---
title: "해커들이 폭로한 연령 인증 소프트웨어의 감시 네트워크 실체"
published: 2026-02-20T23:32:03.000Z
canonical: https://jeff.news/article/1026
---
# 해커들이 폭로한 연령 인증 소프트웨어의 감시 네트워크 실체

보안 연구자들이 $20억 기업가치의 신원 인증 업체 Persona의 코드가 미국 정부 서버에 노출된 것을 발견함. 269종 인증 검사, 얼굴 인식 워치리스트 대조, 3년간 데이터 보관 등 광범위한 감시 기능이 드러났으며, Discord는 이후 Persona 도입을 철회함.

## Persona: 연령 인증 너머의 감시 인프라

- 보안 연구자들이 Peter Thiel이 투자한 신원 인증 스타트업 **Persona**(기업가치 $20억)의 프론트엔드 코드가 미국 정부 인가 서버에 공개 노출된 것을 발견함
- 2,456개의 공개 파일에서 **269종의 개별 인증 검사**, 얼굴 인식 기반 워치리스트 대조, 14개 카테고리의 부정적 미디어 스크리닝이 확인됨
- IP 주소, 브라우저 지문, 기기 지문, 정부 발급 ID, 셀카 배경까지 분석해 최대 **3년간 보관**하는 구조임

> [!WARNING]
> Persona는 단순 연령 인증이 아니라 셀카만으로 "의심스러운 개체"로 분류하며, 금융 보고(SAR)와 직접 연결되어 은행 계좌 해지로 이어질 수 있음

## 주요 고객사와 정부 연결

- Persona는 Discord, OpenAI, Roblox, Heritage Bank 등의 신원 인증을 담당해왔음
- `openai-watchlistdb.withpersona.com`이라는 도메인이 발견되었으며, OpenAI가 전체 사용자를 대상으로 자체 워치리스트 DB를 구축한 것으로 보임
- FedRAMP 인가를 받은 정부용 별도 구현체(`withpersona-gov.com`)도 확인됨
- 블록체인 분석 업체 Chainalysis, TRM Labs와 연동되어 암호화폐 활동까지 검사하는 구조임

## Discord의 대응과 연구자 경고

- Discord는 최근 "십대 기본 설정"을 발표하면서 Persona를 연령 인증에 사용하려 했으나, 이번 발견 이후 **Persona 도입을 철회**함
- 작년에도 Discord에서 7만 장의 신분증 사진이 유출되어 몸값 요구를 받은 바 있음
- 연구자들은 "국가는 모든 것을 보길 원하고, 기업도 모든 것을 보길 원한다. 그리고 그들은 협력하는 법을 배웠다"고 경고함

> [!IMPORTANT]
> 중앙화된 신분증 데이터베이스는 항상 공격자의 표적이 되며, 연령 인증이라는 명목으로 구축된 감시 인프라가 정부-기업 간 공유되고 있다는 점이 핵심 문제임

## 핵심 포인트

- Persona 프론트엔드 코드 2,456개 파일이 미국 정부 서버에 공개 노출
- 269종 인증 검사와 14개 카테고리 부정적 미디어 스크리닝 수행
- OpenAI 워치리스트 DB와 FedRAMP 인가 정부 구현체 발견
- Discord가 Persona 연령 인증 도입 철회

## 인사이트

연령 인증이라는 명목으로 구축된 KYC/AML 인프라가 정부-기업 간 감시 네트워크로 확장되고 있으며, 중앙화된 생체 데이터 수집의 위험성이 다시 한번 입증됨