# 디스코드, 신원 인증 소프트웨어 ‘Persona’와 계약 종료 > Clean Markdown view of GeekNews topic #26998. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=26998](https://news.hada.io/topic?id=26998) - GeekNews Markdown: [https://news.hada.io/topic/26998.md](https://news.hada.io/topic/26998.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2026-02-25T18:37:18+09:00 - Updated: 2026-02-25T18:37:18+09:00 - Original source: [fortune.com](https://fortune.com/2026/02/24/discord-peter-thiel-backed-persona-identity-verification-breach/) - Points: 2 - Comments: 1 ## Topic Body - **Persona**의 코드가 미국 정부 감시 시스템에서 발견되면서, Discord가 협력을 중단함 - Persona는 X, OpenAI, Linkedin, Figma, Reddit 등에서 **신원 확인 및 연령 인증**용으로 사용중 - 발견된 코드는 **얼굴 인식·정치적 인물 감시·테러 관련 검증** 기능이 포함 되어있었음 - Persona는 사용자의 나이 확인 외에도 **269종의 검증 절차**를 수행하며, 위험도와 유사도 점수를 부여하는 구조였음 - 디스코드는 이번 협력이 **1개월 미만의 시험 운영**이었으며, 제출된 정보는 최대 7일간만 저장 후 삭제된다고 설명함 --- ### 디스코드와 Persona의 협력 종료 - 디스코드는 **Persona Identities**의 코드가 공개 인터넷과 미국 정부 서버에서 발견된 후 협력 관계를 종료함 - 연구자들은 약 **2,500개의 파일**이 미국 정부 승인 엔드포인트에서 접근 가능했다고 보고 - 해당 코드에는 **감시 대상자 목록 대조, 정치적 노출 인물 검증, 테러·간첩 관련 미디어 스크리닝** 기능이 포함되어 있었음 - Persona는 나이 검증 외에도 **269개의 개별 검증 절차**를 수행하며, 14개 범주의 ‘부정적 미디어’ 항목을 점검함 - 각 사용자 정보에 **위험도 및 유사도 점수**를 부여하는 구조 - 연구자들은 “단 한 줄의 익스플로잇 코드도 작성할 필요가 없었다”며, **53MB 규모의 데이터**가 FedRAMP 정부 엔드포인트에서 발견되었다고 언급 - 해당 데이터에는 **현행 정보기관 프로그램의 코드명 태그**가 포함되어 있었음 ### 디스코드의 대응 및 개인정보 정책 - 디스코드는 Persona와의 협력이 **1개월 미만의 시험적 파트너십**이었다고 확인 - 일부 사용자만 참여했으며, 제출된 정보는 **최대 7일간 저장 후 삭제**됨 - 디스코드는 이전에도 제3자 서비스의 보안 문제로 비판을 받음 - 2025년에는 **5CA 서비스 해킹**으로 7만 명 이상의 사용자 정부 신분증이 유출됨 - 유출된 정보에는 **IP 주소, 일부 결제 및 기업 데이터**가 포함됨 - 최근 디스코드는 **‘청소년 기본 설정(teen-by-default)’** 을 전 세계 계정에 적용했으나, 사용자 반발로 **나이 인증은 선택 사항**으로 수정함 - 대부분의 사용자는 **정부 신분증 대신 영상 셀피**로 인증 가능 - 디스코드는 “**얼굴 스캔은 기기 내에서만 처리되며**, 서버로 전송되지 않는다”고 명시 ### Persona의 입장과 해명 - Persona CEO **Rick Song**은 발견된 파일이 **보안 취약점이 아닌 공개 프런트엔드 정보**라고 주장 - “압축되지 않은 소스맵 파일이 공개된 것일 뿐”이라며, 이는 이미 모든 사용자 기기에 존재하는 코드라고 설명 - 다만 “압축되지 않은 파일이 온라인에 있는 것은 바람직하지 않다”고 인정 - Song은 Persona가 **Palantir, ICE, 정부 기관과의 관계를 부인**하며, 현재 **FedRAMP 인증 절차 진행 중**이라고 밝힘 - 인증 목적은 **직원 신원 검증용 보안 서비스 제공**임 - Persona의 269개 검증 항목은 **클라이언트 선택 옵션**이며, 모든 항목이 사용되는 것은 아님 - 소셜 미디어의 나이 인증과 기업의 배경 조사 목적은 다르다고 설명 - Song은 Persona가 **KYC(고객신원확인)** 및 **AML(자금세탁방지)** 솔루션을 제공하지만, **얼굴 생체정보를 금융 기록이나 법집행 데이터베이스와 연결하지 않는다**고 강조 ### 논란과 CEO의 온라인 신상 공격 - 연구자 ‘Celeste’가 Persona와 Palantir, ICE의 연관성을 암시하자, Song은 **협박과 비난을 받았다고 공개** - “우리 회사는 ICE, Palantir과 아무 관계가 없다”고 이메일 스크린샷을 통해 반박 - 일부 비판이 **신입 직원들에게 향하고 있다**며, 책임은 자신에게 있다고 언급 - Song의 **LinkedIn 프로필에 사진이 없다는 이유로 신상 공격**이 이어짐 - 이에 대해 Song은 “**실명 인증이 얼굴 공개를 의미하지 않는다**”며, 프라이버시를 지키는 것이 중요하다고 반박 ### 디스코드의 보안 신뢰도 논란 지속 - Persona와의 계약 종료는 디스코드의 **보안·개인정보 보호 체계에 대한 불신**을 다시 불러옴 - 연이은 제3자 서비스 문제로 **사용자 데이터 관리의 투명성**이 핵심 쟁점으로 부상 - 디스코드는 “**사용자 나이만 수집하며, 신원은 계정과 연결되지 않는다**”고 재차 강조 - 그러나 과거 FAQ의 보관 기간 설명이 상이해 **정책 일관성 논란**이 남음 ## Comments ### Comment 51893 - Author: neo - Created: 2026-02-25T18:37:18+09:00 - Points: 1 ###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47136036) - Persona 프론트엔드 코드 기반의 분석 글이 [여기](https://vmfunc.re/blog/persona)에 있음 결론 내리기 전에 이 **원문 자료**를 꼭 읽어보길 권함. 2차 보도들은 품질이 낮은 경우가 많음 - Persona 보안팀의 공식 대응문이 [여기](https://withpersona.com/blog/post-incident-review-source-map-exposure-non-production-subdomain)에 있고, Rick의 트위터 논의도 [여기](https://x.com/Persona_IDV/status/2025048195773198385?s=20)에서 볼 수 있음 - 이 글은 6일 전에 제출됐지만 [플래그 처리](https://news.ycombinator.com/item?id=47059129)되었음. 다시 검토해볼 가치가 있음 - 나는 글을 읽었는데, **핀테크 업계**에 오래 있다 보니 대부분의 우려에는 공감하지 않음 다만 데이터 보존 기간이 다르게 명시된 부분은 좀 걱정스러움. 나머지는 KYC/AML 업계에서는 흔한 일임 - 후속 글은 [여기](https://vmfunc.re/blog/persona-2)에 있음 - 글은 좋았지만 사이트가 너무 산만해서 눈과 귀가 아팠음. **가독성** 좀 개선해줬으면 함 - 나는 여전히 확신이 서지 않음 특정 인물이 로비스트를 통해 **막대한 영향력**을 사들였고, 그 결과 초부유층이 사회 전반을 악화시키고 있음 Discord의 이번 대응도 진심이 아니라고 봄. 사용자 반발에 놀라서 수습하는 척일 뿐, 애초에 목적은 **감시**였음 - 사람 이름을 일부러 안 쓰는 태도는 오히려 유치하게 보이고 논점을 흐림 - “그가 볼드모트라도 되나?”라는 반응이 나올 정도로 과함 - Discord의 진짜 문제는 다가오는 **IPO**임. 투자자에게 가치를 증명하려면 결국 사용자 데이터와 메시지를 자산화해야 함 - 예전에는 정부의 감시를 걱정했는데, 이제는 **빅테크 기업**이 그 자리를 대신하고 있음 - Palantir의 Peter Thiel 같은 인물과 관계를 끊는 날은 사회 전체에 좋은 날임 - 이런 조직은 아예 **금지 단체**로 지정돼야 한다고 생각함 - 관련 글: [LinkedIn 신원 인증 시 넘겨준 정보](https://news.ycombinator.com/item?id=47098245) - 이미 **신뢰 손상**은 돌이킬 수 없음 내가 속한 Discord 커뮤니티들은 아직 남아 있지만, 이번 일 이후 새로 가입할 생각은 없음 - Discord가 어떻게 이렇게 커졌는지 궁금함. Slack의 대안이라며 넘어간 게 문제였음 Slack처럼 **데이터 독점**과 폐쇄성 문제가 있는데, 사람들은 또 속았음 - 오히려 이번 사건이 Persona 같은 회사를 **경계해야 할 사례**로 남는다면 좋은 일임 - 나는 운영 중인 서버를 백업했고, 나에게 **나이 인증** 요구가 오면 바로 삭제할 예정임 - 사실 Discord는 이미 수년간 신뢰를 잃어왔음. 클라이언트 품질 저하, 광고 도입 등 **enshittification**의 전형임 이번 인증 논란은 그 하락의 또 다른 단계일 뿐임 - Discord는 **열린 인터넷**의 암덩어리임 실시간 채팅은 좋지만, 커뮤니티와 위키가 폐쇄된 플랫폼으로 옮겨간 건 재앙이었음 비슷한 대안을 찾기보다 **오픈 포럼과 위키**로 돌아가야 함 - Discord가 얼굴 인증 요구를 철회한 건지, 아니면 Persona 사용만 중단한 건지 헷갈림 - 인증은 여전히 외부 업체에 **위탁**하는 방식임. 단지 Persona가 아닌 다른 회사로 바뀐 것뿐임 참고로 인증은 성인 서버 참여나 콘텐츠 필터 해제 등 일부 기능에만 필요함 - Discord가 원래는 **k-ID**라는 온디바이스 처리 업체를 쓰려 했음 하지만 동시에 Persona를 시험 중이었고, Persona는 데이터를 저장했기 때문에 신뢰를 잃었음 게다가 Persona와 5CA 두 곳 모두 **보안 사고**를 겪었음. 이런 이유로 전환이 취소된 듯함 - Discord는 계획을 철회한 게 아니라, 일부 지역에서 Persona를 쓰지 않겠다고 한 것뿐임 공식 블로그의 [요약 및 사과문](https://discord.com/blog/getting-global-age-assurance-right-what-we-got-wrong-and-whats-changing)에 따르면 글로벌 롤아웃은 지연되고, 인증 필요성을 줄이는 기능(예: **spoiler 채널**)을 추가할 예정임 - Persona가 이번 사건의 **사후 분석 보고서**를 공개했음 [링크](https://withpersona.com/blog/post-incident-review-source-map-exposure-non-production-subdomain) - “소스맵 노출”을 **‘재앙적(CATASTROPHIC)’** 이라 표현한 건 과장임 프런트엔드 코드는 원래 공개된 것이고, 프로덕션에서는 최소화(minify)만 하면 충분함 - 연구자들이 정부 승인 엔드포인트에서 2,500개 파일을 발견했는데, Persona가 **얼굴 인식 및 정치인 감시 리스트** 대조를 수행한 기록이 있었음 이런 정보가 아무런 해킹 없이 공개돼 있었다는 게 충격적임 기업들이 “사용자 프라이버시가 최우선”이라 말하는 건 이제 **공허한 구호**로 들림 CEO가 “온라인에서 얼굴을 드러내는 건 디스토피아적”이라 말하면서, 정작 사용자에게 얼굴을 제출하게 하는 건 아이러니임 - 그 마지막 인용문이 정말 웃겼음. 매일 그렇게 행동하면서 그런 말을 하다니 믿기 어려움 - 이제 Persona라는 이름은 **독성 브랜드**가 되어가고 있음 - 그게 Discord를 말하는 건지, Thiel을 말하는 건지 헷갈릴 정도임 - Discord는 “7일만 저장한다”고 했지만, 그 기간 동안 Persona로 전달되면 그 이후는 아무도 모름 - 이전에는 “즉시 삭제한다”고 했는데 이제는 7일이라니, 이런 **신뢰 붕괴**를 어떻게 회복할 수 있을지 모르겠음