“포르노허브도 당했다” 프리미엄 회원 시청·검색 기록 유출 가능성 제기

포르노허브 프리미엄 회원이라면 “제한된 범위의 분석 이벤트”로 설명된 데이터 유출 안내에 더 주의를 기울일 필요가 있다. “제한된 범위의 분석 이벤트”라는 표현은 핵심을 가리고 있다. 해커가 시청 및 검색 기록을 확보했을 가능성이 제기됐고, 유출된 데이터의 공개 여부는 포르노허브가 요구된 몸값을 지급하는지에 달렸다는 관측이 나왔다.

블리핑컴퓨터(BleepingComputer)의 보도에 따르면, 포르노허브는 서드파티 분석 협력업체인 믹스패널(Mixpanel)을 겨냥한 스미싱(문자메시지 피싱) 공격을 통해 침해가 발생했다고 밝혔다. 이번 해킹은 11월 8일에 발생했으며, 초기에는 오픈AI와 코인트래커(CoinTracker)에서 발생한 데이터 유출과도 관련이 있었다. 포르노허브는 일부 사용자만 영향을 받았고 비밀번호, 결제 정보, 금융 정보, 정부 발급 신분증 정보는 탈취되지 않았다고 밝혔다. 또한, 믹스패널과의 제휴가 2021년에 종료됐다고도 밝혔다.

믹스패널은 블리핑컴퓨터에 “데이터는 2023년 포르노허브 모기업의 정상적인 직원 계정으로 마지막 접근이 이뤄졌다. 승인되지 않은 주체가 이 데이터를 보유하고 있다면, 믹스패널의 보안 사고 결과라고는 보지 않는다”라고 전했다.

포르노허브의 초기 안내 이후 랜섬웨어 조직 샤이니헌터스(ShinyHunters)가 해킹을 자신들의 소행이라고 공개적으로 주장했다. 샤이니헌터스는 영향을 받은 기업에 이메일을 보내 몸값을 요구했고, 몸값을 지급하지 않으면 데이터를 공개하겠다고 위협한 것으로 전해졌다. 포르노허브의 해킹 사고는 데이터가 유포될 경우 사용자에게 특히 큰 피해가 날 수 있는데, 유출된 94GB의 데이터에는 포르노허브 프리미엄 구독자 2억 명 이상에 대한 검색 및 시청, 다운로드 기록을 포함되어 있다.

블리핑컴퓨터는 이메일 주소, 활동 유형, 위치, 영상 링크, 영상 이름, 영상과 연관된 키워드, 사용자 활동 시점이 담긴 데이터 샘플을 확인했다고 밝혔다. 또한, 활동 유형으로 구독자가 영상을 시청했는지, 다운로드했는지, 채널을 조회했는지만 확인했다고 전했다. 블리핑컴퓨터는 검색 기록이 유출된 데이터에 포함됐는지는 아직 확인되지 않았다고 덧붙였다.

그렇다면 장기 구독자나 과거 포르노허브 프리미엄 구독자에게 이번 사건은 어떤 의미일까? 우선 패닉에 빠질 필요는 없다. 심각한 프라이버시 침해 사고가 될 수 있지만, 개인이 극단적인 행동에 나설 사안은 아니다. 대신 다음과 같은 대비가 필요하다.

갈취. 포르노허브와 샤이니헌터스가 몸값 지급 문제로 합의하지 못해 정보가 더 넓은 다크웹으로 퍼질 경우, 이후 유출된 데이터를 이용한 금품 갈취 시도 위험이 커질 수 있다. 몸값을 한 번이라도 지급하면 추가 요구나 더 큰 금액 요구로 이어질 수 있으므로 주의해야 한다. 가족이나 직장에 사실을 직접 알릴지 여부와 대응 방식, 혹은 공개가 어려울 때 후폭풍을 줄이는 방법을 미리 준비할 필요가 있다.

사기. 사기범은 AI 도구를 활용해 맞춤형 캠페인을 만들면서 피해자 접근 방식이 더 정교해졌다. 포르노허브 데이터가 유출되면 취향과 맞아떨어지는 메시지나 초대에 특히 경계가 필요하다. 연애 사기 같은 수법에 걸려들 가능성도 제기된다.

이메일 주소 숨기기. 자신의 계정에 이메일 마스킹을 적용하는 방안을 검토할 필요가 있다. 이메일 마스킹은 실제 이메일 주소를 숨긴 채 메시지를 기존 받은편지함으로 전달해 공격자나 구경꾼이 신원을 바로 특정하거나 프로필을 구축해 사기나 갈취에 악용하는 것을 어렵게 만든다. 무료로 시험 적용할 수 있는 서비스도 있다.

데이터 유출은 앞으로도 계속될 가능성이 크다. 구매나 시청, 이용 내역이 알려지는 것을 꺼리는 사람이라면 기업이 정보를 안전하게 지켜줄 것이라는 전제를 내려놓는 편이 현실적이다. 웹사이트에 제공한 어떤 정보든 본인 책임과 무관하게 공개될 수 있다는 가정 아래 대비책을 마련해야 한다.

dl-itworldkorea@foundryco.com

Alaina Yee editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지