가속페달 밟는 메타버스…사이버 보안도 함께 탑승해야 한다
메타버스 보안 논의 이제 첫 단계…‘제로 트러스트’ 관점 필요
동향 | 강현민 기자 | 입력 : 2022.05.06
){kind=link}
){kind=link}
){kind=link}
오전 8시. PC앞에 앉은 A씨는 화면에 뜬 로그인 창에 사번과 비밀번호를 입력한 뒤 가상의 업무 공간으로 입장한다. 오전 회의를 위해 가상 회의실로 향하는 그의 캐릭터. 그때 부서장 B씨의 아바타가 다가와, 회의 자료를 넘겨 달라고 요청한다. 그리고 다음날, A씨는 회사 보안팀으로부터 회의 자료가 모두 해커에게 넘어갔다는 사실을 접한다.
메타버스가 문화, 산업, 경제 등 사회전반의 영역으로 뻗어가는 가운데, 사이버 보안 문제가 중요한 해결 과제로 떠오르고 있다.
'탈공간'이 특징인 메타버스는 업무나 회의 등을 비롯해 기업간 거래, 행정 서비스, 제조업의 디지털 트윈 등 분야를 막론하고 다양한 쓰임새로 활용되고 있다. 시·공간 제약에서 자유롭다는 점과 데이터 접근성이 부각 되면서 새로운 먹거리로 부상하고 있다.
시장조사 업체 스트래티지애널리틱스에 따르면 글로벌 메타버스 시장은 오는 2025년 관련 매출만 2천800억 달러(약 317조원)에 달할 것으로 전망했다.
이에 맞춰 정부도 플랫폼 개발 지원, 아카데미 신설 등 메타버스 생태계 조성에 2천237억 원을 투입하고, 전문 인력 양성 등 육성 정책을 내놓고 있다.
이처럼 항간에선 메타버스를 콜롬버스의 ‘신대륙 발견’에 빗대며 미래 유망 기술로 점철하고 있지만, 이와 동시에 가상공간 한 켠에선 장미빛 미래를 파고든 사이버 범죄가 꿈틀대고 있다.
최근 삼성전자의 한 직원이 반도체 기술을 대거 유출하려는 시도가 있었다. 재택 업무를 보던 직원이 회사 내부 데이터베이스에 접속하는 횟수가 늘어나며 덜미가 잡혔다.
메타버스에서 벌어진 일은 아니지만, 온라인 업무의 취약점을 고스란히 드러낸 대표적 사례다. 이를 두고 전문가들은 메타버스에서도 충분히 발생할 수 있는 일이라고 지적한다.
앞서 기사 첫머리에 든 사례는 기자가 꾸며낸 가짜 예시다. 실제 있던 일은 아니지만, 최근 보안 업계에선 사용자와 아바타 간의 신뢰성 관련 레퍼토리 중 하나로 회자된다.
지금 나와 대화 하고 있는 아바타가 내가 아는 부서장이 맞는지, 그래서 아무런 절차 없이 자료를 넘겨도 되는지와 같은 아바타-사용자 간의 신뢰성 문제가 보안 업계 화두로 떠오르고 있다.
메타버스 보안, 이제 첫 발
현재 메타버스 보안이 어느 단계에 서 있는지 묻는 기자의 말에 이승환 소프트웨어정책연구소 연구원은 “아바타와 사용자간 인증, VR기기, 생체 인증 정보에 관한 해킹 등 메타버스 보안 논의는 아직 시작 단계에 있다”라고 답했다.
그는 “랜섬웨어나 해킹 등 웹 기반의 사이버 공격은 전부터 공수전이 계속 일어났지만, 메타버스의 경우 최근 업무 공간이 온라인으로 이동하면서 보안 이슈가 발생하고 있다”라고 말했다.
설계 기술, 도면, 프로젝트 등 기업의 핵심 자산이 메타버스로 이동하며, 금전적 보상을 노리는 해커들도 가상공간으로 함께 몰릴 것이라는 게 그의 설명이다.
한국 FIDO산업 포럼 회장인 이기혁 중앙대학교 융합보안학과 교수는 메타버스 보안 준비가 아직 부족하다는 지적과 함께 메타버스의 단계적 정의가 필요하다고 했다.
기자와의 인터뷰에서 이 교수는 “2년 전 메타버스와 지금의 메타버스는 다르다”라며 “메타버스에 관한 정의를 지금 당장 내릴 것이 아니라, 차근차근 정의해 나가야 한다”고 설명했다.
디지털 트윈과 같은 융합 기술의 등장과 서비스 영역 확장으로 메타버스의 정의가 계속 변화하고 있어, 단편적으로 내린 정의는 보안 대응에 한계를 규정한다는 말로 풀이된다.
그는 “해커라는 직업이 나올 줄 아무도 몰랐듯, 사이버 공격도 예상치 못한 결과였다”라며 “메타버스에 관한 보안이 현재 정의돼 있지 않지만, 선제적 대응 방안을 마련할 필요가 있다”고 제언했다.
아바타-사용자간 신뢰…‘제로트러스트’ 접근 필요
현재 아바타 인증 문제에 관해서 이 교수는 ‘제로 트러스트’(Zero Trust) 관점의 접근이 필요하다고 제언했다.
이 교수는 “‘아무것도 신뢰하지 않는다’라는 전제를 바탕으로 정상적 접근과 비정상적 접근을 검증하는 것이 제로 트러스트의 핵심이다”라고 강조했다.
이어 “단말기, 네트워크, 서버, DB, 웹 등 기존의 전통적 보안 영역은 메타버스 내에 이미 구축한 상태에서, 아바타와 사용자간 신뢰 구축을 위한 인증 시스템을 도입하는 것이 제로 트러스트 모델이다”라고 부연했다.
구글 앱 로그인의 경우, 사용자는 단말기를 비롯해 무선 통신 구간, 구글 서버 등에 보안이 모두 구축돼 있다는 토대 아래 아이디와 패스워드를 입력해 로그인한다. 여기까지가 전통적 보안 영역이다.
여기에 지문·얼굴 인식, 휴대폰 문자 인증 등을 추가로 탑재하는 것이 제로 트러스트 관점의 보안책이다.
이 교수는 “메타버스에서는 홍체나 지문, 얼굴 등의 생체보안과 PASS, 카카오 등 사설 인증서 결합이 대안이 될 수 있다”고 전했다.
강현민 기자
khm546@industryjournal.co.kr
저작권자(c)산업종합저널. 무단전재-재배포금지
관련뉴스
많이 본 뉴스
[기획 2편] “인간형 로봇의 꿈, 기술보다 더 느리게 걷는다”
2021년, 일론 머스크는 “앞으로 육체노동은 선택이 될 것”이라며 ‘옵티머스(Optimus)’라는 이름의 인간형 로봇을 세상에 소개했다. 단순한 기계가 아니라, 인간처럼 걷고 말하며 노동을 수행할 수 있는 ‘진짜 로봇’의 탄생이었다. 그는 이 로봇이 테슬라 차량보다 더 큰 가치를 창출할
[기획 1편] 인간의 일을 넘겨받은 기계, Figure 03의 선언
“인간형일 필요는 없었다…그러나 인간의 자리로 들어왔다” 인간은 오랫동안 ‘일’을 통해 자신의 존재를 증명해왔다. 하지만 지금, 이 전제가 흔들리고 있다. 로봇이 현장을 대체하고, 인공지능이 생각을 모방하며, 일하는 인간의 자리가 서서히 해체되고 있다. 본지는 이 흐름 속에서
[심층] ‘유령기지국’ 통한 소액결제 피해…디지털 인증 체계의 사각지대
경기 광명시와 서울 금천구에서 KT 이용자를 중심으로 소액결제 피해가 다수 보고되면서, 불법 초소형 기지국, 이른바 ‘유령기지국’ 개입 가능성이 제기됐다. KT는 9일 일부 통화 기록에서 실존하지 않는 기지국 ID가 확인됐다고 밝혔고, 과학기술정보통신부(과기정통부)는 민관합동조사단을 꾸려 현장
[심층기획] “기술을 지켰다면, 사업은 무너지지 않았다”
기술을 빼앗겼다는 확신이 들었을 때, 그는 너무 늦었음을 깨달았다. 함께 개발하자며 도면을 요청한 상대는, 이후 연락을 끊었고 몇 달 뒤 유사한 제품을 출시했다. 계약서에는 권리 귀속 조항이 없었고, 그가 증거라고 주장한 파일은 상대 기업의 서버에 있었다. 법원은 입증 부족을 이유로