[우리문화신문=김영조 기자] 지난해 업계를 뜨겁게 달군 메타버스(Metaverse)는 사회경제문화적 활동이 가능한 3차원 가상공간으로서 여전히 주목받고 있다. 메타버스는 가트너의 2023년 10대 전략 기술 경향으로 뽑히기도 했다. 메타버스에는 AR/VR을 비롯해 블록체인, 클라우드 컴퓨팅과 같은 수많은 기술이 적용돼 있어 물리적 제약이 없다.
하지만 최근 메타버스를 악용한 각종 사기 행위와 피싱, 랜섬웨어 공격도 급증하고 있다. 이를 방치하면 메타버스가 자칫 무법지대 ‘다크버스(Darkverse)’로 전락하는 최악의 사태가 벌어질 수 있다. 따라서 기업은 메타버스의 보안 위협을 완화하기 위한 구체적 논의와 대책 마련이 필요하다. 그 내용으로는 어떤 것들이 있는지 살펴보자.
최근 미국에서 열린 글로벌 보안 전시회의 최대 행사인 <RSAC 2023>는 '다크버스’를 주요 쟁점으로 다뤘다. 다크버스에서 활동하는 범죄자들은 체포되거나 처벌받을 위험으로부터 훨씬 더 자유로우며, 공격 수위는 향후 더 크게 증대할 것으로 전망했다.
메타버스는 빠른 속도로 발전하고 있다. 메타버스로 유명한 나라 밖 승강장(플랫폼)으로는 ‘포트나이트(Fortnite)’, ‘마인크래프트(Minecraft)’, ‘로블록스(Roblox)’, ‘동물의 숲’ 등이 있고, 우리나라에서는 ‘제페토(Zepeto)’, ‘이프랜드(ifland)’ 등이 있다. 하지만 메타버스가 성장하면서 이를 악용하는 위협 행위도 진화하고 있다. 이에 따라 메타버스가 ‘다크 웹(Dark Web, 특정 소프트웨어나 설정 또는 인증이 필요한 것으로 구글과 같은 일반적인 검색 엔진으로는 검색할 수 없는 누리집)’처럼 신성한 사이버 공간을 해치는 다크버스가 될 수 있다고 우려하기도 한다.
사이버 범죄자들의 소굴인 다크 웹이 검색되지 않는 사이버 공간인 ‘딥 웹(Deep Web)’에 존재하는 것처럼, 메타버스 역시 '딥버스(Deepverse)’라는 은밀한 가상공간에 존재하게 되면서, 다크버스에서 발생하는 각종 사이버 범죄 추적이 갈수록 힘들어질 것이라는 지적도 있다.
메타버스를 노린 사이버 범죄는 기존 정보시스템 취약점을 활용한 개인정보 탈취 사례부터 메타버스와 연계된 가상자산ㆍNFT 탈취 침해사고 등 복합적인 사회적 문제로 발전하고 있다.
블록체인 데이터 분석 기업 체이널리시스(Chainalysis)가 발표한 '2023 가상자산 범죄 보고서'에 따르면, 작년 7월까지 해킹을 통해 도둑맞은 가상자산은 19억 달러(약 2조 7,236억 원) 이상이다. 이는 전년 동기 12억 달러(약 1조 7,202억 원)보다 훨씬 더 늘어난 수치다. 주요 공격 대상은 탈중앙화 금융(Decentralized Finance, DeFi) 서비스다. 최근에는 기업 공식 아바타와 동일한 아바타를 생성해 사기 계약을 맺거나, 딥페이크(Deep Fake, 영상 이미지 합성기술) 기술을 활용한 기밀 탈취, 허위 사실 발표 등 기업 대상 범죄도 증가하고 있다.
다크버스가 더 치명적인 이유
지금으로부터 10년 전, 로블록스에서 관리자 권한 해킹 사고가 발생했다. 이 사고로 인해 게임 내부에서 유통되는 재화 ‘로벅스(Robux)’를 이용자들에게 공짜로 주고, 아이템 값이 조작돼 게임 생태계에 막대한 피해를 줬다. 2020년에는 1억 명에 달하는 로블록스 사용자의 개인정보가 해커에게 유출되기도 했다.
메타버스는 잠재성이 무한한 만큼, 불확실성과 위험성을 동반한다. 성장 초기 단계 시스템의 미성숙함을 노리고 개인정보와 가상자산 등을 탈취하려는 움직임은 물론, 메타버스 사용자 다수가 청소년이라는 점을 노린 성범죄 등 각종 사회 문제가 발생하고 있다.
메타버스 승강장은 안정적인 실감 경험을 제공하기 위해 인터넷 시대보다 더 많은 개인정보를 수집한다. 가상현실(VR)ㆍ증강현실(AR) 단말기만 해도 카메라, 마이크, 표정 인식 센서 등이 달려 있어 사용자의 위치와 이미지, 행동 습관 등을 수집할 수 있다.
메타버스에서는 개인과 기업 사용자의 얼굴과 몸, 목소리, 몸짓 등 개인정보를 반영한 아바타를 통해 의사소통을 한다. 사이버 범죄자들은 아바타 정보를 분석하고 수집해 특정 개인 또는 기업을 사칭할 수 있다. 사용자의 아바타를 복제한 닮은꼴(도플갱어)이 몰래 돌아다니며 물의를 일으킬 수 있는 것이다.
메타버스를 노린 사이버 범죄는 기존 정보시스템 취약점을 활용한 개인정보 탈취 사례부터 메타버스와 연계된 가상자산ㆍNFT 탈취 침해사고 등 복합적인 사회적 문제로 발전하고 있다. 특히 미국의 긴축 통화정책으로 인해 가상자산 시장이 침체기에 놓였음에도, 해킹 공격으로 인한 가상화폐 탈취 사고는 오히려 늘어나는 추세다.
다크버스 문제를 방지하기 위한 노력들
전문가들은 메타버스가 새로운 디지털 시대를 선도하는 신기술이기는 하지만, 안전장치가 없을 때 사이버 범죄자들에게 악용될 여지가 그 어떤 기술보다도 충분하다고 주장한다.
이에 과학기술정보통신부는 ‘메타버스 윤리원칙’ 규범을 마련했다. 이에 대해 과학기술정보통신부 소프트웨어 정책관실 디지털콘텐츠과 측은 ‘메타버스 속 가상 자아가 올바른 가치관을 형성할 수 있도록 만든 지침(가이드라인)’이라고 설명하며, “범부처 차원에서 윤리원칙을 다양하게 활용해 시민 사회가 자발적으로 성숙하도록 지원할 계획”이라고 말했다.
메타버스의 윤리원칙은 3대 지향 값어치와 8대 실천원칙으로 구성돼 있다. 3대 지향 값어치는 온전한 자아, 안전한 경험, 지속가능한 번영이며, 8대 실천원칙은 진정성, 자율성, 호혜성, 사생활 존중, 공정성, 개인정보보호, 포용성, 책임성이다.
한국인터넷진흥원은 "메타버스 서비스를 사칭한 피싱 공격 증가, NFT(Non-fungible token) 기술 활용 증가에 따른 사기 범죄, 아바타 및 계정 정보 등을 도용ㆍ모방해 상대방을 속이는 행위 등이 우려된다. 사업자 측면에서의 보안 위협 완화를 위한 노력도 필요하지만, 서비스 이용자들도 자신의 개인정보 및 금융정보 보호 등을 위한 주의가 필요하다"라고 조언하며, 서비스를 제공하는 사업자와 이용자 측면에서 안전한 메타버스 이용 환경을 마련하기 위한 10가지 보안 수칙을 제시했다.
사업자 측면에서는 ▲개인정보 및 프라이버시 보호를 위한 체계 마련 ▲디지털 자산 보호 및 악용 방지를 위한 인증 강화 ▲메타버스 서비스 플랫폼 보호 방안 마련 및 운영 ▲메타버스 이용기기 악용 방지를 위한 보안 기능 구현 ▲정보기술(IT) 인프라 정보보호 방안 마련 및 준수를 제시했다.
이용자 측면에서는 ▲메타버스 이용 간 개인정보와 개인정보 및 개인식별정보 유출 주의 ▲디지털 자산의 생성ㆍ이용 간 침해사고 방지를 위한 주의 ▲VRㆍAR 이용기기 정보보호 원칙 준수 ▲현실 세계와 동일한 수준의 디지털 윤리 원칙 준수 ▲깨끗한 메타버스 가상 생태계 조성을 위한 노력을 당부했다.
AhnLab 콘텐츠기획팀 제공
