메타버스

메타버스 확산에 보안 이슈도 부상

게티이미지뱅크

메타버스가 정보기술(IT) 업계 최대 화두가 되면서 보안 이슈에도 이목이 쏠린다. 이용자가 많아질수록 외부 위협에 노출될 수밖에 없고, 현실 세계와 연결된 이용자 정보가 유출될 가능성도 있기 때문이다.

황운하 이글루시큐리티 컨설턴트는 “메타버스 아바타들의 모든 경제 활동과 정보 교환 등은 가상 세계만의 일이 아닌 현실 세계와 연관된 것”이라면서 “메타버스에는 해킹을 통한 데이터 위·변조 위험이 존재한다”고 지적했다.

이용자는 메타버스라는 가상공간에서 또 다른 나인 '아바타'를 만들어 현실 세계의 활동을 확장한다. 이는 단순히 가상 세계의 활동에 국한되는 것이 아니라 현실 세계와 연동된다. 예를 들어 메타버스에서 아바타를 통해 금융거래를 하려면 현실 세계와 같이 신원을 증명한 뒤 상품과 서비스를 거래해야 한다. 메타버스에서 이뤄지는 금융거래라도 이용자 정보보호를 위해 현실 세계와 같은 수준에서 보안을 고려해야 할 필요가 있는 것이다.

메타버스 내 개인정보 제공 시점이 불명확하다는 점도 우려를 키운다. 이글루시큐리티가 발간한 메타버스 보안 보고서에 따르면 메타버스는 확장현실(XR)을 지원하기 위한 기기들을 통해 방대한 개인정보가 실시간 자동 수집되고 처리된다. 일반적인 IT 서비스의 경우 개인정보가 제공 또는 공유되는 시점은 비교적 명확하지만, 메타버스에서는 개인정보가 언제 누구에게 공유되는지 확인하기 어렵다.

이와 함께 메타버스에서 이뤄지는 복합 서비스는 이용자 소비 습관, 위치 정보, 생체 정보 등 새로운 유형의 개인정보를 발생시킨다. 이 같은 개인정보는 특정 시점이 아닌 실시간으로 발생·공유되기 때문에 개인정보에 대한 통제권을 행사하기 어려워진다.

메타버스를 구현하는 디지털 트윈에 대한 보안 대책도 없다. 디지털 트윈은 단순히 외형이나 구조뿐만 아니라 물리적 법칙까지 적용, 현실에서 발생 가능한 모든 상황을 가상공간에서 시뮬레이션하는 기술이다. 메타버스는 건물, 물건 등을 디지털 트윈으로 구현하는데 명확한 경계를 가진 현실과 달리 제재 없이 구현할 수 있다. 그만큼 이용자 현실이 반영된 개인정보, 신변 정보 등을 보호하기 어렵다. 메타버스 서비스에 보안이 허술한 경우 외부 공격자가 접근해 특정 이용자에 대한 개인정보 데이터 프로파일링도 가능한 셈이다.

황 컨설턴트는 “공격자가 메타버스 내 특정인 생활을 입체적으로 관찰할 수 있다면 이는 프라이버시 침해로 이어질 수 있다”면서 “메타버스 서비스 업체는 가상 세계에 대한 데이터와 콘텐츠 보호, 프라이버시 보호를 최우선 고려해야 한다”고 말했다.

메타버스 플랫폼 자체에 대한 보안 강화도 중요한 이슈로 지목된다. 미성년자가 폭력물과 음란물에 노출될 우려가 있어서다. 실제로 메타버스 선두 주자로 꼽히는 미국 온라인 게임 플랫폼 로블록스는 지난해 8월 시스템을 해킹 당해 인종차별적인 메시지와 함께 캐릭터가 음란행위를 하는 장면을 미성년자에게 노출했다.

메타버스는 IT 공유 서비스 플랫폼과 동일한 보안 문제를 내포하지만, 기존 보안 대책을 그대로 적용하기보다 메타버스 특징을 고려한 맞춤형 전략 수립이 필요하다. 아울러 가상 세계에서 만들어진 창작물에 대한 저작권 보호 전략뿐만 아니라 메타버스 플랫폼 공급업체에 의해 수집되는 개인정보 보호 전략도 수립해야 한다. 기존 시스템 보호 조치와 관리 정책은 메타버스 환경을 적절히 보호하기에 부족한 만큼 메타버스 특징에 맞게 개선해야 한다는 주문이 나온다.

메타버스 확산에 따른 사이버보안 전략

01. 개요

코로나19의 확산으로 온·오프라인의 경계가 허물어짐에 따라 영화나 상상속에서만 존재할 것 같았던 가상 세계가 현실에 급속도로 퍼져가고 있다. 2020년 3분기 기준, 대표적인 메타버스 플랫폼 로블록스(Roblox)의 월간 활동 이용자 수는 약 1억 5000만명, 월별 누적 이용 시간은 30억 시간에 달하는 등 메타버스에 대한 관심과 인기가 폭발적으로 증가했다.

작년 미국의 대선 민주당 후보였던 조 바이든과 카멀라 해리스는 에픽게임즈의 유명 게임 포트나이트 (Fortnite)를 활용하여 선거 캠페인을 벌였다. 경제 회복 공약을 게임 내 퀘스트로 제공하여 건설 현장에 새로운 연구시설을 세운다거나, 5G 광대역 통신이 가능한 타워를 설치하는 등의 경제계획 구상을 보여주었다. 국내 메타버스 플랫폼 제페토(ZEPETO)에서는 걸그룹 블랙핑크의 팬사인회가 개최되어 4600만명이 넘는 이용자가 참여했다. 뿐만 아니라 구글은 자사의 3차원 지도인 ‘구글 어스’에서 토지를 가로 10m, 세로 10m로 쪼개어 팔고 있다. 현실 세계에 존재하는 토지의 주인과 구글 어스에서 판매하는 가상토지의 주인은 다르지만, 자신이 원하는 지역의 토지를 가상환경에서 얼마든지 취득할 수 있는 것이다. 이렇듯 메타버스는 우리에게 거대한 변화의 파도를 보이며 다가오고 있다.

[그림 1] 메타버스 관련 주요기업의 서비스 현황 (출처:손재권의 실리콘밸리 투데이)

02. 메타버스란?

메타버스(Metaverse)의 개념은 아직까지 고정되거나 확립되어 있지 않다. 하지만 일반적으로 가상, 추상을 의미하는 ‘메타(meta)’와 현실세계를 의미하는 ‘유니버스(universe)’의 합성어로 통용된다. 

즉, 현실과 가상의 경계가 모호한 ‘제 3의 경계지역＇을 의미한다. 미국전기전자학회는 메타버스를 ‘지각되는 가상세계와 연결된 영구적인 3차원 가상공간들로 구성된 진보된 인터넷’ 이라고 정의했다.

오늘날 가상환경(VR), 증강현실(AR), 혼합현실(MR)을 아우르는 확장현실(XR)이 보편화되면서 메타버스는 사회 전 분야에서 폭넓고 빠르게 우리 주변의 모든 사물을 가상환경으로 옮겨 놓고 있다. 벌써 MZ세대는 메타버스에서 자신의 아바타를 이용해 친구를 사귀고, 물건을 구매하는 등 게임, 대화, 모임을 넘어 경제·사회·문화적 등 다양한 활동을 하고 있다. 더군다나 비대면 소통이 확산되고 온라인 활동의 한계가 축소된 현재, 코로나19로 지친 많은 사람들이 현실 세계와 비슷해 진 사이버공간에서 대리만족을 느끼고 있다.

03. 메타버스의 특징

현실세계와 가상세계를 연결하는 메타버스에서는 가상세계에서만 발생할 수 있는 여러가지 특성이 복합적으로 존재하기 때문에 매우 다양한 특징이 존재한다. 그 중 메타버스에 대한 일반적인 핵심 특성을 정리한 견해를 종합하면 다음과 같다.

1. 지속적이다 (Be persistent)

- 리셋(reset), 중지 또는 종료되지 않고 무한정 계속된다.

2. 동시적이며 실시간이다 (Be synchronous and live)

- (사전 계획된 자체 이벤트가 발생할 수 있으나) 메타버스는 모든 사람에게 실시간으로, 그리고 일관되게 존재하는 생동감 있는 경험이다.

3. 동시적 참여에 제한이 없다 (Have no real cap to concurrent participations with an individual sense of “presence”)

- 모든 사람이 메타버스의 구성원이 되어 동시에 특정 행사, 장소, 활동에 참여할 수 있다.

4. 완전하게 기능하는 경제이다(Be a fully functioning economy)

- 개인과 기업은 창작하고, 소유하고, 투자하고, 판매할 수 있으며 다른 사람들에게 인정받는 가치를 만들어 나가는 아주 다양한 작업(work)에 대해 보상을 받을 수 있다.

5. 현실과 가상세계를 확장하는 경험이다 (Be an experience that spans)

- 디지털 세계와 현실 세계, 사적이고 공적인 네트워크와 경험, 개방 및 폐쇄된 플랫폼에 걸친 경험이다.

6. 기존에 존재하지 않았던 상호운용성을 제공한다 (Offer unprecedented interoperability)

- 데이터, 디지털 아이템/자산, 컨텐츠 등 다양한 경험을 바탕으로 상호 운용성이 확보된다.

7. 매우 다양한 범주의 기여자들에 의해 컨텐츠와 경험이 생성되며 운영된다 (Be populated by “content” and “experiences” created and operated by an incredibly wide range of contributors)    

- 이들 중 일부는 개인이고 다른 이들은 비공식적인 조직이거나 상업적 기업일 수 있다.

전 세계적으로 메타버스의 선두 주자로 꼽히는 로블록스(Roblox)의 CEO인 Dave Baszucki가 설명한 Roblox 메타버스의 특징과 설명한 메타버스의 일반적인 핵심 특성을 비교해서 살펴보면 크게 다르지 않다. 매우 다양한 주체들이 상호작용하며 공진화(coevolution)하고 그 안에서 사회·경제·문화 활동이 이루어지면서 가치를 창출하는 디지털 세계라는 의미이다.

[그림 2] 메타버스를 만들 때 고려해야할 특성 (출처: Roblox)

04. 메타버스의 주요 보안위협

메타버스는 가상의 디지털 공간에서 또 다른 ‘나’인 디지털 아이덴티티(identity)를 창조한다. 가상의 공간에서 창조된 자신의 아바타를 통해 여러 활동을 하면, 현실 세계와 연결되는 것이다. 예를 들어 가상세계에서 거래를 하면 이는 곧 현실의 전자금융거래와 연결이 된다.  다른 금융 IT 서비스와 같이 금융거래를 성사시키기 위해 사용자는 자신의 신원을 증명해야 하고, 지불한 서비스/상품 및 거래 내역을 위〮변조의 위협으로부터 지켜내야 한다.

다시 말해, 메타버스 플랫폼이 대두되면서,  메타버스 서비스 업체들은 가상세계에 대한 데이터/콘텐츠 보호 및  이용자 프라이버시 보호에 대해 최우선적으로 고려해야 한다는 것이다.

이를 뒷받침하듯, 최근 정보보안 커뮤니티 설문조사에서 메타버스 구현기술 및 콘텐츠 개발업계가 법적 리스크 부문에서 최우선적으로 고려해야 하는 것이 제품(서비스) 품질보장(Production Liability)이 아닌 고객 프라이버시와 데이터 보호(Consumer Privacy/ Data Security)라는 결과가 나왔다. 

[그림 3] 몰입형 기술, 컨텐츠에서의 법적 리스크 설문조사 (출처: Perkins Coie LLP)

메타버스는 새로운 가상현실 서비스 유형이라 생각할 수 있지만, 그 플랫폼 구성에 있어서는 기존 IT 공유 서비스(예: Cloud Service,  Open API)와 비교해봤을 때 크게 달라진 점이 없다. 위 절에서 언급된 메타버스 운영 상에 나타나는 잠재적 위협인 데이터 보호와 고객 프라이버시 노출은 우리가 생각하는 전형적인 사이버 보안 위협의 정의에서 크게 벗어나지 않는다.

다만, 메타버스는 현실 세계를 반영하고 다양한 상호작용이 이루어진다는 특성이 존재하므로, 이를 고려하여 본 컬럼에서는 여러 메타버스 커뮤니티 기사와 컬럼들을 참조하여 아래와 같이 2가지의 메타버스의 보안 위협에 대해 정의했다.

1) 데이터 보호 위협 (DATA Security Threat)

메타버스에서 가상공간 경제체제를 구현하는데 블록체인은 중요한 역할을 담당하고 있다. 메타버스에서의 아바타는 블록체인 기술을 기반으로 하는 대체불가 토큰(NFT, Non-Funglible Token)을 통해 가상 세계의 부동산 거래, 상품 거래 등 여러 경제활동을 할 수 있다.

하지만 메타버스 아바타들의 모든 경제 활동, 정보 교환 등은 가상 세계만의 일이 아닌, 현실 세계와 연관 지어 이루어지기 때문에 해킹을 통한 데이터 위〮변조의 위험이 항상 존재한다.

작년 8월 미국의 온라인 게임 로블록스(Roblox)에서 해커들이 시스템을 해킹해 선정적인 이미지와 인종차별적 메시지를 노출시키고 게임 캐릭터가 음란행위를 하게 만든 사건이 발생해 이용자들의 공분을 샀었다. 사건 발생 직후, 해당 사측은 안전하고 깨끗한 플랫폼을 만들기 위해 노력하겠다는 입장을 밝혔지만 이후에도 비슷한 사례들이 여러 차례 발생하였다.

이처럼 아직 해킹 범죄의 위험으로 부터 자유롭지 못하며, 기본적인 메타버스 운용의 안정성과 더불어 디지털 자산의 안전한 관리가 필요하다.

2) 데이터 프라이버시 위협 (DATA Privacy Threat)

첫번째,  개인정보 데이터 프로파일링

메타버스는 구현 핵심 기술인 확장 현실(XR, Extended Reality)을 지원하기 위한 기기들을 통해 방대한 개인정보가 실시간이고도 자동적으로 수집되어 처리된다. 이용자의 운동동작, 눈 움직임의 패턴이 수집, 분석되고, 단순히 2D 화면에 시선이 머무는 것을 분석하는 것에 그치지 않고 가상 세계에서 무엇을 보고 누구와 교류하는지를 보다 심층적으로 분석할 수 있다. 현실에서 누군가가 메타버스 안의 특정 사람의 생활을 입체적으로 관찰하여 일거수일투족을 살피듯 감시할 수 있다면, 이는 심각한 프라이버시 침해가 될 수  있다.

두번째, 디지털 트윈- 의도되지 않는 이용자 삶 공개

디지털 트윈(Digital Twin) 대한 보안 대책이 불분명하다. 메타버스에서의 디지털 트윈이란 말 그대로 디지털로 만들어 낸 쌍둥이다. 단순히 외형이나 구조 뿐만 아니라 물리적 법칙까지 적용하여 현실에서 발생할 수 있는 모든 상황을 가상 공간에서 시뮬레이션 하는 기술을 의미한다.

메타버스에서는 이용자의 건물, 집에 있는 물건, 마트의 상품 모두 디지털 트윈을 통해 구현된다. 다시 말해, 또다른 나의 모습, 환경들이 메타버스 가상세계에 그대로 투영되어 존재하는 것이다. 메타버스는 명확한 경계를 가진 현실과 달리 다양한 이용자의 삶이 투영된 디지털 트윈이 제제없이 구현될 수 있으므로, 개인 프라이버시, 성향 등을 지키는데 매우 어렵다고 생각할 수 있다. 안타깝게도 이를 보호하는데 필요한 기준이 현재로서는 명확하지 않다.

세번째, 복잡하고 실시간적인 개인정보 처리

오늘날 온라인 기반 IT 서비스의 개인정보가 제공 및 공유되는 시점은 비교적 명확한데 반해, 메타버스에서는 자신의 개인정보가 어느 시점에, 누구에게 공유되는지 확인하는 것이 매우 어렵다.  메타버스에서의 복합적인 서비스는 이용자의 소비습관, 위치정보, 생체정보 등과 같은 새로운 유형의 개인정보들을 특정시점이 아닌 실시간으로 사용〮공유한다.

따라서 메타버스에서는 개인정보에 대한 통제권을 행사하는데 필요한 정보를 정확히 확인하기엔 기존 IT서비스와 비교할 수 없을 정도로 복잡하고 어렵다.

[그림 4] Difference Between Data Security and Data Privacy (출처: VARONIS)

05. 메타버스 보호를 위한 사이버 보안전략

메타버스는 IT 공유 서비스 플랫폼과 같이 동일하고 정보보안 문제점(데이터보안, 프라이버시)를 가지지만,  기존 정보보안 대책 보다는 메타버스 특징을 고려한 맞춤형 전략 수립이 필요하다.

1) Content Protection - 디지털 콘텐츠 및 지적 재산권 보호전략

 “가상 세계에서 만들어진 창작물에 대한 저작권은 어떻게 보호되어야 하는가?’.

대체 불가능한 특성을 가진 NFT(Non-Fungible Token)를 통해 현재 가상 세계에서 소유권을 증명한다. 하지만 창작자가 아닌 다른 사람이 먼저 창작물을 NFT로 소유권을 주장하거나 2차 창작물의 NFT 소유권이 원저작물 저작권을 침해할 수 있다.

메타버스 상에서 만들어지고 유통되는 콘텐츠 불법 카피 및 유통 문제는 다른 IT 온라인 서비스의 문제와 동일하다. 다만, 현실세계의 모든 모습이 디지털 트윈으로 투영된 메타버스에서는 실제 존재하는 특정 브랜드 물건을 별다른 언급없이 무단 복사되어 사용될 가능성이 있다. 기업 입장에서는 이는 자신의 브랜드 및 상표에 대한 지적 재산권 침해에 해당된다.

따라서, NFT의 위작·저작권 문제에 대응하는 보증 시스템, 검수 및 인증 시스템을 마련해야 한다. 브랜드나 상표의 지적 재산권 침해에 대해 기업은 지속적으로 모니터링해야 한다. 만약 개인에 의해 해당 아이템이 만들어졌다고 해도 마찬가지이다. 이를 위해 컨텐츠 생산자(기업 또는 크리에이터)은 기술적 조치로는 기존 콘텐츠 보호기술인 DRM 기술을 활용하여 메타버스 컨텐츠 보호와 무단 복사에 대한 모니터링 수단을 갖추어야 한다. 

또한 관리적 전략에서는 컨텐츠 생산자는 메타버스 환경에서 자신들의 컨텐츠 유통 및 저작권 침해에 대한 새로운 규정을 신속하게 수립하며 지속적으로 반영해야 한다.

2) Consumer Privacy Protection - 개인정보 프라이버시 보호 전략

 “ 메타버스 업체들의 광범위하고 불법적인 개인정보 프로파일링 행위는 어떻게 막을 것인가?”

메타버스에 접속하면 다양한 생체인식정보가 수집된다. 단순히 마우스 클릭과 키보드 입력 등으로 수동으로 특정 데이터를 수집하는 것이 아니라, HMD 같은 장비를 통해 뇌파, 혈압, 호흡 같은 생체정보(Biometric Data)를 비롯하여 개인의 행동정보 및 감정정보까지 모두 수집하고 분석(프로파일링)할 수도 있다.

GDPR(General Data Protection Regulation, 유럽연합 일반 개인정보 보호법) 제9조에 따르면, 이러한 처리에는 개인 데이터의 특별한 범주로 간주되기 때문에 각별한 주의가 필요하다고 말하고 있다. 따라서 데이터의 암호화 및 추가적으로 수집되는 개인의 정보를 인식하고 통제할 수 있는 범위의 데이터 보호가 필수적이다.

기술적 조치 전략으로 메타버스 서비스 사용자의 움직임 및 신체적 특성과 같은 생체정보를 안전하게 보호할 방안을 강구해야 한다. AR/VR 환경에서 사용하는 메타버스 장비(AR 안경, 홀로그램 장치, HMD(Head Mounted Display)는 제조 단계부터  프라이버스 보안 정책을 수립하고 펌웨어 업데이트 및 데이터 암호화를 통한 안전한 환경을 유지해야 한다. 뿐만 아니라 데이터의 물리적 보안, 시설/인력 보안, 네트워크 보안, 시스템 강화, 암호 보안, 엔드포인트 보호 등 법적인 요구 사항을 충족하기 위한 정책 및 보안수단을 강구하여 구현해야 한다.

관리적 보안 전략은 개인정보 처리 전반에 대한 책임이 강화된 메타버스 개인정보보호 규정 및 관리체계를 구성해야 한다. 단순 지정된 개인정보 유형과 안전성 확보조치를 정의한 기존 개인정보보호 활동이 아닌, 생체정보 및 행동정보 수집, 분석 및 처리하는 모든 업무 단계에서의 통합적 관리체계 설계가 필요하다.

이에 대한 좋은 예로 최근, 확장된 현실(XR) 세계에서의 사생활, 보안 및 윤리적 문제를 다루는 국제적 비영리단체인 XRSI에서 2020년 9월 자신들의 프라이버시 보호 프레임워크를 수립하였다. XR 플랫폼에서의 개인정보보호 작업영역을 4가지(Access-Infrom-Manage-Prevent)로 나누고, 각 영역별 보호조치 방안을 정의하였다.

[그림 5] XRSI Privacy Framework 개요 (출처: XRSI.org)

06. 마무리

이처럼 기존의 시스템 보호조치 및 관리정책은 메타버스의 가상 환경을 적절히 보호하기에 부족하므로 이를 메타버스의 특징에 맞게 개선하여야 한다. 메타버스의 발전을 위해서는 규제 불확실성이 필요하기 때문이다. 메타버스의 영역이 확대되고 발전하며 가치가 높아질 수록 각종 규제와 면밀한 조사가 이루어지겠지만 이러한 규제는 투자자들에게 신뢰를 심어주게 되고 소비자에게는 안심을 주는 긍정적 요소로 작용할 것이다.

07. 참고자료

[KISA Report ]

https://www.kisa.or.kr/public/library/IS_View.jsp?mode=view&p_No=158&b_No=158&d_No=503&cPage=4&ST=T&SV=

[The Clink.Social Blog]

https://clink.social/what-is-the-metaverse/

[MatthewBall.vc]

https://www.matthewball.vc/all/themetaverse

[서유경 변호사의 아르테코 리걸]

https://arteco.legal/66

[SPRi 소프트웨어 정책연구소]

https://spri.kr/posts/view/23197?code=issue_reports

[서울신문]

https://www.seoul.co.kr/news/newsView.php?id=20201009027001

[보안뉴스]

https://www.boannews.com/media/view.asp?idx=98450&page=1

[CITYA.M.]

https://www.cityam.com/the-metaverse-real-world-laws-give-rise-to-virtual-world-problems/

[gamesindustry.biz]

https://www.gamesindustry.biz/articles/2021-06-08-new-world-old-rules-the-rise-of-the-metaverse

[XRSI  Privacy Framework]

https://xrsi.org/definition/the-xrsi-privacy-framework

​