해외 성인용 사이트 폰허브(Pornhub)에서 유료 회원의 개인 데이터와 상세 시청 기록이 대규모로 유출되는 사고가 발생했다. 해커 그룹은 2억개가 넘는 프리미엄 계정 정보를 확보했다고 주장하며 비트코인 등을 요구하는 금전 협박에 나섰다.
16일(현지 시각) 데일리메일 등 외신은 폰허브가 2억명 이상의 유료 회원에게 보안 침해 사실을 통보했다고 보도했다. 이번 사건은 폰허브가 이용자 분석을 위해 사용했던 제3자 업체인 '믹스패널(Mixpanel)'의 시스템이 해킹당하며 시작됐다.
해커들은 이 플랫폼에 저장된 데이터에 접근해 유료 회원들의 이메일 주소, 위치 정보, 시청한 영상 제목, 검색 키워드, 접속 시간 등 세부적인 활동 기록을 탈취했다. 해커 측은 탈취한 데이터가 약 94GB 분량이며 2억건 이상의 개별 기록이 포함되어 있다고 주장했다.
폰허브 측은 공식 성명을 통해 "최근 제3자 데이터 분석 서비스 제공업체인 믹스패널에 저장된 분석 데이터에 승인되지 않은 당사자가 무단으로 접근했다는 사실을 알게 됐다"며 "무단 접근을 통해 일부 사용자의 제한된 분석 이벤트 세트를 추출할 수 있었다"고 밝혔다.
다만 폰허브는 이번 사고가 자사 내부 시스템의 직접적인 침해가 아니라는 점을 강조했다. 비밀번호나 로그인 정보, 결제 정보, 신분증 등 민감한 핵심 계정 정보는 유출되지 않았으며, 해당 계정을 안전하게 조치하고 무단 접근을 차단했다고 덧붙였다. 또한 2023년 이후 믹스패널과 협업하지 않았기 때문에 유출된 기록은 2023년 이전의 과거 데이터일 가능성이 크다고 설명했다.
이번 공격의 배후로는 유명 해커 그룹인 '샤이니헌터스(ShinyHunters)'가 지목됐다. 이들은 과거에도 여러 글로벌 기업을 상대로 데이터 유출 협박을 일삼은 전력이 있다. 믹스패널의 CEO 젠 테일러는 "무단 접근을 차단하고 영향을 받은 사용자 계정을 보호하기 위해 포괄적인 조치를 취했다"며 "사건 대응을 위해 외부 사이버 보안 파트너들과 협력 중"이라고 했다.
폰허브는 현재 내부 조사와 함께 당국에 해당 사실을 알린 상태다. 회사 측은 공식 성명을 통해 "조사가 진행되는 동안 모든 사용자는 의심스러운 이메일이나 이상 활동이 있는지 계정을 모니터링하며 경계를 늦추지 않기를 권장한다"고 당부하며 피싱 공격에 대한 주의를 촉구했다.