“팔로워 사세요.” 공장에서 찍어내는 가짜 계정 봇이 넘쳐나는 소셜미디어 (3/3)
가짜 계정의 신상은 실제 트위터 이용자들의 신상을 조금씩 변조해 생성됩니다. 미국 전역은 물론 전 세계 많은 나라의 트위터 이용자들이 남녀노소 가릴 것 없이 무차별적으로 도용 대상이 됩니다. 트위터에서 왕성히 활동하는 이용자의 계정이든 몇 달째, 심지어 몇 년째 트위터에 접속도 하지 않는 사실상의 휴면 계정이든 상관없습니다.
영화감독이 되고 싶은 대학생 샘 도드 씨는 메릴랜드에서 고등학교에 다닐 때 처음 자기 트위터 계정을 만들었습니다. 그러나 그가 고등학교를 졸업하기도 전에 그의 신상이 도용돼 봇 계정이 생성되고 말았습니다.
오랫동안 사실상 휴면 상태였던 도드 씨의 가짜 계정은 지난해 갑자기 데부미의 고객들을 왕성히 팔로우하기 시작했습니다. 지난여름에는 도드 씨의 도용된 가짜 계정이 댄 레알이 운영하는 포르노물을 비롯해 수많은 포르노 웹사이트 링크를 올리더니 도박 웹사이트 링크도 끊임없이 올려댔습니다.
“도대체 왜 하필이면 제 계정을 해킹한 건지 모르겠어요. 전 이제 갓 20살 된 평범한 대학생일뿐이고, 전혀 유명하지도 않잖아요.”
도드 씨는 말했습니다. 하지만 유명인이 아니라도 실제 사람의 인적사항과 계정은 영향력이 곧 돈이 되는 사회에서 충분히 가치가 있습니다. 지난 12월 기준 데부미의 서비스 가격표를 보면 품질이 좋은 팔로워는 한 명당 그 값이 2센트에 조금 못 미칩니다. (품질이 좋다는 건 한눈에 봇임이 드러나지 않는, 실제 사람들이 쓰는 계정과 거의 똑같다는 뜻) 데부미 봇 하나가 팔로우하는 계정은 약 2천 개 정도로 데부미의 고객 수와 대개 일치합니다. 도드 씨를 도용한 계정 하나로 데부미는 30달러($0.015 * 2,000)를 벌어들인 셈이 됩니다.
도드 씨의 트위터 계정처럼 도용한 계정의 인적사항, 신상 정보는 데부미 같은 회사의 브랜드에 대단히 중요합니다. 돈 받고 팔로워를 팔 때 먼저 봇 티가 덜 나는 고품질 계정부터 동원하기 때문이죠. 고객이 실제 유입된 팔로워가 누구인지 일일이 들여다보지 않기 때문에 뒤이어 동원되는 팔로워일수록 훨씬 싸고 한 눈에도 가짜 계정 티가 확 나는 봇입니다.
데부미가 신상을 도용해 생성한 그럴싸한 봇이 원래 계정을 사실상 대체하기도 합니다. 즉, 원래 이용자가 트위터 계정을 만들어놓고는 거의 트위터에 접속도 하지 않아 사실상 휴면계정이나 다름없게 됐는데 그 계정이 도용돼 활동 기록을 보면 도용된 봇 계정이 원래 계정처럼 보인다는 겁니다. 플로리다주에 살며 임원 비서로 일하는 휘트니 울프 씨는 웨딩플래너로 일하던 2008년에 트위터에 가입했습니다. 그러다가 트위터를 거의 하지 않기 시작한 2014년, 울프 씨의 신상을 도용한 가짜 계정이 생겨났습니다. 이 가짜 계정은 성인영화 배우나 소셜미디어 유명인, 회고록을 펴낸 사람의 트윗을 부지런히 리트윗했습니다.
동네에 있는 남부 침례교 교회에 열심히 나가며 성실하게 살아온 울프 씨는 도용된 계정 때문에 당혹스럽다고 말합니다.
“가죽끈만 걸친 여성의 사진, 가슴을 나체로 드러낸 사진 같은 내용은 당연히 제 신념, 제 이름, 제가 사는 지역, 제가 몸담은 공동체와 어울리지 않을뿐더러 그 명예에 누를 끼치는 것들이에요.”
피해자 가운데는 트위터를 끊기 전에 자신의 계정이 도용돼 생성된 봇을 데부미가 동원해 악용한 사실을 직접 발견한 이도 있습니다. 콜로라도에 사는 엔지니어 샐 잉글(40) 씨는 나중에 어떤 회사에 지원했을 때 사측에서 자신을 검증한다며 소셜미디어 계정을 확인해볼 텐데 엉뚱하게 도용된 봇 계정이 올린 잘못된 콘텐츠 때문에 오해를 사지는 않을까 걱정된다고 말했습니다.
“최근 구직 활동을 하고 있었는데, 적어도 지금까지 제가 아는 바로는 어떤 회사도 제 신상을 도용한 봇 계정을 저의 원래 트위터 계정으로 오해하지는 않았던 것 같아요. 그나마 정말 다행이죠.”
잉글 씨는 <뉴욕타임스> 취재진이 계정 도용 사실을 알려준 뒤 트위터에 이 사실을 신고했고, 트위터는 봇 계정을 정지했습니다.
취재진은 지난해 데부미의 창업자 칼라스 씨에게 이메일을 보낸 데 이어 올해 아예 홈페이지에 나와 있는 맨하탄의 사무실 주소를 방문해 봤습니다. 해당 건물에는 병원과 노동조합 등 여러 업체, 단체들이 세 들어 있었지만, 데부미와 데부미의 모회사 바이션(Bytion)의 사무실은 건물에 없었습니다. 해당 건물을 관리하는 곳에 문의했더니 데부미와 바이션이라는 이름의 회사가 주소지 건물에 사무실을 임대한 적이 단 한 번도 없다는 답이 돌아왔습니다.
데부미가 파는 팔로워처럼, 업체의 사무실 주소마저 실재하지 않는 유령 같은 것이었습니다.
수수께끼 투성인 저먼 칼라스
데부미의 진짜 영업을 총괄하는 사무실은 맨하탄에서 한참 떨어진 플로리다주 웨스트 팜비치의 한 멕시코 식당 위층에 있는 작은 사무실입니다. 창문으로 보이는 좁은 골목에는 집집이 내놓은 쓰레기통과 주차된 차들이 보이는 이 사무실에서 멀지 않은 곳의 펜트하우스 아파트에 저먼 칼라스가 삽니다.
“새로운 기업을 계속해서 설립하고 경영하는 창업 전문가”
저먼 칼라스가 링크드인 프로필에 자기 자신을 한마디로 표현해놓은 말입니다. 프로필을 보면 칼라스는 MIT에서 석사 학위를 받았고, 테크 업계에 오랫동안 몸담은 경영인입니다. 하지만 이런 칼라스의 이력도 전부 다 사실은 아닙니다. 거짓이 섞여 있습니다.
올해 나이 27살인 저먼 칼라스는 플로리다 남부에서 자랐고, 10대 때 웹디자인을 공부해 지역 업체들의 웹사이트를 만들어주는 일을 했습니다. 그는 자신이 어렸을 때 만들었다는 개인 홈페이지를 인터넷에 올려놨습니다.
그러다 칼라스는 검색 최적화에 관한 공부와 연구에 매진했습니다. 말 그대로 검색 결과 가운데 가능한 한 눈에 잘 띄는 높은 곳에 위치하는 방법을 탐닉한 건데, 고등학교 재학 중에 그는 팜비치 주립대학교 수업을 미리 듣고 2012년에 준학사 학위를 받습니다. 팜비치 주립대학교는 칼라스가 학위를 받았다는 사실을 확인했습니다. 칼라스는 이후 몇 년간 자신이 수십 가지 온라인 사업을 벌여 총 1천만 명이 넘는 고객을 유치했으며, 이때 만든 여러 서비스와 회사들이 지주회사인 바이션의 자회사들이라고 주장합니다.
칼라스 씨는 지난해 구인구직 사이트인 글래스도어에 이렇게 쓰기도 했습니다.
“제가 이 회사를 시작할 때만 해도 제 은행 계좌에서는 1,000달러 정도밖에 없었습니다. 변변한 투자자도 없던 제가 무기로 삼을 만한 것이라고는 성공을 향한 열정밖에 없었습니다.”
칼라스의 야망이 커지면서 자기소개서도 점점 더 화려해집니다. 2014년 인터넷에 올린 이력서를 보면 그는 2000년에 프린스턴에서 물리학으로 학위를 받았다고 주장하기도 했습니다. 2000년이면 그가 열 살 무렵이었을 때입니다. MIT에서 받았다는 학위도 그 이력서에는 컴퓨터공학으로 둔갑해 있었습니다. 두 학교 모두 저먼 칼라스라는 학생이 학교에 다닌 적이 없다고 밝혔습니다. 칼라스는 여전히 링크드인 프로필에 자신이 MIT에서 “국제경영” 학위를 받았다고 써놓았는데, MIT가 수여하는 학위 가운데는 그런 학위가 없습니다.
<뉴욕타임스>의 취재에 응했던 데부미의 전 직원은 데부미 직원들의 이직률이 특히 높았다고 증언했습니다. 저먼 칼라스는 회사 업무를 세세히 쪼개 맡기고 관리하는데, 직원들은 대개 동료 직원들이 우리 회사에서 무슨 일을 하는지 서로 모르는 채 일을 하곤 했습니다. 심지어 같은 프로젝트를 맡아 진행하는 팀에 속하고도 서로의 업무를 잘 모를 때도 있었습니다.
(취재에 응한) 데부미의 전 직원들은 칼라스로부터 소송당할지 모른다며 자신들의 신상을 철저한 가려달라고 요구했습니다. 그들은 칼라스가 세운 회사가 직원을 뽑을 때 상당히 엄격한 영업기밀 준수 서약을 받는다고 말했습니다. 전 직원들의 증언은 글래스도어에 마찬가지로 익명으로 적힌 평가들과 대체로 일치합니다. 바이션에서 일했다는 한 사람은 칼라스 씨가 직원들과 소통하는 데 관심이 없었으며 사측은 직원들의 개인 기기에 감시용 소프트웨어를 설치하려 하기도 했다고 썼습니다.
회사의 기록에 따르면, 데부미의 고객 관리 및 상담 업무나 고객들의 주문을 처리하는 업무를 맡아 하는 직원들 가운데 상당수가 필리핀에 있습니다. 칼라스는 인건비가 싼 외국인들을 고용해 사업에 드는 비용을 낮게 유지했을지 모릅니다. 하지만 어쩌면 값싼 해외 인력에 외주를 맡긴 탓에 칼라스 자신의 계정이 도용되거나 신상정보가 공개될 위험이 커졌는지도 모릅니다.
지난해 8월 칼라스는 필리핀 협력업체의 관리자였던 론왈도 보아도 씨를 고소했습니다. 론왈도 보아도는 앞서 데부미에서 고객지원 업무를 담당하기도 했습니다. 칼라스는 고소장에 같은 팀 동료와 다투고 마찰을 빚은 끝에 데부미에서 해고된 보아도가 데부미의 이메일 계정을 해킹해 데부미가 받은 주문 17만여 건의 정보를 빼돌렸다고 썼습니다. 보아도는 아예 데부미를 베낀 회사를 하나 만들었습니다. (데부미의 소송에 관해서는 앞서 탐사 보도 협회가 그 내용을 자세히 보도하기도 했습니다.)
보아도가 데부미를 베껴 만든 경쟁사는 이름부터 데부미 부스트(DevumiBoost)로 기존 회사와 헷갈릴 만했습니다. 칼라스는 보아도가 만든 회사가 회사 이름뿐 아니라 웹사이트도 원래 데부미 홈페이지를 베꼈다고 주장했습니다. 데부미부스트는 회사 주소마저 맨하탄에 있는 가짜 주소를 그대로 썼습니다. 지난해 7월 내내 보아도 씨는 데부미의 직원인 척 데부미의 고객들 수백 명에게 이메일을 보냈습니다. 기존의 주문을 데부미부스트를 통해 다시 한번 해주셔야 한다는 내용이었습니다. 그러고는 고객의 신상정보를 도용해 데부미 측에 이메일을 보내 기존 주문을 취소하려 하기도 했습니다. (칼라스의 주장을 어떻게 생각하는지 듣고자 보아도에게 이메일을 보냈지만, 답을 받지 못했습니다)
칼라스가 시작한 소송 과정에서 알려진 또 한 가지 재미있는 사실은 데부미가 정작 자기 회사를 홍보하는 데 필요한 봇은 스스로 만들지 않는다는 점입니다. 대신 데부미는 홍보용 소셜미디어 계정을 만들어주는 대표 업체들에 데부미 봇을 주문해 사서 썼습니다.
유령 팔로워가 공급되는 과정
인터넷에서 간단히 검색만 해보면 잘 알려지지 않은 봇 생성 업체들과 데부미 같은 고객 모집 서비스를 이어주는 웹사이트를 쉽게 찾을 수 있습니다. 피케(Peakerr), 칩패널(CheapPanel), 와이티봇(YTbot)처럼 이름만 들으면 어딘가 미심쩍은 업체들은 대개 소위 도소매를 가리지 않고 봇 계정을 만들어 팔아넘깁니다. 개인도 얼마든지 돈만 내면 이들 업체를 통해 직접 팔로워를 사거나 조회수를 높일 수 있습니다. 대신 업체들은 고객들의 편의에는 별 관심이 없는 것 같은데, 예를 들어 신용카드로는 결제할 수 없고, 비트코인 같은 암호화폐로만 돈을 내야 하는 곳도 있습니다.
하지만 각 업체들은 저마다 유수의 소셜미디어 플랫폼상에서 팔로워, ‘좋아요’, 조회수, 공유 횟수 등 다양한 지표를 올려준다고 다양한 언어로 선전하고 있습니다. 이들이 동원하는 가짜 계정은 계속 새로 생성되고 또 바뀝니다. 어쩌면 도용한 계정 하나가 여러 업체를 돌고 돌아가며 재활용되는지도 모릅니다.
데부미에서 일했던 한 직원에 따르면 데부미만 해도 가격이나 품질, 봇 티가 나는 정도 등에 따라 여러 봇 생성 업체로부터 가짜 계정을 공급받습니다. 예를 들어 피케라는 업체에서는 (도용한) 프로필 사진이 있고 영어를 사용하는 양질의 가짜 계정 1천 개를 1달러보다 조금 더 주면 살 수 있습니다. 데부미에서 그 정도 품질의 가짜 계정 1천 개를 사려면 17달러가 듭니다.
회사 기록을 보면 저먼 칼라스가 이렇게 값을 비싸게 받은 덕분에 꽤 많은 돈을 벌 수 있었다는 것을 알 수 있습니다. 불과 몇 년 사이에 데부미는 적어도 고객 3만9천 명에게 총 2억 명의 트위터 팔로워를 팔았습니다. 이 기간에 데부미가 기록한 매출 600만 달러의 1/3 이상을 트위터 팔로워 판매로 올렸습니다.
칼라스는 처음에는 취재진의 문의에 답을 해줬습니다. 지난해 12월만 해도 <뉴욕타임스>가 발견했다는 진짜 계정을 도용한 봇 계정이 도대체 무엇인지 예를 좀 보내달라고 요청하기도 했습니다. 취재진이 그에 따라 계정 10개를 보내주었더니, 앞서 인터뷰를 하겠다고 답했던 칼라스는 이 사례를 분석하는 데 시간이 좀 더 필요하다고 말했습니다. 그 이후로는 취재진의 연락에 아무런 답도 하지 않았습니다.
트위터의 크리스틴 빈스 대변인은 트위터가 먼저 어떤 계정이 다른 계정의 정보를 빼 오는 데 쓰이는지 적극적으로 확인하는 규정은 없다고 말했습니다. 대신 트위터는 자사의 스팸 규정을 어긴 계정을 찾아내 정지하는 데 힘을 쏟고 있습니다. 빈스 대변인은 예를 들어 지난해 12월만 해도 트위터는 도용된 것으로 의심되는 계정을 매주 640만 개꼴로 찾아냈다고 밝혔습니다.
<뉴욕타임스>가 분석 결과 봇으로 분류한 계정은 모두 트위터의 스팸방지 규정을 위반한 것으로 밝혀졌고, 전부 삭제됐다고 빈스 대변인은 말했습니다.
“트위터는 규정을 어긴 것이 확실한 것으로 드러나면 해당 계정을 반드시 정지합니다. 또한, 트위터라는 플랫폼이 스팸 메시지로 도배되지 않도록 필요한 감시와 조처를 게을리하지 않을 계획입니다.”
트위터는 또 <뉴욕타임스>가 기사를 내보낸 뒤 토요일에 데부미가 동원한 것으로 의심되는 봇 계정들을 모조리 정지했습니다.
하지만 트위터는 여전히 봇 생성 업체를 손쉽게 걸러내 이들을 시장에서 몰아낼 수 있는 조치를 취하지 않고 있습니다. 예를 들어 많은 상업용 웹사이트에서는 스팸방지 테스트를 통과해야만 새로운 계정을 생성할 수 있도록 인증 절차를 거쳐야 하는데, 트위터는 이런 인증 절차를 도입하지 않았습니다. 그 결과 트위터는 전체 계정 수에 비해 실제 이용되는 계정의 비율이 특히 낮은데, 수많은 휴면 계정은 봇 생성 업체가 해킹해 도용하기 안성맞춤인 목표물이 됩니다.
트위터에서 일했던 직원들은 트위터의 보안 담당 부서가 인종차별이나 성범죄와 관련 있는 콘텐츠, 혹은 트위터상에서의 집단 괴롭힘처럼 실제 이용자들이 저지르는 잘못을 바로잡고 제재하는 데 훨씬 많은 공을 들였다고 말했습니다. 전 직원들의 말에 따르면 트위터는 지난해 러시아 해커들이 봇을 대량으로 동원해 트위터상에서 논란의 소지가 다분한 콘텐츠나 가짜뉴스를 적극적으로 유포하고 확산했다는 사실이 알려진 뒤에야 비로소 가짜 계정을 적발, 퇴출하는 데 신경을 쓰기 시작했습니다.
2015년 말까지 트위터의 개인정보 보호 부서에서 엔지니어로 일했던 레슬리 마일리 씨는 “소셜 네트워크로서 트위터는 태생적으로 정보보호 기능이 취약할 수밖에 없게 설계됐다.”고 말했습니다.
심지어 봇 계정을 엄격하게 근절하지 않고 적당히 시늉만 하는 게 트위터로서는 사업에 도움이 되는 측면도 있다며 구조적인 문제를 지적하는 사람도 있습니다. 지난 2년간 트위터는 경쟁사인 페이스북이나 스냅챗보다 이용자 수를 늘리는 데 고전했습니다. 게다가 트위터가 실제 사용자라고 밝힌 계정 가운데 상당수가 봇이라는 외부 전문가들의 지적도 끊이지 않습니다.
* 트위터 타임라인의 진화
- 2013년 9월: 트위터 타임라인에 리트윗 버튼이 처음으로 바로 보이기 시작한다. 트위터가 세상에 선보인 지 7년 만의 일이다.
- 2013년 10월: 답장, 리트윗, 좋아요 버튼을 트윗 바로 아래 넣었지만, 다른 사람들이 해당 버튼을 얼마나 많이 누르고 그 트윗이 퍼지는지 숫자로 표시하지는 않았다.
- 2014년 2월: 이제 트위터는 내가 올린 트윗에 다른 사람들이 몇 번이나 답장, 리트윗, 좋아요를 눌렀는지 그 숫자를 표기하기 시작한다.
- 2017년 6월: 이제 그 숫자는 실시간으로 올라간다. 사람들이 얼마나 내 글에 반응하는지 선명하게 보이는 셈이다.
“이 문제는 사실 전혀 규제받지 않고, 생태계 자체가 철저히 폐쇄적이에요. 소셜미디어 플랫폼의 처지에서 보면 적당히 계정이 부풀려지는 게 꼭 나쁠 건 없거든요. 범죄에 악용되는 게 명확하게 드러나면 당연히 업체들도 규제를 하겠지만, 분명한 건 어쨌든 서비스가 꾸준히 이용되는 것처럼 보여야 업체들도 돈을 버니까요.”
사이버 보안 전문가 라미 에사이드는 말합니다.
지난 1월, 제시카 리슐리 씨의 도용된 계정은 거의 2년간 데부미의 고객을 마구잡이로 팔로우하고, 내용을 가리지 않고 이상한 트윗을 버젓이 끊임없이 리트윗한 끝에 마침내 트위터의 보안 알고리듬에 적발돼 제재 심사를 거쳤고, 최근 들어 계정이 정지됐습니다.
제시카 리슐리 씨는 안 그래도 이제 트위터를 영영 끊을 셈이었습니다.
“아마 저 스스로 곧 트위터 계정을 삭제하고 탈퇴하지 않을까 싶습니다.”
(뉴욕타임스)