[뉴스스페이스=윤슬 기자] 글로벌 메신저 플랫폼 디스코드는 2025년 9월 20일 발생한 제3자 고객 지원 업체 해킹으로 약 7만명의 사용자 정부 발급 신분증 사진이 유출됐다고 10월 초 공식 확인했다.
Discord 공식 발표, BBC, NBC News, IGN, SecurityWeek, Rescana.com, BleepingComputer, CyberPress.org에 따르면, 이 사고는 디스코드 자체 시스템이 아닌, 고객 지원을 위해 외부에 위탁한 업체인 5CA(또는 Zendesk 관련 지원 플랫폼)에서 발생했다.
사용자 이름, 이메일 주소, IP 주소, 그리고 일부 신용카드 마지막 4자리까지 일부 개인정보도 유출됐다. 디스코드는 영향 받은 사용자들에게 이메일로 통지 중이며, 사건 대응을 위해 법 집행기관 및 보안 전문가들과 협력하고 있다.
이번 해킹을 자처한 사이버 범죄 조직 'Scattered Lapsus$ Hunters'는 훨씬 더 큰 규모인 1.5TB에 달하는 데이터와 약 2100만장의 신분증 사진을 탈취했다고 주장하며, 350만 달러의 몸값을 요구해 디스코드를 압박했다. 이들은 디스코드의 Zendesk 고객 지원 시스템에 58시간 동안 침입했다고 밝혔으나, 디스코드는 이 주장에 대해 수치를 부풀린 협박이라며 강력히 부인했다. 디스코드는 해커들의 불법 행위에 대해 보상하지 않을 것임을 천명했다.
디스코드는 해킹 사실을 인지한 즉시 해당 제3자 업체의 티켓팅 시스템 접근권한을 즉각 취소하고, 선도적인 컴퓨터 포렌식 회사에 의뢰해 전면적인 조사를 시작했다. 또 법 집행기관에 신고하고 국제 데이터 보호 당국과도 협력 중이다. 다만, 디스코드는 사고와 연관된 제3자 회사 명칭을 명확히 공개하지 않았으나, 보안 연구진들은 Zendesk가 침해된 플랫폼이라 추정하고 있다.
이번 사고는 디스코드의 의무적 연령 확인 정책과 맞물려 사회적 논란을 일으키고 있다. 디스코드는 영국 온라인 안전법(Online Safety Act)과 유럽 디지털 서비스법(DSA)에 의거해 13세 미만 아동 보호를 위해 성인 확인 과정에서 정부 발급 신분증 사진 제출을 요구해 왔다.
유저가 미성년자로 의심될 경우 얼굴과 신분증을 함께 들고 찍은 사진을 제출하도록 하는 정책으로, 제출된 신분증은 연령 확인 목적에 한정해 사용되며 이후 삭제해야 한다. 그러나 실제로는 이러한 민감한 개인정보가 다수 제3자 시스템에 저장되고, 이번처럼 해킹 위험이 노출되면 심각한 개인정보 침해 우려가 제기된다.
프라이버시 전문가와 시민 단체들은 연령 확인법으로 인한 데이터 유출 위험을 비판하며, 연령 확인의 필요성은 인정하더라도 현재 방식이 과도한 개인정보를 요구하고 보안상 취약하다고 지적한다. 기술적 대안으로는 얼굴 인식이나 자체 검증 방식 등이 제시되고 있으나, 여전히 개인정보 보호와 안전성에 대해 평가와 개선이 요구된다.
결국 이번 디스코드 해킹 사고는 빠르게 늘어나는 온라인 플랫폼에서의 연령 확인 및 개인정보 관리에 대한 공공과 기업의 새로운 도전으로 자리잡았다. 디스코드는 사용자 보호와 보안 강화에 나서고 있으나 제3자 시스템을 통한 데이터 관리 리스크가 향후 유사 사건의 경계 대상이다.
