자의 친구신청은 피하는 것이 좋다. 신씨가 피해를 당한 페이스북 페이지 운영자는 국내 통화 단위와 가격 표기법도 제대로 알지 못하는 해외 페이스북 사용자일 가능성이 높다.

만약 결제를했다면, 실제로 결제가 이루어졌다는 문자메시지가 발송되는지도 확인해보자. 해외에서 달러로 결제를 할 때는 문자메시지가 즉시 오지 않을 가능성이 높다. 이 때는 신용카드 업체에 직접 문의하면 된다. 결제정보를 모두 입력했는데도 결제가 안 됐다면, 신용카드 정보를 빼가는 낚시 웹사이트일 가능성이 높다.