몇시간 사이 제 지인들의 페이스북 글들을 통해서 자동화된 낚시 스팸이 급속도로 퍼지고 있습니다. (아마 저한테서 전염되신 분도 있을 거 같네요) 골프 관련의 좀 므흣한 동영상인 것처럼 보이는 링크인데 클릭만 해도 해당 낚시 페이지에 대한 '좋아요' 등록이 되며, 덩달아 다른 여러 광고성 페이스북 계정으로의 '좋아요' 등록까지 됩니다. 부차적으로 등록된 좋아요의 페이지들도 마찬가지로 전염성이 있습니다. 저도 한번 클릭했다가 줄줄이 '좋아요'가 올라와서 당황했습니다. 프로필에 들어가서 일일이 삭제하기는 했습니다만, 여러분도 잘 아는 지인이라고 해도 갑자기 좀 의아한 광고성 글에 대해 '좋아요'가 올라오면 클릭하시기 전에 주의하시기 바랍니다.

기술적으로 보면 페이스북의 좋아요 등의 소셜 기능들 다수가 자바스크립트에 크게 의존하고 있고, 브라우저들에 이런 복잡한 스크립트 코드 패턴에 대한 스팸 방지 기능이 없기 때문에 어서 이런 낚시 스팸은 얼마든지 가능하고 방법도 간단합니다. 사실 기술적으로 보면 악성코드라고 할 수 있는데요. 일반적으로 자바스크립트로 능동적인 침투 코드를 만들거나 서버측에 악의적으로 새로운 데이터 엔트리를 만들 수는 없다고 여겨왔는데, 페이스북은 역동적인 UI를 위해 AJAX 자바스크립트로 떡칠이 되어 있고, 그런 코드가 좋아요 등의 글을 자동으로 올릴 수 있게 되어 있어 결과적으로 사실상 악성코드로서 동작할 수 있게 되었네요.

최근 몇년간 순수 웹 기반 클라이언트 기술이라는 이유로 AJAX를 예찬하고 확산되는 움직임이 많았는데, 이번 일로 비춰보자면 향후 AJAX의 보안성 혹은 개방성이 새로운 골칫거리로 떠오를 수 있을 것 같습니다.