정부 신분증 이미지가 노출된 Discord 데이터 유출 사건은 중앙 집중식 인증 시스템에 대한 엄중한 재검토를 촉발했고, 여러 업계 전문가들은 민감한 신원 데이터를 저장하는 대신 제로 지식 증명(ZKP)을 실행 가능한 대안으로 지목하고 있습니다.
회사는 승인되지 않은 행위자가 제3자 고객 서비스 제공업체의 시스템에 액세스하여 제한된 수의 사용자의 데이터를 노출했다고 확인했다고 가디언은 보도했습니다.
유출된 정보에는 사용자 이름, 이메일, 결제 세부 정보, IP 주소, 일부 경우에는 나이 인증을 위해 제출된 여권이나 운전 면허증과 같은 정부 신분증 이미지가 포함되었습니다.
Discord는 사건 이후 공급업체의 접근을 철회하고 법 집행 기관에 협조했다고 밝혔습니다.
업계 인사들은 이번 유출이 온라인 플랫폼이 신원 확인을 처리하는 방식에서 더 넓은 문제를 노출한다고 말합니다. 개인 문서를 수집 및 저장하는 관행에 뿌리를 두고 있습니다.
Yellow.com과의 인터뷰에서 Concordium의 최고 성장 책임자인 Varun Kabra는 플랫폼이 민감한 정보를 전혀 저장하지 않으면 이러한 위험을 크게 줄일 수 있다고 언급했습니다.
그는 제로 지식 증명 시스템이 플랫폼이 식별 문서에 접근하거나 보유할 필요 없이 나이 또는 관할권과 같은 사용자 속성의 확인을 가능하게 만든다고 설명했습니다.
"사용자는 자신의 로컬 지갑에 암호화된 자격 증명을 보관하고, 공인된 신원 제공업체는 규정을 준수하기 위해 보안 사본을 유지합니다,"라고 Kabra는 말했습니다. "Discord가 나이 인증에 ID 스캔을 저장하는 대신 ZK 자격 증명을 사용했다면, 최근의 유출이 개인 식별 데이터가 노출되는 일은 없었을 것입니다."
Mercuryo의 최고 사업 책임자인 Arthur Firstov는 Discord 사건이 중앙 데이터베이스가 여전히 공격자들에게 매력적인 대상임을 설명한다고 말했습니다.
"데이터베이스에 민감한 정보가 저장되면 타겟이 됩니다,"라고 그는 덧붙이며, ZKP는 개인 세부사항의 수집 없이 검증을 허용함으로써 이를 방지할 수 있는 경로를 제공합니다.
"ZKP를 통해 플랫폼은 누군가가 특정 요구 사항을 충족하는지 확인할 수 있지만 실제 데이터는 사용자의 통제에서 벗어나지 않습니다. 즉, 처음부터 훔칠 가치가 있는 것이 없습니다."
많은 개인정보 보호 옹호자 및 보안 전문가들에게 이 유출은 개인정보 우선 인증 시스템을 통해 디지털 신뢰를 재구축할 필요성도 강화시켜 주었습니다.
Firstov는 제로 지식 기술의 더 널리 사용되는 활용이 이를 달성하는 데 도움이 될 수 있다고 덧붙였습니다.
"개인정보 보호는 사람들이 온라인에서 상호작용할 때 자신감을 심어주며, 제로 지식 기술은 정보 공개 없이 신뢰를 증명함으로써 이를 가능하게 합니다,"라고 그는 말했습니다.
G-Knot의 CEO인 Wes Kaplan은 이번 유출이 디지털 신원 지형에서 예측 가능한 취약점을 예시한다고 말했습니다.
"중앙 집중식으로 민감한 데이터를 수집하는 것은 부담입니다,"라고 그는 말했습니다.
Kaplan은 Discord의 나이 인증 프로세스가 문서 업로드가 아닌 암호적 인증에 의존했다면 착취 가능한 개인 ID 데이터베이스가 없었을 것이라고 언급했습니다.
"광범위하게 사용되는 플랫폼의 경우, ZK 기반 신원 인증으로의 전환은 더 이상 이론적으로만 가능하지 않습니다. 이는 필수적이 되고 있습니다,"라고 그는 덧붙였습니다. "데이터 유출이 불가피한 세상에서 유일한 실질적인 방어 수단은 신원을 도난당할 수 없도록 만드는 것입니다."
Discord는 월 2억 명 이상의 활성 사용자를 보유하고 있으며 영국과 호주와 같은 시장에서 얼굴 나이 인증 도구를 사용하고 있습니다.
호주의 다가오는 16세 미만 사회 미디어 규정에 따르면, 플랫폼은 여러 나이 인증 옵션과 이의 제기 절차를 제공해야 합니다.
그러나 전문가들은 업계가 문서 기반 인증 시스템에서 완전히 벗어나지 않는 한 이러한 유형의 유출은 계속해서 사용자를 불필요한 위험에 노출시킬 것이라고 말합니다.