연령 확인 업체 해킹으로 70,000명의 Discord 사용자 신분증 사진 유출 가능성
침해 세부 사항: 발생 시기와 경과
2025년 10월 3일, Discord는 제3자 고객 서비스 제공업체인 5CA 중 하나에 무단 침입이 발생했음을 공개했습니다. 9월 20일경 시작된 이 침해는 지원 상담원의 계정을 탈취하여 해커가 약 58시간 동안 Discord 사용자 데이터에 접근할 수 있게 했습니다. 공격자는 연령 확인을 위해 사용자가 제출한 정부 발급 신분증(여권 또는 운전면허증 등) 이미지 최소 70,000장을 도난한 것으로 추정됩니다. 또한 가해자는 피해 기업에 몸값을 요구하며 협박하고 있는 것으로 알려졌습니다.
유출된 데이터는 무엇인가?
신분증 사진 외에도 이번 침해로 사용자의 이름, 이메일 주소, 연락처 정보, IP 주소, Discord 고객 지원과의 상호작용이 유출되었을 수 있습니다. 다행히도 완전한 신용카드 정보나 비밀번호는 접근되지 않았습니다. 그러나 피해 범위는 여전히 논란 중입니다. 책임을 주장하는 사이버 범죄 그룹 Scattered LAPSUS$ Hunters는 550만 명의 사용자로부터 1.5테라바이트의 데이터를 도난했으며, 여기에는 210만 장 이상의 신분증 사진이 포함된다고 주장합니다. 그러나 Discord는 전 세계적으로 약 70,000명의 사용자에게 영향을 미친 것으로 보고 있습니다.
Discord에서 연령 확인 작동 방식
이의 제기를 위한 사진 ID 방식
Discord는 사용자가 미성년자로 인해 잠금 상태가 되거나 연령 제한 서버에 접근할 때 연령 확인을 요구합니다. 사용자는 정부 발급 신분증(생년월일 표시)과 Discord 사용자 이름이 적힌 종이를 함께 들고 있는 사진을 제출할 수 있습니다. 이 단일 사진은 지원 양식을 통해 Discord의 신뢰 및 안전 팀에 전송됩니다. 제공된 정보는 연령 확인 목적으로만 사용되며 다른 목적으로는 사용되지 않습니다.
k-ID를 통한 자동 연령 확인
일부 지역에서 Discord는 k-ID와 협력하여 자동 연령 확인을 제공합니다. 사용자는 비디오 셀카를 촬영하며, 이는 기기에서 처리된 후 연령 추정 직후 즉시 삭제됩니다. Discord는 자사와 k-ID 모두 안면 스캔을 저장하지 않는다고 주장합니다. 자동 확인이 실패할 경우 사용자는 사진 ID 방식을 사용해야 합니다.
침해 발생 이유: 데이터 보존 문제
소식통에 따르면, 이번 침해는 Discord가 확인 후 사용자 신분증 사진을 신속히 삭제하지 않았기 때문에 발생했습니다. k-ID 시스템(기기에서 셀카를 처리하고 즉시 삭제)과 달리 Discord의 지원 시스템은 ID 이미지를 수개월간 보관했습니다. 이 보존 기간 덕분에 해커가 데이터에 접근하여 유출할 수 있었습니다. 해커는 k-ID 시스템이 아닌 Discord의 지원 포털에 접근한 것으로 알려져 데이터 처리 관행의 심각한 취약점을 드러냈습니다.
사용자 개인정보 보호 및 향후 확인에 미치는 영향
이번 사건은 민감한 생체 데이터의 중앙 집중식 저장에 내재된 위험을 강조합니다. Discord가 영국의 연령 확인법과 같은 규제에 힘입어 전 세계적으로 연령 확인을 확대함에 따라, 이번 침해는 경고의 역할을 합니다. 기기 내 처리를 사용하는 자동 연령 확인은 위험을 줄이지만, 사진 ID 이의 제기 방식은 여전히 취약합니다. 사용자는 자신의 데이터가 신속히 삭제될 것이라는 신뢰를 가져야 하며, 이 신뢰는 이미 깨졌습니다. 앞으로 Discord와 다른 플랫폼은 유사한 노출을 방지하기 위해 더 엄격한 데이터 최소화 및 보존 정책을 채택해야 합니다.
Discord 사용자가 지금 해야 할 일
Discord는 noreply@discord.com에서 이메일을 통해 영향을 받은 사용자에게 연락하고 있습니다. 해당 이메일을 받은 경우 진위를 확인하고 지침을 따르십시오. 중복 티켓을 제출하거나 공식 채널 외부에서 신분증 사진을 공유하지 마십시오. 향후 침해가 우려되는 경우 일회용 또는 용도 제한 ID 사용을 고려하고 계정에서 의심스러운 활동을 모니터링하십시오. 이번 사건은 데이터 보존 및 제3자 공급업체 보안에 관한 더 강력한 법규의 필요성을 강조합니다.