세계 최대 성인 콘텐츠 플랫폼인 폰허브(Pornhub)에서 2억 명 이상의 프리미엄 회원 정보가 대량 유출되는 심각한 보안 사고가 발생했습니다.
해커들이 유료 회원들의 개인정보와 시청 기록을 탈취한 뒤 비트코인(BTC) 등 암호화폐로 금전을 요구하고 나선 것으로 확인됐습니다.
지난 16일(현지 시간) 데일리메일 보도에 따르면, 폰허브는 2억 명 이상의 유료 회원들에게 보안 침해 사실을 공식 통지했습니다. 이번 사건은 폰허브가 과거 이용했던 제삼자 데이터 분석업체인 믹스패널(Mixpanel) 시스템의 취약점을 악용해 발생한 것으로 파악됩니다.
사이버 범죄자들은 믹스패널의 분석 플랫폼에 무단 접근해 프리미엄 회원들의 이메일 주소, 위치 정보, 검색 키워드, 시청 및 다운로드 기록, 접속 시간 등 상세한 이용 패턴을 빼냈습니다.
해커 측은 탈취한 데이터가 약 94GB 용량에 2억 건 이상의 개별 기록이라고 주장하고 있습니다.
폰허브 측은 공식 성명을 통해 "이번 사고는 자사 시스템 직접 침해가 아닌 믹스패널에서의 데이터 접근 사건"이라며 "비밀번호, 로그인 정보, 결제 정보, 신분증 등 핵심 계정 정보는 유출되지 않았다"고 해명했습니다. 또한 믹스패널과의 협력 관계가 2021년에 종료됐기 때문에 유출된 기록 대부분은 과거 데이터일 가능성이 높다고 설명했습니다.
해커 그룹은 확보한 데이터를 공개하지 않는 조건으로 폰허브 측에 금전적 대가를 요구한 것으로 알려졌습니다.
이 해커 그룹은 지난 수년간 여러 기업과 플랫폼을 대상으로 데이터 유출 협박을 벌여온 전력이 있는 것으로 파악됩니다.
성인 서비스 관련 대규모 데이터 유출 사건은 이번이 처음이 아닙니다. 2015년에는 불륜 중개 사이트 애슐리 매디슨(Ashley Madison)에서 사용자 정보가 대량 유출되면서 개인 활동 정보가 공개돼 사회적 논란을 불러일으킨 바 있습니다.
보안 전문가들은 일반적인 비밀번호 유출과 달리 사용자의 검색 및 시청 기록 같은 행동 데이터는 사회적 평판과 프라이버시에 치명적인 위험을 초래할 수 있다고 경고하고 있습니다. 이러한 정보는 심각한 평판 손상과 사회적 낙인으로 이어질 가능성이 크기 때문입니다.
이번 사건은 단순한 개인정보 유출을 넘어 제삼자 서비스와 공급망 전체의 보안 취약성을 드러내는 사례로 평가됩니다.
전문가들은 다양한 클라우드 및 분석 도구와 연동되는 현대 시스템의 복잡성을 고려할 때 기존 보안 대책만으로는 완전한 방어가 어렵다고 지적하고 있습니다.