당신의 토큰은 안녕하십니까?

옛날토큰
1980년대 사용된 토큰(좌)과 회수권(우)

토큰(Token)을 아십니까?

“버스탈 때 운송료로 사용되는 동전같은 것”이라 답하신다면 당신은 이미 ‘노땅’이십니다. 그나마 노땅님들은 토큰이 지불수단으로 화폐와 같은 가치를 지닌 것이란 것은 알고계십니다만, 토큰이 무엇인지 전혀 모르는 분들이 많습니다. 오늘은 토큰에 대해 이야기해보려 합니다.

신문사에서 오랫동안 근무하다 얼마전 퇴임한 지인이 있습니다. 타 직종과 달리 온갖 정보를 취급하는 일을 하니 세상 돌아가는 일에 밝을 줄 알았는데 영 맹탕입니다. 이 양반이 페이스북을 시작했다가 곤욕을 치른 이야기가 재미있습니다. 국장으로 퇴임했는데 편의상 김국장이라고 하겠습니다.

김국장이 페북을 시작하고 며칠이 지나자 직원들의 눈초리가 심상치 않더랍니다. 그래서 나름대로 알아보니, (김국장이) 성인게시물 마다 ‘좋아요’를 누르고, (페북)친구들에게  각종 광고페이지 ‘좋아요’를 요청하고, 여하튼 페북으로 할 수 있는 모든 패악은 다 저질렀던 모양입니다. 그런데 정작 김국장 본인은 그런 사실이 없었다는 거죠.

페이스북하다 신기한 것이 있으면 모두 체험학습을 한 모양인데 그 중에 ‘방문자추적기’라는 것도 있었답니다. 결국 제가 페이스북 ‘설정’의 ‘앱’ 항목에서 ‘방문자추적기’를 포함해서 웬만한 앱은 모조리 삭제하고 비번을 바꾸라고 알려주고 마무리는 했습니다.

앞서 토큰이야기를 꺼냈지만, 김국장이 페이스북에서 사용되는 액세스 토큰(access token)을 탈취당해 벌어진 헤프닝입니다. 토큰이 무엇이길래 이런 일을 할까요? 버스토큰이 아닌 인터넷에서 사용되는 토큰은 이렇게 생겼습니다.

네이버 토큰
[사진1] 네이버 토큰
페이스북 엑세스토큰
[사진2] 페이스북 엑세스 토큰
토큰 샘플
[사진3] 페이스북 토큰 이용 샘플.
예전에 페이스북에 ‘방문자추적기’라는 앱이 유행했었습니다. 누가 내 페북에 들어왔는지 궁금해서 눌러보고 싶은 심리를 이용한 악성앱입니다. 추적기능은 거짓이고 개인정보를 빼내려고 하는 것입니다. 페이스북은 운영체제상 방문자 자체를 기록하지 않기 때문에 추적이 불가능합니다.

방문자추적기의 진짜 목적은 당신의 액세스 토큰입니다. 위 [사진2]가 페이스북에서 사용하는 액세스 토큰입니다. 모자이크로 일부 지웠지만 빨간 테두리로 된 부분이 액세스 토큰입니다. 그것을 복사해서 넘겨주는 건 도둑이 맘대로 집 안에 들어올 수 있도록 열쇠를 주는 셈이죠.

이해 되시나요? 바코드나 주민등록번호를 연상하면 됩니다. 바코드나 주민등록번호에는 온갖 정보가 담겨 있지요? 토큰도 그런 겁니다. 액세스 토큰은 접근할 수 있는 열쇠인데 그것을 가지고 자신이 사용자인 것처럼 ‘좋아요’를 누르고 계정을 팔로우하거나 끊는 등의 활동을 하는거죠.  토큰은 ‘열려라 참깨’와 같은 겁니다.

이들은 이렇게 모은 액세스 토큰을 이용해 특정 광고에 ‘좋아요’를 몰아주거나 음란광고를 올리는 등 각종 수익사업에 악용하거나, 페북을 홍보의 수단으로 이용하는 소상공인에게 ‘좋아요’를 늘려주겠다고 접근하기도 합니다.

토큰을 알려달라거나 복사해서 넣어야만 이용 가능한 서비스는 아예 하지 않는 것이 좋습니다. 세상에 공짜는 없으니까요.

한덕구
Copyright 덕구일보 All rights reserved.
덕구일보의 모든 콘텐츠는 저작권의 보호를 받습니다. 출처를 밝히고 링크하는 조건으로 기사의 일부를 이용할 수 있으나, 무단전재 및 각색 후 (재)배포는 금합니다. 아래 공유버튼을 이용하세요.