디스코드 중심 온라인 도구 제작자들이 6,000개 서버의 3,500만 사용자로부터 18억 개의 메시지를 스크래핑했다고 주장하는 서비스를 광고하고 있습니다. 이 데이터에는 2억 700만 개의 음성 세션, 사용자 프로필 및 파일도 포함되어 있어 심각한 개인정보 보호 문제를 제기합니다. 이는 디스코드가 유사한 서비스인 Spy.Pet을 이용약관 위반으로 차단한 지 2년도 채 되지 않은 시점입니다.
인기 데이터 유출 포럼에서 광고된 이 새로운 서비스는 유료 구독자에게 수십억 개의 레코드를 검색할 수 있는 기능을 제공한다고 주장합니다. 이 서비스를 처음 보도한 Cybernews의 연구원들은 이러한 접근이 표적 괴롭힘, 신상 털기 및 기타 악의적인 활동에 사용될 수 있다고 경고합니다.
광고에 따르면 이 서비스는 3,500만 사용자의 18억 개 메시지를 색인화합니다. 그러나 데이터는 텍스트를 넘어 2억 700만 통의 음성 세션 메타데이터, 사용자 프로필 정보 및 서버에 업로드된 파일도 포함하는 것으로 알려졌습니다. Cybernews 연구팀은 서비스를 구독하지 않고는 전체 범위를 확인할 수 없지만(구독을 권장하지 않음), 실시간 색인화 주장은 지속적인 데이터 수집을 시사한다고 지적합니다.
이 규모는 6억 2천만 사용자의 공개 메시지를 스크래핑한 이전 Spy.Pet 작업을 능가합니다. 새 서비스는 유출된 데이터베이스 및 FiveM 서버의 데이터도 통합하여 디스코드 이상으로 범위를 확장합니다.
디스코드 메시지 스크래핑은 일반적으로 봇이 액세스할 수 있는 채널에서 데이터를 추출하는 자동화 도구 또는 셀프봇(자동화된 사용자 계정)에 의존합니다. 공개 디스코드 서버는 메시지가 모든 구성원에게 표시되므로 특히 취약합니다. Apify와 같은 플랫폼에서 제공되는 상용 스크래핑 도구는 디스코드 토큰을 얻고 메시지 기록을 내보내는 단계별 가이드를 제공합니다. 이러한 도구에는 커뮤니티 분석, 아카이빙 또는 백업과 같은 합법적인 용도가 있지만 악의적인 행위자가 쉽게 무기화할 수 있습니다.
서비스 이용약관에 따르면 이 서비스는 엄격한 GDPR 시행이 적용되는 EU 회원국인 에스토니아에서 운영됩니다. 그러나 동일한 이용약관에 따르면 스크래핑된 데이터는 러시아에 위치한 서버에 저장됩니다. 이는 관할권 허점을 만듭니다. EU 개인정보 보호법을 준수한다고 주장하면서도 데이터 저장소는 사실상 EU의 범위를 벗어날 수 있습니다.
Cybernews 팀은 "이 서비스는 온라인 괴롭힘을 용이하게 하기 위해 만들어진 것으로 보입니다"라고 설명했습니다. 이중 위치 전략은 운영자가 법적 영향을 피하면서 데이터를 두 가지 방식으로 수익화하는 데 도움이 될 수 있습니다. 사용자가 메시지에 액세스하는 데 비용을 청구하고 피해자가 데이터를 제외하는 데 비용을 청구하는 것입니다.
서비스의 비즈니스 모델은 감시에 대한 수요와 프라이버시에 대한 절박함을 모두 이용하도록 설계된 것으로 보입니다. 연구원들은 이것이 AI 훈련을 위한 "엔터프라이즈 옵션"도 제공했던 Spy.Pet 모델을 반영한다고 지적합니다. 액세스와 제외 모두에 비용을 청구함으로써 운영자는 자신이 만든 침해 자체로 이익을 얻을 수 있습니다.
2024년 초, 디스코드는 Spy.Pet과 연결된 계정과 봇을 차단하여 데이터 공급을 효과적으로 차단했습니다. 디스코드의 이용약관은 스크래핑을 명시적으로 금지하며, 회사는 위반자에 대해 집행 조치를 취한다고 밝혔습니다. 그러나 유사한 서비스의 출현은 이러한 조치가 불충분함을 시사합니다.
새 서비스는 "유출된 데이터베이스 및 FiveM 서버와의 더 많은 통합"을 주장하며 데이터 집계의 진화를 나타냅니다. FiveM은 인기 있는 Grand Theft Auto 멀티플레이어 모드로, 종종 디스코드 서버와 함께 대규모 커뮤니티를 호스팅합니다. 디스코드 데이터를 외부 유출과 결합함으로써 서비스는 사용자의 더 풍부한 프로필을 구축하여 괴롭힘이나 신원 도용에 대한 가치를 높입니다.
일반 사용자의 경우 이러한 서비스의 존재는 공개 디스코드 서버에 게시된 모든 내용이 아카이브되어 검색 가능하고 지불 의사가 있는 사람에게 액세스될 수 있음을 의미합니다. 구성원이 스크래퍼 봇을 실행하는 경우 비공개 서버도 면역되지 않습니다. 녹음이 더 어려운 음성 세션도 이제 표적이 되고 있습니다.
위험은 가상이 아닙니다. 올해 초 한 그룹이 거의 1,000개의 공개 디스코드 서버에서 3억 4,800만 개 이상의 메시지를 스크래핑했다고 주장했습니다. 도구가 더 정교해지고 접근성이 높아짐에 따라 대규모 스크래핑의 진입 장벽이 낮아지고 있습니다. 커뮤니티 관리자와 서버 관리자는 메시지 기록 가시성을 제한하고 무단 봇을 모니터링하는 등 노출을 제한하기 위한 사전 조치를 취해야 합니다.
디스코드는 아직 이 특정 서비스에 대해 공개적으로 언급하지 않았지만, 패턴은 계속되는 숨바꼭질 게임을 시사합니다. 하나의 데이터 스크래핑 작업이 차단되면 더 많은 기능과 더 나은 회피 기술을 갖춘 다른 작업이 등장합니다. 플랫폼 보안과 데이터 수확자 간의 군비 경쟁은 멈출 기미를 보이지 않습니다.