세계 최대 성인용 사이트 폰허브(Pornhub)에서 유료 회원의 개인 정보와 시청 기록이 유출된 것으로 알려지며 파장이 커지고 있다. 해커 조직은 이용 기록을 인질로 비트코인을 요구했고, 폰허브는 “외부 분석업체 저장 데이터에 대한 무단 접근”이라고 해명했다.
이번 사고가 ‘본사 서버가 아니라 제3자 분석업체를 통해 새나갔다’는 설명대로라면, 기업이 내부 보안을 아무리 강화해도 외부 파트너의 데이터 경로 하나로 민감한 사생활이 노출될 수 있다는 ‘공급망 리스크’가 다시 부각된 셈이다.
16일(현지 시간) 사이버 보안 전문 매체 블리핑컴퓨터 보도에 따르면 해커 그룹 ‘샤이니헌터스(ShinyHunters)’는 폰허브 프리미엄 회원의 검색 및 시청 기록이 담긴 약 94GB 분량의 데이터를 확보했다고 주장했다. 해커 측은 폰허브에 “데이터 공개를 막고 이를 삭제하는 대가로 비트코인을 보내라”는 협박 메시지를 전달한 것으로 전해졌다.
● 시청·검색 기록과 위치 정보까지…“극도로 민감한 데이터”
유출된 데이터는 2억 건이 넘는 민감한 사생활 기록으로 전해졌다. 이메일 주소와 접속 위치 같은 기본 정보뿐 아니라 어떤 영상을 시청·다운로드했는지, 어떤 검색어를 입력했는지, 언제 얼마나 시청했는지 등 이용자의 활동 이력이 포함됐다는 점에서 충격이 크다.
해커 측은 자신들의 주장에 신빙성을 더하기 위해 프리미엄 회원 14명의 데이터를 샘플로 공개했다. 일부 데이터는 실제 기록과 맞아떨어진다는 이야기까지 나오면서 온라인에서는 “가장 민감한 기록이 표적이 됐다”는 불안이 확산됐다.
● “외부 업체가 뚫렸다” vs “우리 책임 아니다”…유출 경로 공방
폰허브는 이번 사안의 출발점으로 제3자인 ‘믹스패널(Mixpanel)’을 지목했다. 폰허브가 이용자 데이터 분석을 위해 협업한 데이터 분석 업체다. 이 업체가 스미싱(smishing) 공격을 받으며 내부 시스템이 침해됐고 그 여파가 폰허브 관련 데이터로 이어졌다는 취지다.
폰허브는 성명을 통해 “믹스패널에 저장된 분석 데이터에 무단 접근이 있었던 것은 사실”이라면서 “폰허브 자체 시스템이 뚫린 것은 아니며, 비밀번호나 결제 정보 등 핵심 데이터는 안전하다”고 해명했다. 다만 “2021년 이후 해당 업체와 협력하지 않았기 때문에 유출된 데이터는 과거 기록일 것”이라고 덧붙였다.
반면 믹스패널은 “이번 유출이 자사의 최근 보안 사고 때문이라는 증거가 없다”고 반박했다. 또 “해당 데이터는 2023년 폰허브 모회사의 정상적인 직원 계정을 통해 마지막으로 접속된 것”이라며 유출 경로에 의문을 제기했다. 다만 실제 유출 범위와 경로는 추가 확인이 필요한 상황이다.
● 올해만 수백 개 기업 해킹…‘디지털 협박’ 주의보
이번 사건은 랜섬웨어처럼 시스템을 마비시키는 방식이 아니라, ‘유출 사실 자체’를 협박 수단으로 삼는 전형적인 디지털 협박 모델이라는 점에서도 주목된다.
특히 유출된 데이터가 성인 사이트 이용 기록인 점을 빌미로 금전 요구·협박 등 2차 피해로 이어질 가능성이 크다는 우려가 나온다. 온라인에서는 “소송에 나서기 어렵다”는 자조 섞인 반응과 함께 “안전하다고 믿었던 기록이 가장 취약했다”는 비판도 이어졌다.
폰허브는 현재 내부 조사와 함께 수사 당국에 해당 사실을 통보한 상태다. 폰허브 관계자는 “조사가 진행되는 동안 사용자는 의심스러운 이메일을 주의하고, 자신의 계정에 이상 활동이 없는지 면밀히 확인해달라”고 당부했다.
김영호 기자 rladudgh2349@donga.com
