메타버스는 현실을 넘어 가상공간에서도 새로운 경제·사회 활동이 가능하다는 점에서 주목받아왔다. 이에 전세계 여러 기업들은 관련 서비스와 플랫폼을 잇따라 내놓으며 생태계 확장에 주력하고 있다. 그러나 전문가들은 메타버스가 안정적으로 자리잡기 위해 필수적으로 수반돼야할 보안성은 여전히 미흡한 수준이라고 입을 모았다.

10일 한국인터넷진흥원(KISA)은 서울 양재동 엘타워에서 '메타버스 보안 세미나'를 열고 메타버스 환경을 위협하는 주요 요소와 현황, 향후 대응 방안에 대해 논의했다.

이날 행사에 참석한 최대선 숭실대학교 소프트웨어학부 교수는 "메타버스 세계에는 부동산, 콘텐츠, 디지털 트윈을 통한 가상시설 등 다양한 디지털 자산이 존재한다"며 "이에 대한 소유권 및 자산 탈취를 목적을 랜섬웨어, 시빌 공격, 상표권 침해, 허위 콘텐츠를 통한 악성코드 유포 등 공격을 단행해 위협을 가하는 현상이 보고 되고 있다"고 설명했다.

또 그는 "메타버스 내 디지털 트윈 가상시설을 통해 취약점이나 비밀 정보를 캐내거나, 네트워크 통신 과정에 개입해 단순한 패킷 지연을 일으켜 현실 세계 시설과 다르게 작동하도록 문제를 일으키는 경우도 있다"며 "일반적 홈페이지와는 달리 특정한 인터넷주소(URL)가 없어 추적이 힘들다는 특성을 이용해 메타버스 상에서 범죄를 공모, 실행하는 '다크버스'도 주요 보안 위협 중 하나로 이름을 올리고 있다"고 덧붙였다.

HMD 등 사용자 기기 보안도 문제

메타버스에 접속하기 위해 필요한 헤드마운트디스플레이(HMD) 등 사용자 기기에 대한 보안도 지적됐다. 방지호 한국기계전기전자시험연구원(KTC) 정보보안센터장은 "메타버스 기기들은 다양한 센서들로 구성돼있으며, 이를 통해 사용자 표정, 머리 움직임, 감정 등 다양한 데이터를 수집한다"며 "이같은 데이터들을 악용해 가짜 신원으로 사용자 인증을 우회하거나 메타버스 상에서 경제 활동을 할 경우 사용자 입 모양, 손 동작 등을 통해 계좌 비밀번호 등을 프로파일링할 수도 있다"고 경고했다.

이승환 소프트웨어정책연구소 팀장은 이같은 보안 위협들을 막기 위한 조치가 이제 시작에 불과하며, 여전히 부족한 수준이라고 꼬집었다. 그는 "기업들이 내놓은 여러 메타버스 서비스들을 보면 노력한 흔적은 보이지만 현실적 문제로 여전히 부족한 수준"이라며 "메타버스 오피스의 경우 오프라인에서 신분증을 찍고 들어가는 행위와 동일한 방식을 채택한 경우도 있지만, 접속 후 파일 열람 시 권한을 차등 설정하는 등 세부적 조치가 필요하다"고 설명했다.

이어 "최근 메타버스 오피스를 중심으로 기업 간 경쟁이 시작되는 상황"이라며 "결국 승자는 누가 보안 체계를 갖추고 각자 상황에 커스터마이징된 특화 보안을 구현했는지가 향후 승패를 가를 요소가 될 것"이라고 덧붙였다.

KISA "메타버스 보안 가이드라인 내놓는다"

이를 해결하기 위한 방안으로는 ▲무자각 지속 인증 ▲권한 관리 ▲어카운팅 등이 제시됐다. 지속 인증의 경우 뇌파, 머리 움직임, 목소리 등 정보를 센서로 수집해 사용자가 자각하지 못하는 환경에서 인물에 대한 진위여부를 인증하는 방법이다. 권한 관리는 사용자가 특정 파일이나 네트워크, 서버에 접속할 시 미리 마련된 정책을 통해 권한을 차등 부여하는 방식이며, 어카운팅은 차량 블랙박스처럼 서버 단에서 사용자 별로 영상을 기록해 문제 발생시 신고 등에 활용하도록 구현하는 방법이다.

현재 KISA는 '메타버스·대체불가능한토큰(NFT) 보안 협의체'를 발족 후, 메타버스 생태계, 플랫폼, 인프라 보안 위협에 대한 가이드라인 세부 내용을 구체화 중이다. 이같은 가이드라인은 연내에 공개될 예정이다.

이성재 KISA 융합보안단장은 "메타버스 시대에 부각되고 있는 사이버 보안은 기존 기술로는 대응하기 어렵다"며 "산업별로 특화, 고도화된 보안 적용이 필요하다"고 말했다. 이어 "KISA는 메타버스 서비스 설계, 구현, 이용 등에 초점을 맞춘 가이드라인을 연내 마련해 빠른 시일 내에 공개할 예정"이라고 부연했다.

김가은 기자 7rsilver@techm.kr