정부 ID 이미지를 노출한 디스코드 데이터 유출 사건은 중앙 집중형 검증 시스템에 대한 재조사를 촉구하게 되었으며, 여러 업계 전문가들이 중요 신원 데이터를 저장하지 않는 대안으로서 영지식 증명(ZKP)을 지목하고 있습니다.
지금까지는 부주의한 사용자가 제3자 고객 서비스 제공업체의 시스템에 접근하여 제한된 수의 사용자 데이터가 노출되었다고 가디언지가 보도했습니다.
손상된 정보에는 사용자 이름, 이메일, 결제 세부사항, IP 주소 및 일부 경우에는 나이 확인을 위해 제출된 여권 및 운전 면허증과 같은 정부 ID 이미지가 포함되었습니다.
디스코드는 사고 발생 후 제공자의 접근을 철회하고 법 집행기관과 협력하고 있다고 밝혔습니다.
업계 인사들은 이번 유출 사건이 온라인 플랫폼이 신원 확인을 처리하는 방식에 있어 더 넓은 문제를 드러낸다고 말하며, 이는 개인 문서를 수집하고 저장하는 관행에 뿌리를 두고 있습니다.
Yellow.com과의 인터뷰에서 Concordium의 최고 성장 책임자 Varun Kabra는 플랫폼이 민감한 정보를 전혀 저장하지 않을 때 이러한 위험을 크게 줄일 수 있다고 언급했습니다.
그는 영지식 증명 시스템이 플랫폼이 신원 문서에 접근하거나 보유할 필요 없이 사용자 특성(예: 나이 또는 관할권)을 검증할 수 있게 한다고 설명했습니다.
“사용자는 로컬 월렛에 암호화된 자격을 유지하며, 인증된 신원 제공자는 컴플라이언스를 위해 안전한 사본을 보관합니다,”라고 Kabra는 말했습니다. “디스코드가 ID 스캔을 저장하는 대신 ZK 자격을 나이 검증에 사용했다면, 최근 유출은 개인 식별 데이터를 노출하지 않았을 것입니다.”
Mercuryo의 최고 사업 책임자 Arthur Firstov는 디스코드 사례가 중앙 데이터베이스가 여전히 공격자의 매력적인 타겟이 되는 방식을 보여준다고 말했습니다.
그는 “민감한 정보가 데이터베이스에 보관되면 타겟이 됩니다,”라며 ZKP가 이를 방지할 수 있는 길을 제공한다고 덧붙였습니다. “ZKP를 사용하면 플랫폼은 누군가가 특정 요건을 충족하는지를 확인할 수 있지만 실제 데이터는 결코 사용자의 제어를 벗어나지 않습니다. 이는 훔칠 가치가 있는 것이 전혀 없음을 의미합니다.”
개인 정보 보호 옹호자와 보안 전문가에게 이번 유출은 개인 정보 우선 검증 시스템을 통해 디지털 신뢰를 재구축해야 한다는 필요성을 상기시큅니다.
Firstov는 영지식 기술의 더 광범위한 사용이 이를 달성할 수 있다고 덧붙였습니다.
“개인 정보는 사람들이 온라인에서 상호 작용할 수 있는 자신감을 줍니다. 영지식 기술은 정보 누출 없이 신뢰를 입증함으로써 이를 가능하게 합니다.”라고 그는 말했습니다.
G-Knot의 CEO Wes Kaplan은 이번 유출이 디지털 신원 환경의 예측 가능한 약점을 예시한다고 말했습니다.
“중앙 집중식의 민감한 데이터 수집은 잠재적 위험 요소입니다,”라고 그는 말했습니다.
Kaplan은 Discord의 나이 확인 프로세스가 문서 업로드가 아닌 암호학적 인증에 의존했다면 개인 ID의 취약한 데이터베이스는 없었을 것이라고 언급했습니다.
“광범위하게 사용되는 플랫폼의 경우 ZK를 활용한 신원 확인으로 전환하는 것은 더 이상 이론적으로 남아 있지 않습니다; 필요한 일이 돼가고 있습니다,”라고 덧붙였습니다. “데이터 유출이 불가피한 세계에서는 신원을 훔칠 수 없도록 만드는 것이 유일한 진정한 방어 방법입니다.”
매달 2억 명 이상의 활성 사용자를 보유한 디스코드는 영국과 호주와 같은 시장에서 얼굴 나이 확인 도구를 사용하고 있습니다.
호주에서 다가오는 16세 미만의 소셜 미디어 규정에 따라 플랫폼은 여러 나이 확인 옵션과 항소 프로세스를 제공해야 합니다.
하지만 전문가들은 업계가 문서 기반 확인 시스템에서 완전히 벗어나지 않는 한, 이번과 같은 유출은 사용자를 불필요한 위험에 노출시키게 될 것이라고 말합니다.