● 단순 클릭부터 계정 로그인까지 정교해지는 봇 기술
● 400만 원대 나이키 전용 봇 인기, 로그인부터 결제까지 ‘3초’
● “기업들 봇 차단 시스템 구축에 적극 나서야”
그런데 이날 오후 운동화 정보 커뮤니티에는 “접속 10여 분이 지나도록 온라인 사이트 화면에 제품 사진이 뜨지 않았다” “‘스니커 봇’을 쓰는 전문 리셀러(Reseller·재판매 전문가)들이 이번에도 대량 매집한 것으로 의심된다”는 내용의 글이 수십 건 올라왔다. 정가 12만9000원짜리 운동화는 중고거래 사이트와 온라인 사이트에서 30만~40만 원대에 거래되고 있다.
스니커 봇(Bot)은 사용자가 입력한 특정 명령을 수행해 운동화를 대량 구매하는 자동 프로그램으로, 로그인과 상품 선택, 결제 방식, 로그아웃 등 각 단계에 따른 명령을 자동으로 한 번에 처리해 입력 시간을 크게 단축시킨다. 여기엔 특정 명령을 자동 반복 입력하는 매크로 프로그램이 포함돼 있어 하나하나 마우스를 움직여 구매하는 일반인과는 비교가 안 될 정도로 빠르게, 그것도 대량으로 제품을 선점할 수 있다. 2018년 정치권에서 논란이 된 ‘드루킹 댓글 공작 사건’에도 공감·비공감을 허위로 반복 입력하는 매크로의 일종인 ‘킹크랩’ 프로그램이 사용됐다.
이번 사건은 운동화 마니아들의 반발을 일으키고 있다. 운동화 수집가 김정혁(29) 씨는 “그동안 봇을 이용해 암암리에 한정판 운동화를 구매하는 사례가 많았고, 그로 인해 구매 기회를 박탈당한 사람들이 적지 않다. 업체들에 아무리 문제 제기를 해도 개선되지 않다 결국 이 사달이 벌어진 것”이라며 “봇 이용을 금지하지 않고서는 개선되기 힘든 일”이라고 말했다.
반면 일부 운동화 마니아와 리셀러는 “정당한 대가를 지불하고 구입한 봇 사용이 왜 문제가 되느냐”는 반응이다. 5년차 리셀러 A씨는 “자유시장경제 체제에서 소비자가 원하는 걸 갖기 위해 필요한 수단을 확보한 것 뿐”이라고 말했다.
봇은 운동화 시장뿐 아니라 공연 티켓 예매, 대학 수강신청, 열차 승차권 예매 등 온라인에서 이뤄지는 선착순 시스템 전반에 걸쳐 쓰이고 있다. 최근엔 봇 차단용 식별 장치를 우회할 수 있는 기술도 개발됐다. 일부 업체들이 온라인 사이트에 각종 봇 차단 조치를 동원해도 봇 공격에 번번이 뚫리는 이유다.
특정 온라인 사이트 메커니즘을 분석해 최적화한 스니커 봇만 전문적으로 제작해 판매하는 업자까지 등장했다. 그중 운동화 브랜드 나이키, 슈프림 전용 봇이 특히 반응이 좋다. 한 판매자가 지난해 10월 내놓은 슈프림 전용 봇의 가격은 483만 원에 달한다. 이 판매자는 “로그인부터 결제 방식까지 전 단계를 수행하는데 걸리는 시간이 ‘3초’에 불과하다. 봇을 걸러내는 웹사이트를 속이는 기술도 정교하다. 인간 행동 패턴을 분석한 데이터를 바탕으로 결제카드 정보를 자동 입력하는 한편, 로그아웃 시간을 자동 연장하는 방식으로 봇 차단용 식별 프로그램을 우회한다”고 설명했다. 여기에 일부 이용자들은 대용량 서버와 프록시(proxy·컴퓨터가 다운됐을 때 복구될 때까지 그 기능을 대신하는 시스템)까지 동원해 수많은 명령을 더 빠르게 처리하는 방식으로 한정판 운동화를 확보하고 있다.
실제 스니커 봇 성능은 어느 정도일까. 기자는 디스코드를 통해 나이키 전용 봇 판매자와 접촉했다. 이 판매자는 “현직 프로그램 개발자가 제작했고, 지난해 2월 처음 선보였다”며 구매 가격으로 310만 원을 제시했다. 그는 “이 봇을 사용하는 사람들이 적게는 4~5족, 많게는 50족을 구매한다고 한다”며 사용법을 찍은 영상을 보내줬다. 영상 속에 한 사용자는 온라인 선착순 판매 직전 해당 봇을 작동해 결제시스템 홈페이지와 나이키코리아 홈페이지를 각각 로그인한 후 한정판 제품 사이즈를 골라 결제 방식과 제품 받을 주소를 입력했다. 온라인 선착순 판매 시간에 맞춰 봇을 작동하자 아까 입력한 전 단계가 6초 내로 이뤄졌다.
스니커 봇 기술이 나날이 정교해지면서 비용 부담도 커지고 있다. 앞서의 5년차 리셀러 A씨는 “보통 2~3개 봇을 사용하는데, 봇 하나당 가격이 300만 원 내외다. 1000만 원에 달하는 돈을 지불하는 셈이지만 전혀 아깝지 않다”고 말했다. 인기 브랜드 한정판 운동화 10족만 확보해도 수천만 원의 이익을 기대할 수 있기 때문이다. A씨는 “운동화 브랜드 ‘아디다스’ 이지부스트 제품 하나를 30만 원 정가에 구매해 리셀 시장에서 240만 원에 팔았다”고 부연했다.
현행법상 봇이나 매크로 이용 행위 자체는 위법이 아니지만 이로 인해 사업주가 피해를 볼 땐 업무방해죄 등으로 처벌할 수 있다. 다만 사업자가 봇 사용으로 인해 온라인 사이트에 장애가 초래되거나 특정 정보가 유출되는 등 피해를 입증하지 못하면 법적 조치는 쉽지 않다. 업계 관계자는 “봇을 이용한 사재기로 매번 구매 기회를 놓치는 고객이 늘어나는 만큼 ‘1인 1족 구매’ 규정을 두고 있지만, 수십 개 계정을 동원해 봇을 사용하는 경우가 적지 않다”며 “이 같은 행위가 폭리를 취해 국가경제에 큰 부담을 주거나 온라인 사이트의 영업을 방해했다고 보기는 어려운 측면이 있어 사실상 법적 처벌도 쉽지 않은 상황”이라고 털어놓았다.
일각에선 “봇을 이용한 사재기는 매점매석 행위와 다를 바 없다“며 정부의 단속 필요성을 강조한다. 매점매석이란 폭리를 목적으로 재화를 대거 사들이거나 판매를 기피하는 행위를 의미한다. ‘물가안정에 관한 법률’ 제7조에 따라 기획재정부 장관이 매점매석 행위 금지 품목을 지정할 수 있다. 다만 현재 지정된 매점매석 금지 품목은 약사법상 규정된 마스크와 손소독제뿐이라 봇을 이용한 사재기를 금지하는 건 쉽지 않아 보인다.
정태명 성균관대 소프트웨어학과 교수는 “봇을 이용한 대량 구매는 기술이 발전하면서 나타나는 새로운 구매 형태로 볼 수 있다”며 “기업들이 봇 공격을 차단하는 온라인시스템을 적극적으로 구축해야 한다”고 말했다.
김건희 객원기자 kkh4792@donga.com
▶ 네이버에서 [신동아] 채널 구독하기
▶ 신동아 최신호 보기 / 정기구독 신청하기