폰허브, 제3자 업체 해킹으로 이용자 정보 대규모 유출
오픈AI도 동일 업체發 보안 사고 노출, API 플랫폼 타격
허술한 '공급망 보안', APT 공격 시발점 될 가능성 있어

해외 성인용 사이트 폰허브(Pornhub)에서 유료 회원의 개인 데이터와 상세 시청 기록이 대규모로 유출되는 사고가 발생했다. 해커들은 폰허브를 직접 공격하는 대신 폰허브가 과거 사용했던 제3자 트래픽 분석 업체의 보안망을 뚫고 데이터를 탈취한 것으로 확인됐다. 영향력 있는 기업들의 파트너사발(發) 정보 유출 피해 사례가 꾸준히 누적되는 가운데, 시장에서는 미비한 공급망 보안이 지능형 지속 공격(APT) 등의 단초가 될 수 있다는 우려가 나온다.

폰허브 유료 회원 2억 명 정보 유출

16일(이하 현지시각) 데일리메일 등 외신은 폰허브가 2억 명 이상의 유료 회원에게 보안 침해 사실을 통보했다고 보도했다. 이번 사건은 폰허브가 이용자 분석을 위해 사용했던 제3자 업체 믹스패널(Mixpanel)의 시스템이 해킹당하며 시작됐다. 해커들은 이 플랫폼에 저장된 데이터에 접근해 폰허브 유료 회원들의 이메일 주소, 위치 정보, 시청한 영상 제목, 검색 키워드, 접속 시간 등 세부적인 활동 기록을 탈취했다. 해커 측은 확보한 데이터 약 94기가바이트(GB)에 2억 건 이상의 개별 기록이 포함돼 있다고 주장, 삭제 대가로 비트코인 등 금전을 요구한 것으로 알려졌다.

폰허브 측은 공식 성명을 통해 "최근 제3자 데이터 분석 서비스 제공업체인 믹스패널에 저장된 분석 데이터에 승인되지 않은 당사자가 무단으로 접근했다는 사실을 알게 됐다"며 "무단 접근을 통해 일부 사용자의 제한된 분석 이벤트 세트를 추출할 수 있었다"고 전했다. 아울러 폰허브는 이번 사고가 자사 내부 시스템의 직접적인 침해가 아니라는 점을 강조했다. 비밀번호나 로그인 정보, 결제 정보, 신분증 등 민감한 핵심 계정 정보는 유출되지 않았으며, 해당 계정을 안전하게 조치하고 무단 접근을 차단했다는 설명이다. 또한 2023년 이후 믹스패널과 협업하지 않았기 때문에 유출된 기록은 2023년 이전의 과거 데이터일 가능성이 크다고 부연했다.

이번 공격의 배후로는 유명 해커그룹인 샤이니헌터스(ShinyHunters)가 지목됐다. 이들은 과거에도 여러 글로벌 기업을 상대로 데이터 유출 협박을 일삼은 전력이 있다. 폰허브는 현재 내부 조사와 함께 당국에 해당 사실을 알린 상태다. 회사 측은 공식 성명을 통해 "조사가 진행되는 동안 모든 사용자는 의심스러운 이메일이나 이상 활동이 있는지 계정을 모니터링하며 경계를 늦추지 않기를 권장한다"고 당부하며 피싱 공격에 대한 주의를 촉구했다.

오픈AI 정보도 파트너사에서 새어 나가

믹스패널발(發) 보안 사고 피해에 휘말린 기업은 폰허브뿐만이 아니다. 지난달 27일 오픈AI는 공식 블로그에서 “API 플랫폼의 웹 분석을 위해 사용하던 외부 협력사 믹스패널에서 보안 침해 사고가 발생했다”며 “이로 인해 일부 API 사용자 계정 정보가 유출된 정황을 확인했다”고 공지했다. 믹스패널은 같은 달 9일 자사 시스템 침해를 확인하고, 조사를 거쳐 25일 피해 규모가 담긴 데이터셋을 오픈AI에 공유한 것으로 전해졌다.

믹스패널에 따르면 침해 사고는 문자 메시지를 악용한 스미싱 형태의 피싱 공격에서 비롯됐다. 공격자는 내부 계정 가운데 하나를 속여 로그인 정보를 탈취한 뒤, 이 계정으로 더 넓은 권한을 확보해 데이터셋을 추출한 것으로 알려졌다. 유출된 정보는 오픈AI API 플랫폼(platform.openai.com) 이용자의 △이름 △이메일 주소 △대략적 위치 정보(국가, 도시 등) △접속에 사용한 브라우저 및 운영 체제 정보 △유입 경로 웹사이트 △계정 관련 조직 및 사용자 ID 등이다. API는 외부 개발자가 자사 소프트웨어나 서비스를 사용할 수 있도록 지원하는 인터페이스다.

오픈AI는 챗GPT의 사용자 대화 로그(Chat logs)나 API 요청 내용, 비밀번호, API 인증키, 결제 정보, 신분증 등 민감 데이터는 이번 유출에 포함되지 않았다고 설명했으며, 보안 조사의 일환으로 모든 서비스에서 믹스패널 연동을 즉시 중단했다. 오픈AI 측은 “외부 공급 업체에도 최고 수준의 보안 기준을 적용해 책임을 묻겠다”며 “이번 사건을 계기로 믹스패널 사용을 영구 중단하고 보안 체계를 재점검하겠다”고 밝혔다.

'후폭풍' 경고등

볼보 역시 유사한 사고를 겪었다. 지난 9월 볼보 북미법인은 인사관리 소프트웨어를 제공하는 스웨덴 기업 밀요르데이터(Miljödata)가 랜섬웨어 공격을 당하면서 볼보 직원들의 이름과 사회보장번호(SSN) 등 개인정보가 유출됐다고 미국 매사추세츠주 검찰에 신고했다. 볼보 측이 피해 당사자들에게 보낸 통지에 따르면 침해 사고는 8월 20일 벌어졌으며, 밀요르데이터는 23일 이를 인지했다. 볼보 직원 정보는 9월 2일 유출된 것으로 추정되며, 볼보가 밀요르데이터에게 통보를 받은 것은 그 이후였다. 이 공격으로 볼보 외에도 스칸디나비아 지역 항공사 SAS, 금속 가공 기업 볼리덴 등 25개 기업과 100개 이상의 스웨덴 지방 정부 기관이 피해를 입었다.

해커들이 기업과 데이터를 공유하는 파트너사를 통해 핵심 기업 시스템에 접근하는 사례가 급증한 가운데, 시장은 이 같은 방식으로 유출된 정보가 향후 특정한 대상을 노려 취약점을 찾는 APT 공격의 재료로 활용될 수 있다고 우려한다. 공격자들이 확보한 메타데이터를 스피어피싱(특정 개인 또는 회사를 표적으로 삼는 고도의 맞춤 사이버 공격) 이메일·메시지를 작성하는 데 활용하거나, 탈취한 정보를 기반으로 보다 민감한 데이터에 접근하려고 시도할 수 있다는 지적이다.

APT 공격을 감행하는 해커들은 표적으로 삼은 기업, 기관 등의 네트워크에 은밀하게 침투해 잠복하면서 기밀 정보를 유출하는 식으로 공격 목표를 달성한다. 공격은 일회성에 그치지 않고 장기간에 걸쳐 이뤄지며, 활용되는 악성 코드나 공격 루트 역시 다양하다. 최근 APT 공격 사례를 살펴보면 해커들은 리버스 쉘(Reverse Shell), 백도어, VNC(Virtual Network Computing) 악성코드, 원격 화면 제어를 위한 RDP(Remote Desktop Protocol) 등을 사용했다. 개인 사용자를 대상으로 공격을 감행할 때는 악성코드를 메일에 첨부하거나, IIS와 같은 웹 호스팅 서버, 전자 우편 발송에 사용되는 MS 익스체인지 서버를 공격해 악성코드를 설치하는 방법이 흔히 쓰인다. 향후 생성형 인공지능(AI) 기술을 기반으로 스피어피싱과 해킹 공격이 정교화할 시, 이 같은 APT 공격의 위험성은 한층 가중될 것으로 전망된다.