해커 주장: Discord 침해로 550만 사용자 데이터 노출

해커 주장: Discord 침해로 550만 사용자 데이터 노출

Discord 침해 사건: 발생 상황과 사용자가 알아야 할 사항

2025년 10월, Discord는 고객 지원 및 신뢰 및 안전 팀과 상호작용한 사용자에게 영향을 미친 중대한 데이터 침해 사실을 공개했습니다. 회사는 처음에 약 70,000명의 사용자가 정부 발급 신분증 사진과 같은 민감한 데이터에 노출되었을 수 있다고 보고했지만, 해커들은 550만 사용자의 데이터를 도난당했다고 주장했습니다. 이러한 차이는 우려와 혼란을 불러일으켰습니다. Discord는 이 침해가 플랫폼에 대한 직접적인 공격이 아니라 타사 고객 서비스 제공업체인 5CA의 손상으로 인한 것이라고 밝혔습니다.

공격자들은 Discord 지원 팀이 사용하는 티켓 시스템에 접근하여 메시지, 사용자 이름, 이메일 주소, 경우에 따라 제한된 결제 정보 및 연령 확인을 위해 제출된 정부 발급 신분증 이미지에 접근했습니다. Discord는 이후 해당 제공업체의 접근을 차단하고, 포렌식 회사와 조사를 시작했으며, 법 집행 기관과 협력하고 있습니다.

Discord 침해가 아닌 타사 사고

Discord는 자체 시스템이 침해되지 않았다고 강력히 주장했습니다. 대신, 공격은 타사 고객 서비스 제공업체인 5CA를 대상으로 했습니다. 이는 공급망에서 가장 취약한 연결고리를 악용하는 데이터 침해의 일반적인 경로입니다. 무단 당사자는 Discord 자체 코드의 취약점을 악용하는 것이 아니라 사회 공학 전술을 사용하여 Discord의 지원 티켓 시스템에 접근했습니다. 이 차이는 중요합니다. Discord의 핵심 메시징 및 인증 시스템은 안전하게 유지되었습니다. 그러나 지원팀에 연락한 사용자의 경우 데이터가 노출되었습니다. 이 사건은 타사와의 데이터 공유 위험과 엄격한 공급업체 보안 감사의 필요성을 강조합니다.

노출된 민감 데이터: 신분증, 결제 정보 등

이 침해로 인해 주로 Discord 고객 지원 또는 신뢰 및 안전 팀과 소통한 사용자의 다양한 데이터가 노출되었습니다. 손상된 데이터는 다음과 같습니다:

  • 이름, Discord 사용자 이름, 이메일 주소 및 지원팀에 제공된 기타 연락처 정보
  • 결제 유형, 신용카드 마지막 네 자리, 구매 내역 등 제한된 결제 정보
  • IP 주소
  • 지원 상담원과 주고받은 메시지
  • 연령 결정에 이의를 제기한 약 70,000명의 사용자에 대한 정부 발급 신분증 이미지

특히, 비밀번호, 전체 신용카드 번호, 사용자 간 개인 메시지는 손상되지 않았습니다. 신분증 사진은 신원 도용에 사용될 수 있으므로 특히 우려됩니다. Discord는 'noreply@discord.com'에서 이메일을 통해 영향을 받은 사용자에게 알릴 것이라고 밝혔습니다.

해커의 주장: 550만 대 70,000

Scattered Lapsu$ Hunters(SLH)로 알려진 해커 그룹은 Discord가 인정한 약 70,000명의 영향을 훨씬 초과하는 550만 사용자의 데이터를 도난했다고 주장했습니다. 또한 1.5테라바이트의 데이터를 보유하고 있다고 주장했습니다. Discord는 이러한 주장을 '부정확하며 금전을 갈취하려는 시도의 일부'라고 일축했습니다. 그러나 보안 전문가들은 공격자가 더 광범위한 지원 티켓에 접근했다면 실제 영향을 받은 사용자 수가 더 많을 수 있다고 지적합니다. Discord는 자세한 분석을 제공하지 않아 일부 불확실성이 남아 있습니다. 사용자는 경계를 늦추지 말고 과거에 Discord 지원팀에 연락한 적이 있는지 고려해야 합니다.

해커는 누구인가?

이 그룹은 Scattered Spider, Lapsu$ 및 ShinyHunters의 전술을 결합한 연합체로 설명됩니다. 이들은 맬웨어보다는 사회 공학에 의존하며, 더 큰 대상을 공격하기 위해 타사 공급업체를 표적으로 삼습니다. 이는 강화된 방어를 우회하기 위해 덜 안전한 파트너를 공격하는 사이버 범죄의 증가 추세입니다.

Discord의 대응: 신속한 조치 및 다음 단계

Discord는 침해 사실을 발견한 후 신속하게 조치를 취했습니다. 타사 제공업체의 접근을 차단하고, 전문 포렌식 지원을 통해 내부 조사를 시작했으며, 법 집행 기관에 연락했습니다. 또한 관련 데이터 보호 당국에 통보했으며, 영향을 받은 사용자에게 연락 중입니다. Discord는 전화로 사용자에게 연락하지 않을 것이며, 공식 커뮤니케이션은 'noreply@discord.com'에서만 발송된다고 안내했습니다. 영향을 받지 않은 사용자는 별도의 조치가 필요하지 않습니다. 그러나 Discord는 모든 사용자가 의심스러운 메시지나 이메일에 주의할 것을 권장합니다.

사용자를 위한 교훈: 침해 후 자신을 보호하는 방법

이 사건은 플랫폼 자체가 안전하더라도 타사 통합이 취약할 수 있음을 상기시킵니다. 사용자가 취할 수 있는 조치는 다음과 같습니다:

  • 피싱 시도 주의: Discord에서 보낸 것처럼 가장한 예상치 못한 이메일이나 메시지, 특히 개인 정보를 요구하는 것에 주의하세요.
  • 고유한 비밀번호 사용: Discord 계정에 2단계 인증을 활성화하세요.
  • 지원 상호작용 검토: Discord 지원팀에 민감한 데이터를 공유한 적이 있다면 신원 도용에 특히 주의하세요.
  • 금융 계정 모니터링: 전체 신용카드 번호는 노출되지 않았지만, 제한된 결제 정보가 표적 공격에 사용될 수 있습니다.

Discord는 더 이상 연령 확인을 위해 손상된 시스템을 사용하지 않을 것이며, k-ID 및 Persona와 같은 전담 공급업체로 전환했다고 밝혔습니다. 또한 회사는 향후 위험을 최소화하기 위해 확인 후 정부 발급 신분증 이미지를 삭제할 것이라고 말했습니다.

더 큰 그림: 타사 위험 및 데이터 개인정보 보호

이 침해는 디지털 생태계에서 타사 위험의 증가하는 과제를 강조합니다. Discord와 같은 회사는 강력한 내부 보안을 가질 수 있지만, 약한 통제를 가진 단일 공급업체가 수백만 사용자를 노출시킬 수 있습니다. 이 사건은 민감한 생체 인식 데이터 수집이 필요한 연령 확인 시스템에 대한 논쟁을 다시 불러일으킵니다. 디지털 권리 활동가들은 이러한 시스템이 공격자에게 꿀단지를 만든다고 경고합니다. 사용자에게 주는 교훈은 민감한 신분증과 같은 정보를 온라인 서비스와 공유할 때 신중해야 한다는 것입니다. Discord 및 기타 플랫폼이 보안 관행을 계속 발전시킴에 따라, 이 사건은 향후 타사 공급업체를 검증하고 관리하는 방식에 영향을 미칠 것입니다.