Home > 전체기사

[한국정보보호학회 칼럼] 메타버스와 보안

  |  입력 : 2022-04-25 14:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
메타버스 서비스와 생태계가 확산에 따라, 메타버스 보안 이슈에 대한 관심도 증가
사용자 인증, 아바타 워터마크 삽입이나 아바타를 소유자와 똑같이 만들어 안면 인증 등 제안


[보안뉴스= 최대선 한국정보보호학회 차세대인증연구회 위원장] 미국 전자전기공학회 IEEE는 메타버스를 인터넷의 확장인 온라인 3-D 가상환경으로 정의하고 있다. 개념을 넓히면 인터넷을 실세계로 확장한 ‘증강현실(augmented reality)’, 실세계를 인터넷으로 복제한 ‘거울세계(mirror world)’, 실세계를 기록해 시간 축을 확장한 ‘라이프로깅(lifelogging)’까지 모두 ‘확장’이라는 메타버스 개념에 포함될 수 있다.

[이미지=utoimage]


이러한 메타버스 서비스와 생태계가 확산됨에 따라, 메타버스 보안 이슈에 대한 관심도 증가하고 있다. 대표적인 위험은 프라이버시와 휴먼해킹이다. 프라이버시 위험은 이용자의 프라이버시 침해가 매우 쉽다는 것이고, 휴먼해킹은 AR, VR, BCI 등의 매체를 통해 메타버스를 이용하는 사람에 대한 신체적, 심리적 공격이 가능하다는 것이다. 또한 메타버스 환경이 되면서 새로운 기술이 요구되는 분야로 사용자 인증이 있다.

인터넷의 확장 환경인 메타버스에서는 이용자의 행적을 기록하고 추적할 수 있는 범위가 확대된다. PC나 모바일 서비스 환경에서 이용자 어떤 페이지에 얼마나 머물고, 어떤 아이템을 클릭했는지 등을 기록하고 추적하는 것은 쉽다. 그러나 페이지의 어느 부분을 주의 깊게 보는지 알기 위해서는 별도의 시선 추적 장치를 사용해야 한다. 모바일 이용자의 위치이동 경로를 모두 파악할 수는 있지만, 이동 간에 무엇을 보는지는 알기 어렵다. 여러 가지 센서를 추가하고, 이용자의 도움을 받아야 가능하다. 그런데, 메타버스에서는 이 모든 것들이 그냥 기본적으로 가능하다. 웹서버에서 사용자가 어떤 페이지를 조회했는지 당연히 알 수 있는 것처럼 메타버스 서비스 제공자는 메타버스에서 이뤄지는 이용자의 모든 행동을 기본적으로 알 수 있다. 여기에 더해 AR, VR 장비에 이용자의 뇌파, 심전도, 안근전도 같은 신체 변화를 측정하는 것도 매우 용이하다.

VR 장비를 이용하며 어지러움을 느낀 경험이 있을 것이다. 최근의 연구에 따르면, VR 콘텐츠를 조작하여 의도된 형태의 감각 착각을 유발할 수도 있다. AR 장비에 부착된 카메라, 마이크 등을 통한 악의적 이용자의 몰래카메라 같은 우려가 있는데, 해커가 이를 해킹하면 도촬이나 도청도 가능해진다. BCI(brain computer interface)는 일론 머스크가 뉴럴링크를 설립하면서 더욱 관심을 모으고 있는데, 최근에 메타버스라는 킬러 어플리케이션을 만났다고 할 수 있다. 뉴럴링크의 BCI는 침습형이라 거부감이 있을 수 있는데, 뇌파, 근적외선 등의 수단을 통한 비 침습형 BCI 기술도 많은 개선이 있어서 활용 가능성을 높이고 있다. BCI은 뇌를 읽어서 명령을 인식하는 등의 읽기와 뇌에 자극을 가해 오감의 감각을 주입하는 쓰기 기술이 있다. 최근의 연구는 뇌를 읽어서 사람이 눈으로 보고 있는 이미지나 귀로 듣는 소리를 재현하는 것이 가능하며, 그 퀄리티가 점차 개선되고 있다. 쓰기에 있어서도 초음파, 직류/교류 전류 등을 통해 비침습적으로 뇌를 자극하여, 감각을 느끼게 하는 것이 가능한데, 대표적 응용 분야가 장애인을 위한 인공 시각과 인공 청각이다. 이러한 BCI를 해킹하게 되면, 도촬, 도청은 물론이고 환각을 주입하는 것도 가능하게 된다. 이러한 형태로 사람 자체가 해킹의 대상이 되는 것을 휴먼 해킹이라고 부를 수 있다.

메타버스의 중요한 보안 이슈 중 하나는 사용자 인증이다. AR, VR 장비를 착용한 상태에서 어떻게 안전하고 편리하게 인증할 것인가? 이러한 장비를 통해 패스워드나 PIN을 입력하는 것은 꽤나 불편한 일이고, 주변에서 이를 지켜보는 공격자가 패스워드나 PIN을 훔쳐보는 것도 가능하다. 한편 아바타가 이용자를 대신하는 환경에서, 한번 인증된 이용자가 지금도 지속적으로 이용하고 있는지 혹은 다른 사람이 대신 이용하고 있는지를 판단하는 지속인증도 중요한 이슈가 된다. 여기까지는 메타버스 서비스와 이용자 간의 인증, 즉 온서비스 인증으로 기존에 연구가 진행되어온 기술들을 메타버스 환경에 맞게 변경하여 적용하면 커버가 가능한 범위라고 본다.

메타버스에서는 오프서비스 인증 이슈도 있는데, 메타버스 아바타와 실제 이용자 간의 인증이 그것이다. 위에서 언급한 것처럼 메타버스 서비스 제공자는 모든 것을 모니터링 할 수 있지만, 용량이나 필요성의 문제로 모든 것을 기록하고 있지는 않다. 이러한 상황에서 이용자 간의 욕설, 성희롱, 제스처, 폭력 행위 등 어뷰징 행위에 대해 증거와 책임을 물으려면 어떻게 해야할까? 도로 상의 CCTV가 있지만 모든 것을 기록할 수는 없으니 차량 별로 블랙박스를 부착해 사용하는 것처럼, 메타버스 상에서도 개별적인 사용자가 단말 화면을 녹화를 하는 것을 생각할 수 있다. 이때 녹화된 화면의 아바타가 특정 이용자의 것임을 증명하는 것은 서비스 범주를 벗어난 오프서비스 인증이다.

한편, 이용자 측에서 특정 아바타에 대한 소유를 주장하는 상황도 있는데 아바타에 대한 초상권, 콘텐츠 소유권이 이슈가 되는 상황이다. NFT를 이용해 콘텐츠의 유통이 용이해지면서 아바타도 NFT 민팅의 대상이 될 수 있다. NFT가 반드시 콘텐츠 소유 증명을 요구하지는 않지만, 아바타에 대한 소유증명이 필요한 상황이 오면 어떻게 해야 할까? 이때도 메타버스 서비스 범주를 벗어난 오프서비스 상황에서 아바타의 소유증명을 하는 방법이 필요하게 된다.

오프서비스에서 이용자-아바타 간 인증 방식은 크게 2가지로 생각할 수 있다. 첫 번째는 어떤 id나 핑거프린트 정보를 워터마크 형태로 아바타에 삽입하는 것이다. 이것을 히든워터마킹 기술로 부를 수도 있고, 스테가노그래피로 분류할 수도 있다. 이때는 렌더링이 된 아바타 이미지를 다양한 각도에서 캡처했을 때, 워터마크가 정확히 인식되는 것이 기술적 도전 요소다. 이러한 워터마킹 방식의 단점은 별도의 워터마크 삽입 및 인식 체계가 필요하다는 것이다. 두 번째 인증 방식은 아바타를 만들 때부터 원래 소유자의 특징을 반영해 닮게 만들어서, 아바타와 소유자 간의 그 자체로 안면 인증이 될 수 있도록 하는 것이다. 이렇게 하면 별도의 인식 시스템 없이, 얼굴 특징을 이용하는 기존 안면인식 기술을 이용해 인증을 할 수 있게 된다.

▲최대선 한국정보보호학회 차세대인증연구회 위원장[사진=한국정보보호학회]

이용자의 사진을 바탕으로 이용자와 닮은 아바타나 캐릭터를 생성하는 구조는 여러 게임이나 모바일 서비스에 적용되어 왔는데, 안면인식 기술을 통해 인증이 될 만큼 유사도가 높지는 않았다. 최근 AI를 이용한 이미지 생성 변환 기술이 활발히 연구 및 활용되고 있는데 생성적 적대 신경망 GAN을 이용한 변환 기술은 높은 퀄리티를 갖는 이미지 생성이나 변환을 가능하게 한다. 필자는 아바타-소유자 오프서비스 인증을 위해 GAN을 이용해 아바타를 생성하는 연구를 진행하고 있는데, 딥러닝 안면인식 모델에서 비교적 높은 정확도의 얼굴인증이 가능함을 확인하고 있다.

안전하고 편리한 메타버스 보안을 위해서 프라이버시와 휴먼 해킹이라는 새로운 위협과 온/오프서비스로 구분되는 인증 이슈를 살펴보았다. 메타버스 보안 위협에 대처함과 동시에 편리한 서비스 이용을 위한 기술 개발에 더욱 박차를 가할 때이다.
[글_최대선 한국정보보호학회 차세대인증연구회 위원장/숭실대학교 교수(sunchoi@ssu.ac.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 시작 6월30일~ 시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)