70,000명 Discord 사용자의 신분증 정보 유출 가능성

 (theverge.com)
1P by GN⁺ 4일전 | ★ favorite | 댓글 1개
  • Discord는 서드파티 고객지원 업체의 보안 사고로 인해 약 70,000명 사용자의 정부 발급 신분증 사진이 노출될 수 있었음을 밝힘
  • 이번 사고는 Discord 자체 시스템이 아닌 외부 서비스 공급자에서 발생함
  • 공격자는 실제 피해 규모보다 과장된 수치를 퍼뜨리며 Discord에 금전적 협박을 시도함
  • 피해를 입은 모든 사용자는 개별적으로 직접 안내를 받았으며, Discord는 법 집행 기관 등과 긴밀히 협력 중임
  • 피해 공급업체와의 계약을 종료하고, 보안 강화 조치를 즉각적으로 시행함

보안 사고 개요

  • Discord는 최근 서드파티 고객 서비스 업체에서 발생한 보안 사고에 대해 공식 입장을 공유함
  • 불법 행위를 저지른 가해자들이 온라인에 잘못된 정보와 과장된 주장(피해자 수 증폭)을 유포하고 있어 혼선이 발생함

사고의 본질

  • Discord 자체 시스템이 아닌, 고객 서비스 지원을 위해 사용하는 외부 업체 시스템이 해킹 대상임
  • 외부 업체의 데이터 노출로 인해 최대 약 70,000명 사용자의 정부 발급 신분증 사진이 노출될 가능성 발생함
  • 해당 신분증 정보는 주로 나이 확인 및 연령 제한 관련 이의제기 처리를 위해 사용된 데이터임

Discord의 대응

  • 모든 피해 사용자에게 개별적으로 안내가 이미 완료됨
  • Discord는 법 집행 기관, 데이터 보호 당국, 외부 보안 전문가와 계속 협력 중임
  • 사고가 발생한 외부 업체와의 계약을 즉시 종료
  • 해당 시스템의 보안 조치를 강화

Discord의 추가 입장

  • 위협 당사자의 잘못된 주장 및 불법 행위에 거래(보상) 의사가 전혀 없음을 강조함
  • 개인정보 보호에 대한 책임감을 엄중하게 인식하고 있으며, 사용자들의 우려를 이해함
GN⁺ 4일전  [-]
Hacker News 의견

  • 나는 이제 냉소적이고 회의적인 사람이 되어버린 것 같음, 그런데 이런 일이 이제 전혀 놀랍지도 않음. 누군가에게 개인정보를 주면 이제 모든 사람들이 그 정보에 접근할 수 있다고 생각함. 서비스가 TOS에 ‘3자에게 정보를 판매하지 않는다’고 명시하더라도 결국엔 어딘가 허술하게 보안이 뚫려서 유출될 거임. 이건 한 기업의 잘못이 아니라, 정부가 강력한 보안 조치 마련이나 집행을 하지 않는 시스템 전반의 이슈라고 생각함. 이제 개인정보가 보호될 거라는 기대 자체를 버렸고, 진짜 중요하고 비공개로 남기고 싶은 정보는 애초에 디지털화하지 않음, 복제도 절대 허락하지 않음

    • 사실이 보도되는 이유가 사람들에게 놀라움을 주기 위해서가 아님, 중요한 이슈이기 때문에 보도하는 것임. 지금 더 많은 정부들이 나이 인증법을 통과시키고 있는데, 바로 이런 데이터가 더 많은 위험한 사기업에 넘어가고 있음. 이번 유출 사건은 이런 법들이 잘못되었다는 증거이고, 사건 소식을 널리 알리는 것이 대중의 인식 변화에 도움이 될 것임

    • 문제의 원인은 정부임. 정부가 고객들에게 무조건 신분증을 요구하게 만들어서 이런 문제가 생긴 것임. 이 데이터를 수집하지 않는 것 말고는 어떤 실질적인 보안책도 없음. 정부는 애초에 제대로 된 보안 방안도 제안하지 못함. 이제 이 데이터는 영원히 삭제되지 않을 가능성이 큼, Discord가 돈을 주든 말든 변하지 않을 것임

    • 이런 일이 놀랍지 않은 이유는, 큰 처벌이 없었기 때문임. 사람들이 대형 유출에 무감각해진 탓에 제대로 된 대응이 거의 없었음. 그리고 실질적으로 대기업의 이익에 반하는 입법이 통과되기 어려운 것도 원인임

    • 정말 황당한 건, 언제나 책임은 개인이 초조하게 조심하는 데에만 쏠려 있고 정작 데이터를 다루는 시스템은 별다른 결과나 처벌을 받지 않는다는 점임

    • 신원 인증에 Zero Knowledge(영지식증명) 기술이 하루빨리 일상화되어야 함. 이미 개인정보를 드러내지 않고도 신원이나 나이 인증이 가능한 기술은 있는데, 이게 대중적으로 보편화되기까지 시간이 많이 걸릴 거라는 점이 아쉬움

  • 가장 간과되고 있는 큰 문제는 민감한 신분증을 다루는 3자 업체들의 투명성 부재임. 유출이 발생할 때마다 기업들은 어떤 업체가 실제로 데이터를 다루었는지 명확하게 밝히지 않음. 이런 불투명성 때문에 사용자는 어떤 곳에 정보가 남아 있는지 알 수 없고, 실질적으로 업체들을 감시하거나 감시받을 기회조차 없음. 이 계층이 규제되지 않는 한 앞으로도 유출은 계속되고 책임소재도 명확하지 않을 것임

    • 이 3자 업체 계층은 데이터 유출 생태계의 ‘암흑 물질’임. 사용자에게는 실체가 없고, 기업도 거의 언급하지 않으며, 문제가 생겨도 책임을 제대로 지지 않음

  • Discord는 Zendesk를 사용함(참고). 그런데 이번 공식 입장에선 compromised(유출된) 3자 업체가 어디인지 밝히지 않았고, Zendesk는 자기들 서비스가 아니었다고 함. 그렇다면 Discord가 그 외 어느 3자 업체를 사용하고 있었던 건지, 대체 누구의 평판을 보호하려는 건지 의문임

  • 신분증을 왜 굳이 저장하고 있는지 모르겠음. 나이 인증만 완료하면 충분할 텐데, 왜 계속 보관함? 이런 회사들은 사고 발생 시 Google이나 Cloudflare처럼 제대로 사건 내역을 공개하도록 강제되어야 함

  • 회사들은 대체로 신분증을 확인용으로만 활용한 후 바로 삭제한다고 약속함. 그럼 어떻게 이렇게 많은 신분증이 유출될 수 있었는지 의문임. 혹시 진짜 매달 수백만 건을 검증하는 건지 궁금함

    • Discord의 안내 메시지(호주 기준)에는 “제공한 정보는 나이 그룹 확인에만 이용되고, 확인 후 즉시 삭제됨”이라고 나와 있음(스크린샷 참고). 아직 나도 제출을 안 했지만, 어떻게 하면 얼굴인식 과정을 속일 수 있을지 고민 중임. 어떤 규모든 챗앱에 정부 신분증을 제공하고 싶지 않음. 참고로, 나이 구분은 ‘13~18세, 18세 이상’이면 충분하다고 생각함. 이 이상 더 세분화하면 단순히 마케팅·데이터 분석에 이용되는 것 같음

    • 이전 공식 입장에서는 “허가받지 않은 사람이 ‘나이 재판정’을 요청한 일부 사용자의 정부 신분증 이미지를 소수 열람함”이라고 했음(출처). 이럴 경우, 이의제기 처리 프로세스상 일정 기간 신분증을 보관해야 할 수 있음. 이의가 장시간 처리되기 때문에 오래 보관되어 유출된 것일 수 있음

    • 약속된 즉시 삭제가 거짓이거나, 혹은 위탁 3자 업체가 데이터 보관을 따로 했던 것임

    • 규정상 신원 인증 업체들은 최대 3년까지 신분증 정보를 저장할 수 있음. 업체들은 보안·사기 탐지를 위한 머신러닝 트레이닝에도 활용함

    • 실제로 TOS에 삭제한다고 명시했는지, 그리고 얼마나 빠르게 삭제한다고 구체적으로 썼는지는 궁금함. 이런 용어(‘즉시’, ‘곧’)는 계약서에 명확하게 적혀 있지 않으면 얼마든지 해석이 달라질 수 있고, 경우에 따라 정부가 법적으로 데이터 보유를 의무화하기도 함

  • 더 많은 정부가 독일의 전자 신분증(eID)처럼, 자신의 나이만 증명할 수 있는 시스템을 제공해야 한다고 생각함. 정말 필요하지만 실질적으로 활용이 어렵고 안 쓰이는 게 아쉬움

    • 벨기에는 “itsme”라는 서비스가 있음. 오래전부터 있었고, 정부 위주로 시작했지만 이제 은행들도 많이 도입하고 있음

    • 독일 eID는 단순히 불편한 게 아니라 서비스에 도입하고 연동하기가 쉽지 않고 비용도 듦. 오히려 상업적 시스템(유료 솔루션) 쓰게 하려는 의도로 만들어진 것 같음(자세히)

  • 정부 신분증을 Discord에 올리는 건 멍청한 짓임

    • 영국에서는 Online Safety Act 준수를 위해 신원을 Discord에 증명해야 13세 이상 프리 스피치 채널에 접근 가능함

    • 13세 이하로 밴을 당하는 경우가 흔함. 예를 들어 누가 사진 속 촛불 수를 묻는데 대답했다가, 채팅 내용을 “몇 살이냐?”로 편집하면 답변이 갑자기 나이를 말한 걸로 바뀜. Discord는 예전 엠에센메신저(MSN Messenger)나 Yahoo IM 같은 존재이고, 디지털 인맥과 서버 기록 모두 이 계정 하나에 달려 있음. 계정을 잃으면 친구, 커뮤니티 모두 끊기기 때문에, 본인 확인 후 일주일 지나면 신분증 정보를 완전 삭제하거나, 계정 패널에서 아예 없애야 될 것임

    • 사용자 탓은 옳지 않음. 회사는 정부 법률에 의해 정책을 만들고 만 18세 이상 인증을 강제함. 나도 얼굴인식 AI로 인증을 해보려다 너무 안 돼서 결국 권장대로 고객센터에 문의했고, Discord가 “확인 후 바로 신분증을 삭제함”이라는 공식정책을 보고 업로드하였음(정책) (삭제정책). 하지만 Discord가 약속대로 삭제를 못 하고 유출당함. 전체 책임은 3자 업체와 데이터를 어설프게 다룬 Discord, 그리고 이런 정책을 강제한 정부에 있음. 우리 같이 기술에 밝은 사람은 셀프호스팅이나 우회 경로를 쉽게 찾을 수 있어도, 일반 대중은 불가능함. 이런 사건이 앞으로 이런 강제 인증정책에 저항하는 계기가 되었으면 좋겠음. 하지만 영국 정부는 “아이들 보호”를 외치며 Discord에게 모든 책임을 돌릴 듯

    • 이미 수많은 크립토(암호화폐) 거래소에 내 운전면허증, 여권, 기타 신분증이 등록되어 있음. 어쩔 수 없는 현실이고, 진짜 KYC(실명확인)에는 영상신원확인 절차도 필수임

  • “3자 업체 탓”이라는 해명은 너무나 흔해진 패턴임. 정부 신분증처럼 민감한 정보를 모으면서, 데이터가 누구의 손에 있든 관련 보안은 초고수준으로 맞춰야 하는 것임

  • 단순 궁금해서 질문함 – 나이 인증 완료 후에도 이런 데이터 저장이 법적으로 요구되는 것인지 궁금함

    • 그게 이번 사건에서 가장 이상한 점임. 굳이 왜 이런 책임을 떠안는지 모르겠음. 정말 저장해야 한다면, 만약 유출되면 정말 큰일이라고 가정해 철저히 분리해서 제한적으로만 접근 가능한 별도 서비스에 두어야 함

    • 나는 다른 업종에 있지만, 신원 확인이 필요할 때는 정보 표시 순간에 메타데이터만 추출 후 바로 이미지는 폐기함. 법무팀 허가 없이 그런 이미지를 장기 저장한다는 건 일반적으로 상상도 못할 일임, 나이나 이름 같은 단순 검증에선 더더욱 이유가 없음

    • 꼭 저장했다는 말은 근거 없는 추정일 수도 있음. 이번 유출 건이 정보 처리 과정중에 실시간으로 빼낸 일시적 데이터였을 수도 있음, 상시 저장된 정적 저장소 전체가 뚫린 건 아닐 수 있음

    • 추측이지만, 중복 계정 감사를 위해 원본 신분증 이미지를 일부 저장했을 수도 있음. 머신러닝 모델이 두 계정이 동일인이라고 의심하면 원본 이미지와 비교해서 중복 확인 용도로 씀

    • EU(유럽연합)에서는 오히려 반대임. GDPR(유럽 개인정보보호법) 때문에 최소한의 데이터만 쓰고 목적 외 활용은 금지됨, 예를 들어 나이 인증용으로 제출한 데이터는 인증 후 반드시 삭제해야 함

  • ZenDesk는 “Discord가 Zendesk CX 플랫폼의 AI 기반 셀프서비스 투자로 원활한 지원을 제공하고 있다”고 자랑함

답변달기