2025년 10월 3일, Discord는 해커들이 타사 고객 서비스 및 지원 제공업체 중 하나인 5CA를 해킹하여 연령 확인에 사용되는 여권이나 운전면허증과 같은 정부 발급 신분증 이미지 최소 70,000개를 훔쳤다(새 창)고 보고했습니다.

Discord에 따르면 도난당한 다른 민감한 정보는 다음과 같습니다:

  • 이름, Discord 사용자 이름, 이메일 주소 및 사용자가 지원을 받기 위해 제공한 기타 연락처 정보.
  • 지원 담당자와의 메시지 또는 대화 기록(예: 사용자가 지원 팀과 소통한 내용).
  • 결제 수단, 구매 내역, 신용카드 마지막 4자리를 포함한 제한된 청구 및 결제 메타데이터.
  • 지원 상호 작용과 관련된 IP 주소.
  • 지원 시스템에 저장된 교육 자료나 내부 프레젠테이션과 같은 “제한된 기업 데이터”.

또한 다음과 같은 유형의 민감한 정보는 접근되지 않았다고 밝혔습니다:

  • 전체 신용카드 번호 및 보안 코드(CCV)
  • 사용자가 고객 지원과 논의했을 수 있는 내용 이외의 Discord 메시지 또는 활동
  • 비밀번호 또는 인증 데이터

보안 사고는(새 창) 9월 20일에 시작된 것으로 보이며(새 창), 공격자들이 지원 상담원의 계정을 유출한 후 약 58시간 동안 Discord 사용자 데이터에 접근했습니다. Discord는 noreply@discord.com 이메일을 통해 영향을 받은 모든 사용자에게 연락하고 있습니다.

공격의 동기는 전적으로 금전적인 것으로 보이며, 해커들의 초기 500만 달러 몸값 요구는 나중에 350만 달러로 줄어들었습니다. Discord 대변인은 The Verge(새 창)에 Discord가 “불법 행위에 책임이 있는 사람들에게 보상하지 않을 것”이라고 말했습니다.

하지만 공격의 범위와 진정한 책임이 누구에게 있는지에 대해서는 상반된 보고가 있습니다. 이번 공격에 대한 크레딧을 주장하는 사이버 범죄 그룹인 Scattered LAPSUS$ Hunters는 정부 신분증 사진 210만 장 이상을 포함해 550만 사용자의 데이터 1.5테라바이트를 훔쳤다고 말합니다. 그리고 10월 14일, Discord가 이번 보안 사고의 책임이 있다고 주장하는 타사 고객 지원 서비스인 5CA는 Discord를 위해 정부 발급 신분증을 취급했다거나 자사 시스템이 해킹당했다는 사실을 (새 창)거부했(새 창)습니다(동시에 이번 사고가 잠재적으로 인적 오류로 인해 발생했을 수 있음은 인정했습니다).

그렇다면 Discord는 왜 정부 신분증 사진을 수집했을까요?

영국의 새로운 연령 확인법(새 창)(및 호주의 곧 시행될 법)을 준수하기 위해 Discord는 얼굴 스캔이나 스캔된 신분증(예: 여권 또는 운전면허증)을 사용한 연령 확인을 실험(새 창)해 왔습니다.

일반적으로 Discord는 사용자의 셀카를 요구(새 창)한 다음 소프트웨어를 사용하여 사진을 스캔하고 나이를 추정했습니다. 그런 다음 Discord는 프로세스가 끝날 때 사진을 삭제합니다. 해킹당한 것으로 알려진 시스템은 이의 제기 절차의 일부였습니다.

사용자가 너무 어리다는 이유로 부당하게 차단되었다고 느끼면 나이를 증명하기 위해 정부 발급 신분증 사진을 보낼 수 있었습니다. 도난당한 것으로 알려진 데이터가 바로 이것입니다. Discord의 활성 사용자가 2억 명이라는 점을 감안할 때, 아주 일부만 이의 제기 절차를 거쳤더라도 잠재적으로 수백만 개의 신분증이 될 수 있습니다.

주로 게이머들이 사용하는 소셜 미디어 플랫폼이 이러한 정보를 수집해야 할 필요성을 느낀다는 것은 포르노로부터 아이들을 보호한다는 명목을 가진 연령 확인법의 임무 확장이 이미 얼마나 멀리 퍼졌는지를 보여줍니다.

자신을 보호하는 방법

이번 보안 사고는 우리가 데이터가 어떻게 저장, 보안 또는 공유되는지 거의 알지 못한 채 민감한 데이터를 넘겨주도록 강요받는 경우가 많다는 것을 다시 한번 상기시켜 줍니다. 이미 유출된 데이터는 되돌릴 수 없지만, 앞으로 공유할 데이터를 통제하려고 노력할 수는 있습니다. 방법은 다음과 같습니다:

  • 민감한 데이터가 어디에 있는지 감사하기: 민감한 데이터(신분증 등)를 공유해야 했다면 개인정보취급방침을 읽어보세요. 더 이상 해당 계정을 사용하지 않는 경우 데이터를 삭제할 수 있는 옵션이 있는지 확인하세요.
  • 침해적인 데이터를 요구하지 않는 서비스 사용하기: 점점 더 어려워지고 있지만, 수집되지 않은 데이터는 유출될 수 없습니다. 서비스가 필요하다면 어떤 데이터를 수집하고, 어떤 목적으로 사용하며, 얼마나 오래 저장될 것인지에 대해 투명한(새 창) 서비스를 찾으세요.
  • 온라인 데이터 공유 최소화하기: 지원 상호 작용 중이라도(최근 많은 공격이 지원 포털에 집중되고 있음을 감안할 때 특히) 불필요한 정보는 공유하지 마세요. 가능하면 VPN(새 창)이메일 별칭을 사용하세요.

이것이 연령 확인에 의미하는 바

많은 온라인 유해물(새 창)로부터 어린이를 보호해야 할 필요성은 현실적입니다. 따라서 EU(새 창)에서 호주(새 창), 캐나다(새 창)에 이르기까지 전 세계 정부가 영국의 새로 시행된 연령 확인법을 따르기를 열망하는 것은 이해할 수 있습니다.

이러한 법률이 문제에 대한 최선의 해결책인지 여부는 논쟁의 여지가 있지만(새 창), 확실한 것은 데이터 보안 사고가 매일같이 발생하여 또 다른 유명 회사가 수백만 명의 개인 세부사항을 유출했다는 뉴스 헤드라인조차 거의 알아차리지 못하게 되었다는 점입니다.

그리고 유난히 민감한 연령 확인 데이터가 그러한 유출로부터 면역일 것이라고 가정할 이유도 전혀 없었으며, 이번 사건이 이 점을 극적으로 증명했습니다.

즉, 원칙적으로 연령 확인법에 찬성하더라도, 진정으로 안전하고 탈중앙화되었으며 개인정보를 진정으로 존중하는 개방형 표준 솔루션이 개발되어 널리 보급되기 전까지는 시행되어서는 안 됩니다.