19금 pwnable 사이트 이용자 정보 2억건 유출. 어디서 언제 무슨 영상을 봤는지?

pwnable에서 정확히 어떤 정보가 2억 건이나 빠져나갔을까

pwnable 프리미엄 회원의 과거 검색·시청·다운로드 기록이 통째로 유출됐습니다. 이메일 주소, 대략적인 위치 정보, 동영상 제목과 URL, 검색 키워드, 시청·다운로드 타임스탬프까지 포함됐어요.

예를 들어 “2025년 3월 12일 오후 9시 47분에 A라는 제목의 영상을 14분 동안 시청했다”는 식의 상세 로그가 그대로 빠져나간 거죠. 일반적인 개인정보 유출과 달리 행동 패턴까지 드러난다는 점이 가장 큰 차이점입니다.

일반 쇼핑몰이라면 장바구니 기록 정도지만, pwnable처럼 민감한 콘텐츠를 다루는 사이트에서는 이 기록 하나만으로도 특정인을 충분히 식별할 수 있어요. 숫자로만 보면 2억 건이라는 규모도 크지만, 어떤 항목이 유출됐는지가 더 중요하다는 걸 이번 사건으로 다시 확인하게 됐습니다.

해킹이 아니라고? 믹스패널을 통해 흘러간 경로

pwnable 측은 “우리 시스템이 직접 해킹당한 건 아니다”라고 밝혔습니다. 대신 데이터 분석 서비스 업체인 믹스패널 계정이 뚫렸고, 그 안에서 pwnable 데이터가 유출됐다는 입장이에요.

믹스패널은 유튜브나 쇼핑몰처럼 이용자 행동을 분석해 주는 도구인데, 2025년 11월에 직원 한 명이 스미싱에 당하면서 계정이 넘어갔습니다. pwnable은 2021년 이후로 믹스패널을 쓰지 않았다고 했지만, 실제 로그를 확인한 믹스패널 측은 “폰 직원 계정으로 접근한 흔적이 있다”고 반박했어요.

결국 양측이 서로 “우리는 피해자”라고 주장하는 상황이 됐습니다. 비슷한 사례로 OpenAI도 같은 시기 믹스패널 유출로 API 사용자 정보가 일부 빠져나간 적이 있으니, 서드파티 분석 도구를 쓸 때 얼마나 조심해야 하는지 보여주는 사례입니다.

지금 당장 확인하고 대비할 수 있는 실전 팁

먼저 pwnable 계정의 이메일과 비밀번호를 다른 사이트와 다르게 쓰고 있는지 확인하세요. 유출된 정보에는 비밀번호가 없었지만, 크리덴셜 스터핑 공격에 악용될 가능성이 높기 때문입니다.

두 번째로, 이메일 필터를 설정해 “pwnable”이나 “mixpanel” 관련 메일이 오면 바로 확인할 수 있게 해두는 게 좋습니다. 해커들이 몸값을 요구하거나 개인을 협박할 때 주로 이 이메일을 쓸 가능성이 커요.

세 번째로는 VPN이나 별도의 브라우저 프로필을 사용해 민감한 사이트를 이용하는 습관을 들이는 것도 도움이 됩니다. 이번처럼 타임스탬프까지 유출되면 “언제 어디서 접속했는지”까지 드러나기 때문에, 평소 접속 환경을 분리해 두면 2차 피해 범위를 줄일 수 있어요.