디스코드 MrBeast · Check My Bio 스팸 대응 방법 — AutoMod부터 OCR까지

디스코드에서 MrBeast · Check My Bio · Crypto 스팸이 계속 올라오나요? AutoMod, 트랩 채널(Honeypot), 이미지 OCR을 이용해 실제 운영 중인 대응 방법을 정리했어요.

코드콘 로고
코드콘 블로그
1
디스코드 MrBeast · Check My Bio 스팸 대응 방법 — AutoMod부터 OCR까지 썸네일

디스코드 서버를 오래 운영하다 보면 어느 날부터 같은 형태의 스팸이 반복해서 올라오기 시작해요. 특이한 점은 새로 들어온 계정이 아니라 오래 활동하던 것처럼 보이는 계정이 갑자기 Crypto Giveaway 이미지를 올리거나 "Check my bio"를 여러 채널에 남긴다는 거예요. CordCon(코드콘)은 10만 개 서버 · 400만 사용자가 사용하는 디스코드 봇을 운영하면서 이런 패턴을 반복해서 확인해 왔어요.

💡 이 글을 보면 알 수 있어요

· 최근 Crypto Giveaway 스팸이 반복되는 이유

· Join Raid와 다른 실제 공격 방식

· AutoMod, OCR, Honeypot을 어떤 역할로 함께 사용하는지



🚨 운영자는 왜 같은 Crypto Giveaway 스팸을 계속 보게 될까요?

최근 운영자가 가장 자주 마주치는 스팸은 새로 가입한 봇이 서버를 공격하는 모습이 아니에요. 대부분은 이미 서버에서 활동하던 일반 사용자 계정이 갑자기 Crypto Giveaway 이미지나 "Check my bio" 메시지를 여러 채널에 반복해서 올리는 형태예요. 삭제하고 밴해도 며칠 뒤 다른 계정이 같은 내용을 올리는 일이 계속 이어져요.

image.png

실제로 운영자가 보는 화면은 생각보다 단순해요. 채널마다 Bitcoin, Ethereum, USDT, Wallet, MrBeast 같은 문구가 들어간 이미지가 여러 장 올라오고, 그 아래에 check my bio 한 줄이 함께 붙는 경우가 많아요.

⚠️ 운영자가 체감하는 문제

새 계정이 들어와 광고하는 것이 아니라, 이미 서버 권한을 가진 계정이 여러 채널을 순회하며 같은 메시지를 반복 전송한다는 점이에요.

운영자가 보는 현상

실제 의미

Crypto Giveaway 이미지 반복

이미지 안에 사기 문구가 포함된 경우가 많아요

Check my bio 반복

프로필이나 외부 링크 클릭을 유도해요

여러 채널 동시 도배

동일한 메시지를 가능한 많은 채널에 퍼뜨리려는 행동이에요

이런 이유로 최근 스팸 대응은 "가입을 막는 방법"보다 이미 서버 안에 있는 계정이 반복적으로 메시지를 전송하는 행동을 얼마나 빨리 감지하느냐가 더 중요해졌어요. Discord의 AutoMod는 본문 키워드나 스팸성 메시지를 차단하는 기능을 제공하지만, 이미지 자체의 텍스트는 별도 처리 대상이 될 수 있어 운영 환경에 따라 OCR 같은 추가 검사 로직을 함께 사용하는 경우가 많아요.


🔍 삭제해도 끝나지 않는 이유 — 탈취된 일반 Discord 계정

최근 반복되는 Crypto Giveaway 스팸이 쉽게 사라지지 않는 가장 큰 이유는 공격자가 새 계정을 만드는 방식이 아니라 기존 사용자의 Discord 계정을 탈취하기 때문이에요. 이미 여러 커뮤니티에 가입되어 있는 계정을 이용하기 때문에 한 번의 탈취만으로 여러 서버에서 거의 동시에 같은 스팸을 퍼뜨릴 수 있어요. Bitdefender도 최근 Discord를 노린 피싱 캠페인에서 정상 계정을 탈취해 암호화폐 사기와 악성 링크를 확산하는 사례를 경고하고 있어요.

운영자 입장에서는 처음엔 계정이 해킹됐다는 사실조차 알아채기 어려워요. 프로필도 평범하고, 가입한 지 오래된 사용자이며, 이전까지 정상적으로 활동하던 사람이 갑자기 여러 채널에 같은 이미지를 올리기 시작하기 때문이에요. 그래서 "신규 계정 차단"이나 "가입 후 몇 분간 채팅 금지" 같은 정책만으로는 막을 수 없는 경우가 많아요.

🚨 최근 스팸에서 자주 보이는 특징

같은 계정이 권한이 있는 채널을 빠르게 순회하면서 동일한 이미지와 문구를 반복 전송해요. 운영자가 첫 번째 메시지를 발견했을 때는 이미 여러 채널에 퍼져 있는 경우가 많아요.

운영자가 실제로 마주치는 흐름은 대부분 아래와 비슷해요.

  1. 일반 사용자 계정이 외부 피싱이나 악성 프로그램으로 탈취돼요.

  2. 공격자는 해당 계정이 가입한 여러 Discord 서버를 확인해요.

  3. 메시지를 보낼 수 있는 채널을 순서대로 돌며 같은 스팸을 반복 전송해요.

  4. 운영진이 삭제하고 계정을 밴해도 다른 탈취 계정에서 같은 패턴이 다시 나타나요.

이런 특성 때문에 최근 운영에서는 "누가 가입했는가"보다 "이미 권한을 가진 계정이 어떤 행동을 하는가"를 더 중요하게 봐요. 실제로 Discord는 계정 탈취와 피싱을 지속적으로 경고하고 있으며, 보안 업체들도 최근 Crypto Giveaway 사기의 상당수가 탈취된 정상 계정을 통해 확산된다고 분석하고 있어요. Discord의 보안 안내와 Bitdefender의 사례 분석에서도 이런 유형의 피싱 캠페인이 반복적으로 보고되고 있어요.


🛠️ AutoMod와 OCR을 함께 사용하는 이유

최근 Crypto Giveaway 스팸은 본문과 이미지를 함께 검사해야 대응 속도가 빨라져요. AutoMod는 메시지 본문을 검사하고, OCR은 첨부된 이미지 안의 텍스트를 읽어요. 서로 다른 공격을 막는 기능이 아니라 같은 스팸 메시지를 서로 다른 위치에서 확인하는 역할이라고 이해하면 가장 자연스러워요.

image.png

이러한 경우 check my bio는 AutoMod가 검사할 수 있어요. 하지만 이미지 안에 들어 있는 Bitcoin, Wallet, USDT, Claim 같은 문구는 AutoMod만으로는 확인하기 어려워요. 반대로 이미지 검사만 하면 본문의 check my bio는 그대로 지나갈 수도 있어요.

검사 대상

담당 기능

예시

메시지 본문

AutoMod

check my bio, wallet, giveaway, airdrop

이미지 안의 텍스트

OCR

Bitcoin, USDT, Wallet, Claim, MrBeast, Stake

실제로 운영해 보면 두 기능 중 하나만 사용하는 경우보다 함께 사용하는 편이 훨씬 안정적이에요. 공격자는 이미지 디자인을 계속 바꾸고, 본문도 조금씩 수정하기 때문에 어느 한쪽만 검사하면 놓치는 경우가 생길 수 있어요. 따라서 모든 경우에 대비하는게 좋아요.


🧩 Honeypot 채널이 반복 도배를 막는 방식

최근 Crypto Giveaway 스팸에서 Honeypot은 "가입 직후 공격을 잡는 기능"이 아니라, 여러 채널에 같은 메시지를 반복 전송하는 행동을 이용하는 미끼 채널이에요. 사람은 사용할 일이 없는 채널을 하나 만들어 두고, 스팸 계정이 다른 채널과 똑같이 그곳에도 메시지를 올리는 순간 자동 대응이 시작되는 구조예요.

image.png

최근 스팸 계정은 특정 채널 하나만 노리지 않는 경우가 많아요. 메시지를 보낼 권한이 있는 채널을 순서대로 돌면서 같은 이미지와 같은 문구를 반복해서 올려요. 이 특성을 이용하면 일반 사용자는 접근하지 않는 채널 하나를 준비해 두는 것만으로도 탐지 기회를 만들 수 있어요.

💡 Honeypot의 핵심은 '사람은 가지 않지만 스팸은 지나가는 길'을 만드는 거예요.

실제로 운영에서는 Honeypot만으로 모든 스팸을 막으려 하지 않아요. AutoMod는 본문을 검사하고, OCR은 이미지를 검사하고, Honeypot은 반복 전송 행동 자체를 감지하는 역할을 맡아요. 세 가지가 서로 겹치는 기능이 아니라 서로 다른 관점에서 같은 스팸을 확인하는 구조예요. 그러나 대부분의 경우에는 Honeypot 채널 감지를 통해 스팸 계정을 걸러낼 수 있어요.


자주 묻는 질문 (FAQ)

Q. Discord AutoMod만으로 Crypto Giveaway 스팸을 막을 수 있나요?

일부는 가능하지만 전부는 어려워요. AutoMod는 메시지 본문을 검사하는 기능이에요. check my bio, wallet, giveaway 같은 텍스트는 감지할 수 있지만, 이미지 안에 들어 있는 Bitcoin, USDT, Claim 같은 문구는 별도로 확인하기 어려워요. 최근 스팸은 이미지를 함께 사용하는 경우가 많아서 OCR을 함께 사용하는 편이 효과적이에요.

Q. Honeypot은 Join Raid를 막는 기능 아닌가요?

최근 Crypto Giveaway 사례에서는 조금 다르게 활용해요. 핵심은 입장 직후 탐지가 아니라 여러 채널을 순회하며 같은 메시지를 반복 전송하는 행동을 이용하는 거예요. 사람이 사용할 일이 없는 트랩 채널에도 같은 메시지가 올라오는 순간 자동 삭제, 자동 밴, 로그 기록 같은 후속 동작을 실행하도록 구성할 수 있어요.

Q. Discord에서는 OCR을 어떻게 구현하나요?

Discord에는 이미지 속 글자를 자동으로 읽어 주는 기능이 기본으로 제공되지는 않아요. 그래서 보통은 자체 봇이 첨부된 이미지를 받아 OCR 엔진으로 텍스트를 추출한 뒤, Bitcoin, Wallet, USDT, Claim 같은 키워드나 운영자가 설정한 규칙과 비교하는 방식으로 구현해요. 스팸으로 판단되면 메시지 삭제, 계정 제재, 로그 기록 같은 후속 동작을 자동으로 실행할 수 있어요.


최근 Discord에서 반복되는 Crypto Giveaway와 Check my bio 스팸은 예전처럼 신규 계정이 들어와 광고를 남기는 방식과는 조금 달라졌어요. 이미 서버 안에 있던 일반 계정이 탈취되어 여러 채널에 같은 메시지를 반복 전송하는 형태가 많아지면서 운영/대응 방식도 함께 바뀌고 있어요.

CordCon(코드콘)은 10만 개 서버·400만 사용자를 운영하며 다양한 규모의 디스코드 커뮤니티를 경험해 왔어요. 실제 운영 환경에 맞는 모더레이션 봇, OCR 기반 스팸 탐지, AutoMod 연계 시스템, Honeypot 자동 대응 구조까지 함께 설계하고 있어요. 현재 서버에서 반복되는 스팸 때문에 운영 부담이 커지고 있다면 무료 견적 문의를 통해 현재 운영 환경에 맞는 대응 방식을 함께 검토해 보세요.