메타버스 시대의 대표주자 '로블록스'가 최근 해커들의 공격을 받았다. 해커들은 로블록스 시스템을 '랜섬웨어'에 감염시키고 게임 내 가상화폐인 '로벅스'를 요구했다. 지난해에는 로블록스를 해킹한 해커들이 선정적인 이미지와 인종차별적 메시지를 노출시키고, 게임 캐릭터가 음란행위를 하게 만든 사건이 벌어지기도 했다.

이는 현실과 연결된 디지털 가상세계를 뜻하는 메타버스의 경제와 사회, 문화를 해커들이 한 순간에 짖밟을 수 있다는 것을 보여준 상징적인 사례다. 지금은 일개 게임에서 발생한 사건일 지 모르지만, 최근 산업군을 불문하고 수많은 기업들이 '제2의 인터넷'이라 불리는 메타버스 시대를 준비하고 있다는 점에서 결코 가벼이 볼 수 없다는 게 보안 전문가들의 시각이다.

해커들의 새로운 먹잇감, 메타버스

10일 업계에 따르면 최근 메타버스가 사회 전 영역에서 확산되기 시작하면서 보안 위협 또한 화두로 떠오르고 있다.

전문가들은 메타버스가 더 이상 현실과 동떨어진 세계가 아니라고 보고 있다. 신종 코로나바이러스 감염증(코로나19) 팬데믹 이후 급속히 확산한 메타버스 공간은 수많은 이용자들의 놀이 공간이자 사적 모임 장소가 됐으며, 기업들의 업무나 회의 공간으로도 활약하고 있다. 최근 서울시가 메타버스 플랫폼을 구축해 공공서비스 제공에 나선 것처럼 향후 정부의 대국민 서비스도 메타버스 내에서 구현될 것으로 전망된다. 여기에 최근 대체불가능토큰(NFT) 등을 활용한 '가상경제'까지 논의되면서, 메타버스는 그야말로 '또 하나의 세계'가 될 채비를 갖춰가고 있다.

이런 메타버스 세계에는 사용자의 분신인 '아바타'가 활동한 개인 사생활 정보와 업무에 활용된 기업 기밀, 서비스에 필요한 각종 개인정보 등 각종 '데이터'가 계속해서 쌓이고 있다. 이에 따라 이런 데이터를 노리는 보안 위협 또한 계속될 것이란 지적이 나온다.

보안업계 한 관계자는 "메타버스 플랫폼 중 전 세계에서 가장 유명한 로블록스가 해킹을 당한다는건 다른 플랫폼들도 다르지 않다는 뜻"이라며 "점차 메타버스가 고도화되고 가상경제가 활성화되면 미국 콜로니얼 파이프라인 해킹 사건 같은 사태도 벌어질 수 있다"고 말했다.

메타버스에선 '감정'까지 데이터로 남는다

최근 메타버스에 대한 관심이 높아지며 무한한 가능성을 지닌 '멋진 신세계'가 그려지고 있지만, 그만큼 보안에 있어선 새로운 도전이 될 것이라는 게 전문가들의 지적이다. 메타버스 공간에선 아바타를 통해 표정이나 몸짓까지 투영되는 만큼, 기존 온라인 공간보다 더 민감한 데이터가 늘어나기 때문이다. 

마이크로소프트는 최근 가상현실 플랫폼 '메시'를 업무협업툴 '팀즈'에 결합한 '팀즈 메시'를 공개했다. 이 플랫폼에선 화상회의 때 아바타가 대신 등장해 사용자의 음성이나 제스처에 따라 고개를 끄덕이고, 얼굴을 찡그리고, 손으로 하트를 그리는 등 보디랭귀지를 한다. 이처럼 메타버스 공간에선 주로 ID를 기반으로 익명성 뒤에서 활동하던 인터넷 공간보다 개인과 관련한 더 내밀한 데이터가 축적될 것이란 전망이 가능하다.

국내 메타버스 분야 권위자인 김상균 강원대 산업공학과 교수는 "메타버스 세계에선 기존에 우리가 사용하던 오프라인 환경이나 온라인 게시판보다는 훨씬 많은 문제가 발생할 수 있다"며 "아바타를 통한 인구통계학적 신상정보와 대화와 행동 등 의사소통 기록은 물론, 아바타 얼굴 표정도 있기 때문에 감정까지 모두 데이터로 남는다"고 설명했다. 그는 "마치 얼굴 앞에 CCTV가 붙어 있는 것처럼 표정을 통해 모든 감정이 기록되는 데, 이를 감정 상태에 맞춰 콘텐츠를 추천하는 등 상업적으로 좋은 데이터로 활용할 수도 있지만 악용 가능성도 무시할 수 없다"라고 강조했다.

전문가들은 메타버스 서비스 제공업체들이 이런 변화된 환경에 대해 시스템 보안과 사용자 개인정보보호 대책을 마련할 수 있도록 정부가 선제적으로 대응해야 한다고 강조한다.

임종인 고려대학교 정보보호대학원 교수는 "메타버스 보안은 국민의 인권과 회사의 생존과 관련된 중요한 부분"이라며 "정부가 미국 등 국제 동향을 감안해 가이드라인, 규격, 법 제정을 진행하고 보안 기술을 개발해 메타버스 서비스 제공업체에게 저렴한 가격에 기술이전을 해야 한다"고 말했다. 또 "제일 급한 것은 관련 정부기관들이 협의체를 만들어 현 실태, 국제동향 등에 대해 토론하는 것"이라고 덧붙였다.

메타버스 보안 위협에 대비하라

메타버스 기술이 초기 단계인 만큼, 보안에 대해서도 여러 시나리오가 거론될 뿐 아직 구체적인 방안은 찾아보기 어려운 상황이다. 메타버스가 '이미 시작된 미래'인 만큼, 과학기술정보통신부, 개인정보보호위원회 등 관련부처들이 더 적극적으로 제도 마련에 나서야 한다는 지적도 나온다.

황운하 이글루시큐리티 컨설턴트는 "메타버스에서의 복합적인 서비스는 이용자의 소비습관, 위치정보, 생체정보 등과 같은 새로운 유형의 개인정보들을 특정시점이 아닌 실시간으로 공유하기 때문에 어느 시점에, 누구에게 공유되는지 확인하는 것이 매우 어렵다"며 "메타버스에서는 개인정보에 대한 통제권을 행사하는데 필요한 정보를 정확히 확인하기엔 기존 IT서비스와 비교할 수 없을 정도로 복잡하고 어렵다"고 설명했다.

그는 "기존의 시스템 보호조치 및 관리정책은 메타버스의 가상 환경을 적절히 보호하기에 부족하므로 이를 메타버스의 특징에 맞게 개선해야 한다"며 "메타버스의 영역이 확대되고 발전하며 가치가 높아질 수록 각종 규제와 면밀한 조사가 이뤄지겠지만, 이런 규제는 투자자들에게 신뢰를 심어주게 되고 소비자에게는 안심을 주는 긍정적 요소로 작용할 것"이라고 전망했다.

메타버스 보안 위협 대응을 위해 발빠르게 움직인 기관도 있다. 한국인터넷진흥원(KISA)은 최근 보안 테스트 시설을 구축해 메타버스 보안 위협 대비에 나선다는 계획을 발표했다. KISA는 융합보안 수요자와 기업들이 필요한 보안기술을 검증하고, 융합서비스 기기와 플랫폼의 보안성을 테스트하는 '보안리빙랩'을 통해 메타버스 환경에 대한 보안성 시험을 지원할 계획이다.

KISA는 실감 콘텐츠 가상·증강현실(VR·AR) 보안리빙랩 강화를 위해 현재 제공 중인 '오큘러스', HTC 바이브 외에 마이크로소프트 '홀로렌즈' 등 PC 연결 없이 단독으로 구동되는 기기를 추가로 확보할 예정이다. 또 5G와 와이파이(Wi-Fi) 클라이언트, 블루투스 프로토콜에 대한 분석을 지원하고, 현재 상용화된 메타버스 플랫폼 중 일부를 리빙랩에 설치해 서비스 보안도 검증할 수 있도록 할 계획이다.