시큐리티팩트

[시큐리티팩트=최석윤 기자] 성인 사이트 폰허브(PornHub)의 데이터 유출 소식이 전 세계를 달구고 있는 가운데, 이번 해킹의 불길이 음원 플랫폼과 인공지능(AI) 업계로까지 번진 것으로 확인됐다. 단순한 성인 사이트의 보안 사고를 넘어, 글로벌 IT 생태계 전체를 뒤흔드는 ‘연쇄 보안 파열’ 양상이다.

18일(현지 시각) 외신 보도에 따르면, 데이터 분석 기업 '믹스패널(Mixpanel)'을 겨냥한 공격의 여파가 사운드클라우드와 OpenAI까지 덮쳤다. 이들은 폰허브와 마찬가지로 믹스패널의 분석 솔루션을 사용해오다 정보가 유출되는 피해를 입었다.

피해 규모는 압도적이다. 사운드클라우드는 전체 사용자의 약 20%에 해당하는 4000만 명의 이메일 주소와 공개 프로필 정보가 노출됐다고 시인했다. 해킹 대응 과정에서 디도스(DDoS) 공격까지 발생했다. 이로 인해 한때 웹 서비스가 마비되는 혼란을 겪기도 했다.

OpenAI 역시 피해를 피하지 못했다. 이들은 자사 API 사용자의 이름, 이메일, 접속 위치, 운영체제 등 기술 정보가 담긴 데이터셋이 유출됐음을 확인했다. 챗봇 대화 내용은 안전하다는 게 사측 설명이다. 하지만 개발자들의 기술 정보가 대량 유출됐다는 점은 뼈아픈 대목이다.

시청 기록 인질 잡은 해커… '제2의 애슐리 매디슨' 공포

폰허브의 상황은 더욱 극단적이다. 해커 그룹 '샤이니헌터스'는 폰허브 프리미엄 회원 2억 건의 활동 기록을 확보했다고 주장한다. 여기에는 단순 신상정보를 넘어 어떤 영상을 언제, 얼마나 시청했는지에 대한 내밀한 기록이 포함됐다.

해커는 당당하다. 이들은 탈취한 데이터를 빌미로 비트코인을 요구하며 폰허브를 압박하고 있다. 요구에 응하지 않을 경우 사용자들의 시청 습관을 공개하겠다는 협박이다. 보안 업계는 이번 사건이 2015년 불륜 조장 사이트 '애슐리 매디슨' 사태의 재판이 될까 우려하고 있다. 당시 개인의 은밀한 사생활이 폭로되면서 이혼과 자살 등 심각한 사회적 비극이 잇따랐다.

'스미싱' 한 번에 무너진 글로벌 보안망

이번 연쇄 해킹의 시작점은 믹스패널 직원을 겨냥한 단순한 '스미싱(SMS 피싱)' 공격이었다. 공격자가 직원 계정을 탈취해 내부 시스템에 접근하자, 믹스패널을 이용하던 기업들의 데이터가 도미노처럼 무너졌다.

전형적인 '공급망 공격'이다. 기업 스스로의 보안이 아무리 철저해도, 협력업체의 작은 틈 하나가 전체를 무너뜨릴 수 있다는 사실이 다시 한번 입증됐다. 폰허브와 OpenAI는 즉각 믹스패널 서비스를 중단했다. 하지만 이미 노출된 데이터의 회수는 사실상 불가능한 상태다.

정보 유출 대응 위한 긴급 보안 수칙

자신의 정보가 포함됐을지 모른다는 불안감이 확산되고 있다. 피해를 최소화하기 위해 다음 수칙을 즉시 이행해야 한다.

△ 비밀번호 즉시 변경: 유출된 서비스와 같은 비밀번호를 쓰는 모든 사이트의 암호를 교체하라. 12자 이상의 복잡한 조합이 필수다.

△ 2단계 인증(MFA) 활성화: 비밀번호가 뚫려도 로그인을 막는 최후의 보루다. SMS보다는 OTP 앱을 사용하는 것이 안전하다.

△ 2차 피싱 메일 경계: "보안 확인을 위해 링크를 누르라"는 식의 가짜 메일을 주의하라. 모든 메일 링크는 의심부터 해야 한다.

△ 계정 탈퇴 및 이메일 변경: 폰허브 등 민감한 정보가 담긴 계정은 아예 삭제하거나 연결된 이메일 주소를 변경하는 것이 현명하다.