페이스북 방문자 추적기가 여전히 기승이다. 페이스북 사용자 아이디·패스워드 입력을 유도해 로그인 상태 유지 권한인 '액세스 토큰(Access Token)'을 탈취하는 방식이다. 전문가는 심각한 보안 위협을 초래한다고 경고한다. 사용자가 스스로 주의하는 것 외에 방지할 방법도 없다.

25일 페이스북 사이트를 살펴보면 '리미트 연구소' 등 방문자 추적기가 페이스북에서 여전히 활발히 이용된다. 페이스북에서 '방문자 추적'으로 검색하면 리미트 연구소를 사용할 시 뜨는 피드가 실시간으로 올라온다.

방문자 추적 사이트 '페북미' 또한 페이스북 페이지에서 활발히 활동한다. 페북미에 '좋아요'를 누른 사람만 262명에 이른다. 이 페이지는 접근을 유도하는 게시물도 지난 22일에 올렸다.

두 사이트는 페이스북의 '액세스 토큰'을 요구한다. '액세스 토큰'은 페이스북에 로그인 했을 때 로그인 상태를 유지하는 권한이다. 이 권한을 넘기면 페이스북에서 '좋아요'와 게시물 공유, 친구 맺기 등 기능이 사용 가능하다.

업계 한 전문가는 “두 사이트 모두 페이스북 토큰을 빼내는 수법을 사용한다”면서 “토큰은 페이스북 로그인을 했을 때 로그인 상태 그대로 사용하는 권한으로 (방문자 추적 사이트는) 이 같은 권한을 가져다가 사용자를 보는 것이기 때문에 위험하다”고 밝혔다.

">

해당 수법은 초기 소셜네트워크서비스(SNS)에서도 사용됐던 수법이다. 다만 같은 수법이 계속 발생하고 있음에도 제재방안도 마땅치 않다는 점이 문제다.

업계 전문가는 “토큰을 넘기는 것은 집 주인이 손님에게 집 열쇠를 주는 것과 같기 때문에 사용자가 속지 않는 것 외에는 방법이 없다”고 지적했다.

페이스북은 위험성은 인지하지만 사용자 주의 외에는 마땅한 대안이 없다는 입장이다.

페이스북 관계자는 “페이스북은 플랫폼 역할로서 최선을 다하지만 개인정보 보호는 사용자 역할이 중요하다”면서 “현재로서는 피해사례가 신고된 것이 없어서 조치를 취하지 않고 있다”고 밝혔다.

변상근기자 sgbyun@etnews.com