Discord, 제3자 공급업체 해킹으로 사용자 데이터 및 정부 ID 노출 확인

Discord 데이터 유출 사건의 전개

2025년 10월 초, Discord는 고객 지원 또는 신뢰 및 안전 팀에 연락한 사용자에게 영향을 미치는 제3자 고객 서비스 공급업체와 관련된 중대한 보안 사고를 확인했습니다. 2025년 9월 20일에 발생한 이 유출은 Discord 내부 시스템에 대한 직접적인 침입이 아니라 공급업체의 지원 티켓 환경이 손상된 것이었습니다. Scattered Lapsus$ Hunters(SLH)라고 자칭하는 공격자는 약 1.6테라바이트의 데이터를 유출했으며, 여기에는 민감한 사용자 정보와 연령 확인 이의 제기에 사용된 정부 ID 이미지가 포함되었습니다.

유출 경로로 지목된 공급업체 5CA

Discord는 네덜란드 기반 고객 경험 기업인 5CA를 환경이 침해된 제3자 제공업체로 공개적으로 지목했습니다. 2025년 10월 9일 Discord의 업데이트된 성명에 따르면, 무단 당사자가 5CA의 지원 티켓 시스템에 접근하여 내부 대시보드, 결제 세부 정보 및 정부 ID 사진에 접근했습니다. 그러나 5CA는 자사 시스템이 손상되지 않았으며 Discord를 위해 정부 발급 ID를 처리하지 않는다고 주장하며 신속히 부인했습니다. 이러한 모순은 혼란을 야기했으며, 5CA는 이 사건이 직접적인 시스템 침해보다는 인적 오류에서 비롯되었을 수 있다고 제안했습니다.

노출된 데이터는 무엇인가?

도난당한 데이터에는 이름, Discord 사용자 이름, 이메일 주소, IP 주소 및 고객 지원 상담 기록이 포함됩니다. 더 중요하게는, Discord는 약 70,000명의 사용자의 정부 ID 이미지(운전면허증 및 여권 등)가 접근되었을 수 있다고 확인했습니다. 제한된 청구 정보(결제 유형, 신용카드 마지막 네 자리, 구매 내역)도 유출되었습니다. Discord는 전체 신용카드 번호, 비밀번호 및 지원 채널 외부의 개인 메시지는 안전하게 유지되었다고 안심시켰습니다.

해커 그룹과 그들의 요구

Scattered Lapsus$ Hunters(SLH)로 알려진 위협 행위자가 책임을 주장했으며, 이는 제3자 공급업체를 표적으로 삼는 것으로 악명 높은 Scattered Spider, Lapsus$ 및 ShinyHunters의 전술을 결합한 연합체로 알려졌습니다. SLH는 Discord에 몸값을 요구하며 처음에는 200만 개 이상의 정부 ID 사진을 보유하고 있다고 주장했지만, Discord의 내부 조사 결과 그 수치는 약 70,000개로 확인되었습니다. Discord는 몸값 지불을 거부했으며, 법 집행 기관이 가해자를 추적하기 위해 투입되었습니다.

Discord의 즉각적인 조치

발견 후 Discord는 공급업체의 티켓 시스템에 대한 접근을 차단하고 파트너십을 종료했습니다. 회사는 선도적인 컴퓨터 포렌식 회사와 함께 내부 조사를 시작하고 관련 데이터 보호 당국에 통보했습니다. 영향을 받은 사용자는 noreply@discord.com의 이메일로 연락을 받고 있으며, Discord는 보안 문제에 대해 사용자에게 전화하지 않을 것이라고 강조했습니다. 또한 회사는 핵심 인프라가 손상되지 않았다고 재확인했습니다.

사용자와 업계를 위한 교훈

이 사건은 공격자가 덜 안전한 제3자 파트너를 악용하는 공급망 공격의 위험을 강조합니다. Discord 사용자의 경우, 이 유출은 강력한 비밀번호로 계정을 보호하고 2단계 인증을 활성화하는 것의 중요성을 강조합니다. 사용자는 합법적인 이의 제기의 경우에도 정부 ID와 같은 민감한 정보를 공유할 때 주의해야 합니다. Discord와 5CA의 성명 간 모순은 업계 전반에 걸쳐 더 투명한 공급업체 위험 관리와 강력한 사고 대응 프로토콜의 필요성을 지적합니다.