디스코드(Discord) 나이 인증 우회, 기술적 허점은?

게시물에 따르면, 디스코드(Discord)가 사용하는 K-ID의 나이 인증 시스템은 얼굴 인식 대신 얼굴 메타데이터를 사용한다. 기술적으로 보면, 이 메타데이터를 조작하여 인증을 우회하는 방식이다. 특히, 암호화된 페이로드(Encrypted Payload)와 예측 데이터(Prediction Data)를 분석하고 조작하는 것이 핵심이다. 이러한 취약점은 데이터 미저장 정책(Zero-Retention Policy)을 사용하는 시스템에서도 발생할 수 있음을 시사한다.

기술적으로 보면, 인증 우회를 위해 AES-GCM 암호화 방식을 사용한 encrypted_payload를 생성하고, auth_tag, timestamp, iv를 조작한다. 또한, raws, outputs, primaryOutputs로 구성된 예측 데이터를 분석하여, z-score를 이용한 이상치 제거 과정을 파악한다. 이러한 분석을 통해, 개발자는 실제 얼굴 인식 없이도 인증을 통과할 수 있는 기술을 구현했다.

커뮤니티에서는 이러한 우회 기술이 보안 취약점(Security Vulnerability)을 야기하고, 플랫폼의 GDPR 규제 준수(GDPR Compliance)에 문제를 일으킬 수 있다고 지적한다. 특히, 나이 인증 시스템의 허점을 악용한 악의적인 행위가 발생할 수 있다는 우려가 제기된다. 또한, 이러한 취약점을 해결하기 위한 지속적인 패치와 우회 기술 간의 경쟁이 불가피하다는 의견이 지배적이다.

댓글에서는, 이러한 우회 기술이 플랫폼의 업데이트에 따라 쉽게 무력화될 수 있다고 지적한다. 실제로, 게시물 작성자는 K-ID의 얼굴 인식 기술(Face Recognition Technology) 파트너인 Faceassure의 업데이트로 인해 기존 우회 방법이 막혔다고 언급한다. 따라서, 플랫폼은 지속적인 보안 강화 노력을 통해 이러한 우회 시도를 막아야 하며, 개발자는 새로운 우회 기술을 끊임없이 개발해야 하는 상황이다.

댓글에서는, 실제 웹캠 대신 인공적으로 생성된 비디오 입력을 사용하는 방법이 제시된다. 기술적으로 보면, 고해상도 화면을 통해 가짜 웹캠 입력을 생성하는 방식이다. 이러한 기술은 플랫폼의 보안 시스템을 더욱 어렵게 만들 수 있으며, 멀티모달 분석(Multimodal Analysis)과 같은 고도화된 기술이 필요할 수 있다. 하지만, 이러한 기술 역시 지속적인 발전에 따라 무력화될 수 있다.