‘좋아하면 울리는’(천계영)이라는 웹툰이 있습니다. ‘좋알람’이라는 가상의 앱이 중심이 되는 웹툰인데요. 이 앱은 반경 10m안에 사용자를 좋아하는 사람이 있을 경우 알려줍니다. 비어 있던 하트가 차면서 10m안에 있는 ‘당신을 좋아하는 사람’이 N 명일 경우, N이 표시됩니다.
물론 당연히 불가능한 기술입니다만, 현실에서도 유사한 느낌으로 쓰이는 서비스는 있습니다. ‘페이스북 방문자 추적기’입니다. 누가 내 타임라인에 들어왔는지 확인해주겠다는 겁니다. 이 서비스는 ‘굳이 내 타임라인까지 방문했다→나에 대해 궁금해한다→나에게 관심이 있다→나를 좋아하는 것은 아닐까?!’ 라는 사고의 흐름을 따라가는 사람에게 혹할 만한 기능입니다.
최근에 모 업체에서 ‘페이스북 방문자 추적기’를 내놨습니다. 방문자를 추적하기 위해서는 ‘액세스 토큰’을 좀 알려달랍니다. ‘액세스 토큰’이 뭔지도 잘 모르겠고, 어차피 인터넷에서 뭐라도 좀 해볼라치면 온갖 개인정보를 내놔야 하는 세상이라, 뭐 또 알려달라는 게 그리 새로울 것도 없어 보입니다. 하라는 대로 해서 토큰 알려주고, 누가 나를 궁금해하는지 빨리 알아보고 싶습니다. 하지만, 토큰은 그렇게 막 줘도 되는 게 아닙니다.
토큰, 그렇게 막 줘도 되는 거 아닙니다
토큰은 보통 사람들에게 그리 익숙한 개념은 아닙니다. 잘 모르는 사람도 많고, 아는 사람이라고 해도 ‘버스 토큰’이나 오락기에 넣는(흔히 ‘메달’이나 ‘코인’) 동전 형태의 주조물을 떠올리는 사람이 많습니다.
IT 분야에서 토큰은 보안 정보를 담는 무작위의 문자열을 말합니다. 아이디와 비밀번호를 매번 활용할 경우 생기는 보안상 위험을 줄이기 위해 고안됐습니다. 토큰만 봐서는 어떤 정보도 유추할 수 없지만, 토큰을 활용하면 해당 서비스에서의 정보를 얻거나, 행동을 대신할 수 있습니다.
페이스북의 액세스 토큰(access token, 접근 토큰)은 거의 ‘계정을 열어주는 열쇠’같은 개념으로 이해하셔도 좋을 것 같습니다. 이 액세스 토큰을 활용하기에 따라 페이스북의 거의 모든 개인정보에 접근할 수 있는 것은 물론, 페이스북에서 일상적으로 사용하는 포스팅 등의 활동도 업체가 대신할 수 있습니다. 토큰을 제공한 사용자는 자기도 모르게 게시물을 올리게 될 수 있고, 전혀 모르는 계정을 팔로우할 수 있으며, 한 번도 보지 못했던 게시물을 ‘좋아할’ 수 있습니다.
토큰이 개인정보인지 아닌지, 비식별 개인정보로 볼 수 있는지는 조금 복잡합니다. 정보통신망법에 따르면 ‘특정 개인을 알아볼 수 없어도 다른 정보와 결합 시 알아볼 수 있을 경우’ 개인정보로 봅니다. 김경환 법무법인 민후 대표변호사는 “만약 토큰을 온라인 식별자로 볼 수 있고, 약관의 이용범위를 넘었다면 ‘목적 외의 용도 이용’으로 위법 여지가 있다”라고 말했습니다. 법으로는 조금 어렵지만, 페이스북의 정책상으로는 확실히 위반입니다. ‘페이스북 권리 및 책임에 관한 정책’은 다음과 같습니다.
3. 안전저희는 Facebook을 안전하게 유지하기 위해 최선을 다하고 있지만 안전을 보장할 수는 없습니다. 안전 유지를 위해서는 다음과 같은 약정을 포함해 회원님의 도움이 필요합니다.
1.회원님은 Facebook에서 허가받지 않은 상업적 커뮤니케이션(예: 스팸)을 게시할 수 없습니다
2. 회원님은 Facebook의 허가 없이 자동화된 수단(예: 수집 봇, 로봇, 스파이더, 스크래퍼)을 이용해 사용자의 콘텐츠나 정보를 수집하거나 다른 방식을 통해 Facebook에 접속할 수 없습니다.
페이스북 측은 “사용자 동의 과정이 있어 법적으로 문제다, 아니다 말하기는 어려울 수 있을 것 같다”라며 “페이스북의 약관상으로는 문제가 된다. 계정과 관련된 문제는 보고가 된 상태이며, 비정상적인 행태라는 것을 파악했다”라고 답변했습니다. 사용자 피해가 예상될 경우 제재를 할 예정이라고도 덧붙였습니다.
왜 다른 앱을 썼을까?
이상한 점이 하나 더 있습니다. 서비스를 만든 업체는 페이스북 마케팅 업체인데, 권한을 받는 앱은 전혀 무관한 ‘HTC sense’입니다. HTC 센스는 HTC에서 제작한 스마트폰의 전용 그래픽 사용자 인터페이스를 말합니다. 스마트폰에서 사용자 조작에 필요한 그래픽 요소들을 지칭한다고 이해하시면 좋을 것 같습니다. 사실 어떤 앱인지 살피지 않았어도 해당 서비스와 전혀 관련이 없다는 건 쉽게 알 수 있습니다.
굳이 사용자가 직접 토큰을 직접 '복사-붙여넣기' 하게 만들지 않아도, 개발자가 직접 페이스북에서 앱을 만들고 해당 앱을 통해 권한을 받는 식으로도 운용할 수 있습니다. 하지만 이 경우 커뮤니티 정책 위반으로 앱을 만든 계정이 날아가 버리면 그간 들인 공이 허사가 됩니다.
타사의 잘 알려진 앱을 우회해서 사용하면, 페이스북 정책 위반으로 본계정이 날아가더라도 웹사이트에 기반을 둔 서비스는 유지할 수 있습니다. 일종의 안전장치죠. 마침 오늘(9월27일) 오전, 해당 계정이 커뮤니티 정책 위반으로 삭제된 것이 확인됐습니다.
그럼 다른 앱 중에서 하필이면 'HTC 센스 앱'인것도 이유가 있을까요? 이 부분은 추측이지만, 이렇습니다. 스마트폰을 이용하면 위젯을 화면에 두고 앱을 사용하기도 합니다. 예컨대 ‘페이스북 위젯’을 바탕화면에 두고 뉴스피드를 확인하고, ‘좋아요’를 누를 수 있습니다. 이때 사용자의 권한을 받는 과정이 필요합니다. 앱에서 받아가는 권한도 굉장히 많죠.
이 많은 권한을 받아주는, 게다가 비교적 신뢰도가 괜찮은 앱을 이용해 액세스 토큰을 발급시키고, 업체는 사용자에게 직접 액세스 토큰을 받아 업체가 필요한 활동인 ‘좋아요’와 ‘팔로우’에 활용하는 겁니다. 페이스북 측은 이에 대해 “해당 부분에 대해서도 인지하고 있다. 조처를 할 예정”이라고 밝혔습니다.
문제가 된 ‘방문자 추적기’를 통해 수집된 토큰은 페이스북 마케팅에 활용됩니다. 해당 업체의 서비스 이용약관에는 이렇게 쓰여 있습니다.
4. 이용자 계정의 권한은 다른 이용자의 계정, 페이지, 게시물의 팔로우, 좋아요의 용도로 사용될 수 있으며, 본인 계정의 활동로그를 통해 사용 내역을 확인하실 수 있습니다.
해당 업체는 페이스북 마케팅이 주요 사업모델입니다. 페이스북 스타 마케팅, 페이지 개설 및 관리대행, 게시글 좋아요 작업 등으로 수익을 냅니다. 그러니까 ‘방문자 추적기’를 활용해 사용자의 액세스 토큰을 얻어내고, 이 토큰으로 페이스북 광고 사업에 사용하는 거죠. 토큰을 넘겨준 여러분들은 알지도 못했던 페이지를 ‘팔로우’하게 되고, 본 적도 없는 광고 게시물도 ‘좋아요’를 누르게 됩니다. 인지하지 못한 사이에 자동으로 이뤄집니다. 이런 식으로 숫자를 조작해 마케팅하는 건 정말 흔합니다. 해당 업체는 “액세스 토큰을 악용할 때가 문제인데, 우리가 액세스 토큰을 판매하거나 불법이 이용할 경우 책임을 지기 위해 사업자 등록을 하고 운영한다”라며 “서비스가 약관상 문제가 된다면 우리 쪽에서 서비스 방향을 바꿔야 한다고 생각한다”라고 해명했습니다.
그럼 방문자 추적기는??
돌고 돌아 토큰을 제공한 대가로 사용자가 이용할 수 있는 서비스인 ‘방문자 추적기’를 살펴보겠습니다. 원리가 어떻게 될까요? 실제 자신의 타임라인을 방문한 사람 데이터를 페이스북으로부터 받아서 제공하는 것은 당연히 아닙니다. 업체 측은 “방문자 추적기는 5가지 가설을 세워서 기능을 넣었다”라며 “100% 완벽하게 추적을 완료하는 게 아니라, 5가지 방법을 교차해서 방문자를 예측하는 서비스”라고 설명했습니다. 업체는 "‘5가지 가설’은 내부적인 거라 알려줄 수는 없다"고 말하는데요. 페이스북의 개발자 커뮤니티인 ‘생활코딩’의 이용자들은 "친구 목록을 랜덤으로 띄워주는 수준일 것"이라고 예상했습니다.
계정을 보호하려면
이미 이용했지만, 해당 서비스를 원하지 않는 사람은 앱 설정 탭에서 앱을 삭제하거나, 비밀번호를 바꾸는 것으로 문제를 해결할 수 있습니다. 페이스북 측은 “정기적으로 비밀번호를 바꾸는 것이 계정 보호에 도움이 된다”라고 강조했습니다. 활동 로그를 살펴서 원하지 않는 계정 활동이 있었는지 주기적으로 점검하는 것도 중요합니다.