OnlyFans 3억 4000만 건 유출, 그러나 해킹은 없었다

OnlyFans 이용자 3억 4000만 명의 개인 기록이라고 내세운 데이터가 잘 알려진 유출 포럼에 매물로 올라왔다. 가격은 비트코인 한 개에도 못 미친다. 게시글은 이메일 주소, 전화번호, 실명, 결제 카드 끝 네 자리, 그리고 이런 플랫폼에서 가장 무겁게 다가오는 항목, 즉 각 프로필에 연결된 소셜 미디어 계정을 넘기겠다고 한다.

다른 서비스였다면 흔한 개인정보 문제였을 것이다. OnlyFans에서는 더 날카롭다. 플랫폼과 이용자 사이의 모든 관계는 한 사람의 법적 신원과 유료 장벽 뒤에서 하는 일을 갈라놓는 벽 위에 서 있다. 실명과 전화번호를 OnlyFans 계정에 묶는 파일은 바로 그 벽을 허물기 위해 만든 도구이며, 진짜든 아니든 정확히 그것을 원하는 구매자를 겨냥한다.

판매자는 계정마다 한 건의 기록을 제시한다. 식별자, 사용자 이름, 전체 이름, 가입일, 이메일, 전화번호, 팔로워와 좋아요 수, 올린 콘텐츠 양, 팬인지 창작자인지 표시하는 표식, 그리고 다른 네트워크 프로필로 가는 링크다. 전체를 0.313비트코인, 약 7만 6000달러에 내놓았다. 이렇게 팔리면 그것은 표 계산서라기보다 표적 묶음에 가깝다. 연결된 프로필 항목이야말로 데이터베이스를 무기로 바꾼다. 창작자가 자신의 OnlyFans 계정을 인증된 Instagram에 묶으면, 일의 토대인 그 분리가 무너진다.

OnlyFans는 그런 일은 없었다고 말한다. 「이 보도는 사실이 아니다」라고 회사 대변인은 게시글을 처음 전한 보안 매체에 답했다. 숫자 자체가 의심을 부른다. 3억 4000만은 등록 이용자 전체에 가깝고, 진짜 침입에서는 좀처럼 남지 않는 그 둥근 총합이다. 해킹을 부정하는 가장 강한 근거는 판매자 본인에게서 나왔다. 연락하자 그는 데이터가 OnlyFans에서 나온 적이 없다고 인정했다. Twitter, Instagram, Spotify 등 다른 플랫폼의 오래된 유출을 이미 공개된 프로필 정보와 대조해 짜맞췄다는 것이다. 이것은 침입이 아니라 짜깁기다.

그 구분이 이야기의 전부이며, 지하 시장은 그 구분을 흐려서 먹고산다. 진짜 유출은 대중이 한 번도 가진 적 없는 데이터를 빼낸다. 짜깁기는 이미 다른 곳에서 새어 나온 데이터를 다시 정렬해 새롭고 무서운 상표를 붙일 뿐이다. 「OnlyFans」는 포럼에서 팔리지만, 「5년 전 Twitter 기록으로 만든 목록」은 결코 팔리지 않는다. 이따금 화제가 되는 수십억 건 규모의 WhatsApp이나 Gmail 「해킹」도 같은 방식이며, 거의 늘 재활용된 로그인 목록으로 드러난다.

그렇다고 파일이 무해해지는 것은 아니다. 여기서 무기는 새로움이 아니라 연결이다. 한 사이트에서 이미 공개된 이름과 다른 곳에서 새어 나온 이메일은 따로 보면 큰 값어치가 없다. OnlyFans 계정에 묶이면 그것들은 한 사람의 일상 신원에서 성인 콘텐츠 계정으로 이어지는 지도가 된다. 그 지도가 바로, 진짜 세부를 인용해 그럴듯하게 꾸미는 성착취 협박 메시지의 재료이고, 창작자의 정산 계정을 노린 피싱의 재료이며, 많은 이가 이미 겪는 스토킹과 사칭의 재료다. 이제 공격자는 분류 수고마저 덜게 된다.

Instagram이나 X 계정을 OnlyFans 프로필에 한 번이라도 묶어 본 사람이라면, 팬이든 창작자든 어느 시장에 있든, 그 연결은 이미 찾아낼 수 있고 이제는 판매용으로 포장됐을지 모른다고 보는 편이 안전하다. 전문가의 조언은 화려하지 않다. 당신의 OnlyFans 활동을 「안다」는 듯한 메시지는 증거가 아니라 압박 수단으로 여기고, 협박에는 결코 돈을 내지 말며, 새어 나간 비밀번호 하나만으로는 계정이 열리지 않도록 2단계 인증을 켜 두라는 것이다. 게시글은 아직 남아 있고, 연구자들은 표본을 살펴 얼마가 진짜이고 재활용이며 또는 지어낸 것인지 가늠하고 있다. 가격이 실제로 걸려 있는 질문은 그 하나뿐이다. 포럼의 유명한 이름이 그 뒤의 데이터보다 더 비싼 한, 다음 「초대형 유출」은 이미 직전 열 건의 잔해로 짜이고 있다.