Home > 전체기사

모든 분야에 메타버스가 대세라는데... 보안은 괜찮은거야?

  |  입력 : 2022-01-29 11:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
SF소설 스노크래시에서 처음 언급된 메타버스...게임과 유사한 가상세계
입·출력값 보안, 상호작용 보안, 디바이스 보안 등 위협 가능성 제기돼


[보안뉴스 위아람 기자] 마인크래프트, 로블록스, 제패토. 언뜻 게임이라는 카테고리로 묶을 수 있을 것 같은 이 3가지 플랫폼의 공통점은 전부 다 메타버스라고 지칭된다는 것이다. 메타버스(metaverse)란 가상, 초월을 의미하는 ‘메타(meta)’와 우주를 의미하는 ‘유니버스(universe)’의 합성어다. 처음 메타버스라는 단어가 언급된 건 닐 스티븐슨의 SF 소설인 ‘스노크래시’로 알려져 있다.

[이미지=utoimage]


유명 SNS인 페이스북이 모회사의 이름을 메타로 바꿀 정도로 전세계는 메타버스의 열기에 빠져있다고 해도 과언이 아니다. 특히, 코로나19로 인해 비대면 상황이 일반화된 지금 가상현실 플랫폼에서 이뤄지는 상행위, 문화적 활동에 대한 관심이 고조되고 있다. 네이버는 27일 컨퍼런스콜에서 자사의 메타버스 서비스인 제패토가 전세계적으로 2억 6,000만명의 가입자를 확보했다고 밝혔다.

조금씩 우리의 실제 현실을 지배해가고 있는 메타버스 시대의 보안 위협에 대해 주목한 논문이 있어 소개한다. 진승헌 한국전자통신연구원(ETRI) 책임연구원 등이 저술한 ‘확장된 가상현실인 메타버스에서의 보안 위협 분석’(정보보호학회지 제31권 제6호)이 그것이다.

메타버스의 정의... 증강현실, 일상기록, 거울세계, 가상세계
2007년 미국의 기술연구 단체 ASF는 메타버스 로드맵을 발표하면서 메타버스의 4가지 요소를 언급했다. 증강현실, 일상기록, 거울세계, 가상세계. 증강현실은 현실 공간에 2차원 또는 3차원으로 가상의 물체를 겹쳐서 표현하는 환경을 의미한다. 일상기록은 사람 및 사물에 대한 일상적인 경험 및 정보를 저장하고 묘사하는 기술이다. 거울세계는 현실세계를 최대한 유사하게 표현하되, 정보 측면으로 확장된 가상세계를 의미한다. 가상세계는 현실과 유사하거나 완전히 다른 새로운 세계를 디지털 데이터로 구축한 것으로 사용자들은 아바타라는 새로운 신분으로 현실세계와 유사한 경제적·사회적 활동을 보장받는다.

증강현실의 대표적인 예로는 포켓몬고를 들 수 있다. 포켓몬고는 스마트폰의 카메라를 통해 현실세계를 보여주는 화면 속에서 3D로 구현된 포켓몬 캐릭터를 잡거나 교환하는 방식의 게임이다. 일상기록의 예로는 페이스북을 들 수 있다. 기존의 소셜 미디어에서 메타버스로 발전하고 있으며 추후 VR을 포함하는 서비스로의 확장이 예상된다.

거울세계는 구글어스를 통해 살펴볼 수 있다. 구글어스는 2005년 구글에서 제공하기 시작한 서비스로 전세계에 다양한 지역 정보를 제공한다. 가상세계의 예로는 국내에서도 인기를 얻고 있는 로블록스를 꼽을 수 있다. 2006년 처음 출시한 로블록스는 온라인 게임 플랫폼으로 사용자들이 직접 게임을 설계하고 개발하며 개발된 게임을 공유해 함께 즐기는 게임이다.

메타버스의 보안 위협... 입·출력값 보안
해당 논문에서는 XR 관련 다양한 연구들을 기반으로 실제 발생하거나 발생 가능성이 높은 위협을 기준으로 메타버스 관련 보안 위협을 3가지로 분류했다. 데이터 측면에서도 확인할 수 있는 입력값 및 출력값 보안과 다중 사용자 및 다중 애플리케이션의 활용으로 발생할 수 있는 상호작용 보안, 그리고 물리적인 사용자의 행동 및 환경을 파악하는 디바이스 보안이 있다.

높은 자유도와 다양한 경험 제공이 중요한 메타버스에서는 PC 뿐만 아니라 엑스박스, 닌텐도 등과 같은 콘솔과 함께 스마트폰에서도 동일한 서비스를 제공하고 있다. 또한, 키보드와 마우스 같은 1차원적인 입력장치만 사용하지 않고, 헤드 마운티드 디스플레이, 카메라 등의 다양한 입출력 장치를 지원한다.

이러한 다양한 디바이스 중에서 가장 대중적으로 사용되는 카메라를 통해 사용자들이 원하지 않는 많은 정보가 유출될 수 있다. 세계적으로 많이 사용하는 줌은 사용자들의 배경을 통해 많은 정보가 유출되고 있다. 포켓몬고는 실외에서도 스마트폰만 있으면 자유롭게 증강현실을 즐길 수 있지만 행인 및 주변사람들은 동의 없이 카메라를 통해 데이터로써 수집되고 있다.

메타버스 서비스를 위해 입력되는 다양한 데이터와 새로운 입력값으로 사용될 수 있는 출력 데이터에 대한 보안은 사용자들이 인식하지 못하는 경우가 많아 쉽게 지나칠 수 있다. 따라서 입력값 및 출력값에 대한 보안은 매우 중요하다.

이러한 입·출력값 데이터 보호를 위해 다양한 기술들이 제안됐다. 먼저 DARKLY 시스템은 입력되는 데이터에 대해 다양한 특징점을 가공처리한다. 예를 들어 사용자의 얼굴이 카메라로 인식된다면 해당 얼굴의 각 부분에 대해 사용자가 원하는 만큼 데이터를 숨길 수 있다.

최근에는 2차원 데이터가 아닌 3차원 데이터에 관한 기술들도 제안되고 있다. 스마트폰 카메라로 수집되는 데이터에 대해 중간 계층을 추가함으로써 입력 데이터를 보호하는 기술이 제안됐다. 또한, 마이크로소프트 홀로렌즈를 통해 3차원 데이터가 입력될 때 발생할 수 있는 개인정보 침해를 막기 위해 새로운 인식 방법을 제시해 노출되는 데이터를 감소시킨 경우도 있었다.

상호 작용 보안... 디바이스 보안
메타버스에서는 단일 사용자를 위한 환경을 구축하는 것이 아닌 다중 사용자가 동일한 공간을 공유해 다양한 경험을 제공하는 것이 주요 목적 중 하나다. 또 다양한 애플리케이션과 서비스를 연동해 하나의 세계로 통합하는 장점이 있으며, 관련 기술 개발이 진행되고 있다. 메타버스는 3차원 세계의 구현으로 인해 새로운 데이터를 다루고 있기 때문에 이에 알맞은 기술개발이 필요하다. 동시에 이전과 다른 새로운 프라이버시 침해 및 보안 이슈가 발생할 수 있다.

2017년에 미국의 메신저 서비스인 스냅챗은 아티스트와 협업해 증강현실에 예술 작품을 전시했다. 메타버스의 특성 중 하나인 높은 자유도로 인해 해당 작품은 스냅챗 애플리케이션을 사용하면 누구나 확인할 수 있었지만, 반대로 작품을 훼손하는 것도 가능했다. 해당 작품이 전시되는 위치 데이터를 사용해 악의적인 사용자들은 낙서를 통해 작품을 훼손했다.

이때 해킹이 발생한 것이 아닌 동일한 위치 정보에 다른 데이터를 입힌 것으로 밝혀졌다. 다중 사용자들에게 허용되는 공유공간에서의 보안 위협이 발생한 것이다.

메타버스 사용자들의 상호작용은 일반적으로 공유된 공간에서 발생한다. 따라서 해당 공유공간의 설계 방법과 이때 필요한 프로토콜이 매우 중요하다. 또 스냅챗의 사례로 알 수 있듯이 높은 자유도로 인한 무분별한 접근은 분명히 문제가 될 수 있으며, 적절한 접근 통제가 필요하다.

메타버스는 사용자들이 아바타를 활용해 진행하기 때문에 아바타의 접근 여부를 판단하는 사용자 인증이 매우 중요하다. 현재 암호는 가장 대중적인 인증 수단으로 사용되고 있지만, 보안을 보다 강화하기 위해 두 개 이상의 독립적인 방법을 사용하는 다중요소 인증이 사용되고 있다.

다양한 디바이스를 활용하는 메타버스는 서비스에 접근하는 인증 수단에 디바이스를 포함하는 기술개발이 필요하다. 또 디바이스를 기반으로 서비스에 접근하기 때문에 디바이스의 접근 통제를 위한 인증 기술도 함께 개발돼야 한다. 스마트폰의 예시를 살펴보면 현재 우리는 비밀번호, 생체정보 등을 통해 스마트폰(디바이스)의 잠금을 해제하고 내부 애플리케이션에 접근하기 위해 새로운 인증을 진행하고 있다.

스마트폰의 생체정보 및 비밀번호와 유사하게 가상 환경에서 수행할 수 있는 기기접근 통제 및 서비스 접근 인증 기술에 관한 연구들이 수행되고 있다. 한 연구에서는 인증 기술에 대한 활용 가능성에 집중했다. 기존의 PC 환경 및 온라인 시스템에서 수행됐던 다양한 인증 기술과 함께 가상 인터페이스에서 수행되는 핀 및 패턴 인식 인증 방법을 비교하고 분석했으며 실행 시간 측면에서는 유사한 결과를 보였다. 시선 추적 및 동작 등을 활용한 가상 인터페이스 환경의 인증 방법으로 기존의 인증 방법을 대체할 수 있다.

먼저 동작 인식 방법을 활용한 기술들이 제안됐다. 기존의 마우스와 유사하게 손가락 움직임을 통해 인증을 진행하는 기술이 개발됐으며 기기를 통해 머리의 움직임을 함께 사용하는 기술이 제안됐다. 또 음악과 같은 소리를 통해 머리의 움직임을 발생시켜 인증을 진행하고, 호흡 등과 같은 신체적 움직임을 활용해 인증이 가능하다.

이와 다르게 기존의 지문 및 얼굴 인식과 유사하게 생체정보를 활용한 인증이 가능하다. 광전용 적맥파 측정기를 활용해 사용자의 맥파형을 수집 및 활용하는 생체정보 기반 키 교환 기술이 개발됐으며, 이는 기존에 혈관 측정이 불가능한 기기에 해당 디바이스를 함께 연동해 사용할 수 있다. 또 구글 글래스를 활용하는 SKullConduct는 골전도 기능을 활용해 사용자의 인증을 수행한다.

논문의 주저자인 진승헌 ETRI 정보보호연구본부 책임연구원은 “이번 연구는 메타버스 보안에 대한 초기 서베이 연구에 해당한다”며 “메타버스 보안과 관련해서 연구가 이뤄진 경우는 별로 없다. 앞으로 메타버스 내에서의 거래, 개인 식별, ID 관리, 인증과 관련해서 후속 연구가 이어질 것으로 본다. 개인적으로는 메타버스를 가상세계가 아닌 또 하나의 현실이라고 보는데 이 속에서 새롭게 거래가 이뤄질 수 있고 NFT 등 가상자산의 유통이 가능하다”며, “조 바이든이 지난번 선거에서 ‘모여라 동물의 숲’이란 게임을 통해 선거 캠페인을 했던 것처럼 점점 더 다양한 세대와 계층의 사람들이 메타버스에 접속해 여러 가지 활동을 전개해 나갈 것으로 예측한다”고 말했다.
[위아람 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)