‘대세’ 메타버스, 해킹에는 안전할까?

[AI 요약] 정부는 물론 빅테크, 게임업계, 금융권까지 올 한 해는 그야말로 분야를 막론하고 메타버스 사업 발표가 이어졌다. 이른바 ‘메타버스 러시’라고 해도 과언이 아니다. 하지만 현재로서는 새로운 기술과 서비스, 금융환경의 속도를 제도권이 따라가지 못하는 상태, 이른바 ‘관리 공백’의 발생이 우려되고 있다. 문제는 메타버스 기반의 기술과 서비스, 새로운 개념의 금융이 융합되는 과정에서 부정한 목적을 가진 해커 등의 공격에 무방비로 노출된다는 점이다.


사회 각 분야에서 메타버스 사업 진출이 앞다퉈 진행되며 메타버스의 보안 위협이 증가하고 있다. (이미지=픽사베이)

정부는 물론 빅테크, 게임업계, 금융권까지 올 한 해는 그야말로 분야를 막론하고 메타버스 사업 발표가 이어졌다. 이른바 ‘메타버스 러시’라고 해도 과언이 아니다.

페이스북이 사명을 메타로 변경하는가 하면, 마이크로소프트는 가상현실 플랫폼 ‘메시(Mesh)’의 구체적인 실체를 공개하며 2022년 정식으로 선보일 예정임을 밝혔다. 애플 역시 모바일 인터넷 시대에 구축한 자사의 생태계를 메타버스로 확장하려 준비 중이다.

금융권에서도 내년 초 은행을 중심으로 메타버스 간편결제 서비스와 플랫폼 구축을 예고하고 있다. 게임업계는 메타버스와 NFT(대체불가토큰)를 연계한 거래소 구축에 나서며 일대 변화가 진행 중이다. 이는 엔터테인먼트, 콘텐츠 분야도 예외가 아니다.

이러한 각계의 메타버스 사업 선언은 블록체인 기반 가상자산이 따라붙는다. 메타버스가 무엇이든 할 수 있는 디지털 세계로서 무한한 가능성을 품은 가상의 공간이라면, 그 곳에서 이뤄지는 창조적 작업, 놀이, 소비 과정에 필요한 가상자산은 필수가 되기 때문이다. 이러한 맥락에서 볼 때 메타버스는 각 기업들에게 피할 수 없는 도전이자 선점해야 하는 공간이 되고 있다.

너도나도 메타버스 러시, 우려되는 보안 대책은 미비

현재의 모바일 인터넷 시스템 역시도 해킹 등의 보안 위협의 100% 예방하는 것은 불가능에 가깝다. (이미지=픽사베이)

메타버스와 블록체인 기반 가상자산 업계는 지금 서서히 달아오르는 냄비와 같다. 임계점에 도달하면 서로 융합하며 뭔가 큰 일을 낼 것만 같은 분위기다. 메타버스 세계 구현을 위한 기술은 기술 대로, 가산자산 거래를 위한 생태계 역시 그 나름대로 차곡차곡 영역을 구축해 나가고 있지만 제도는 그 뒤를 쫓아가는 것만해도 숨가쁘게 보인다.

현재로서는 새로운 기술과 서비스, 금융환경의 속도를 제도권이 따라가지 못하는 상태, 이른바 ‘관리 공백’의 발생이 우려되고 있다. 문제는 메타버스 기반의 기술과 서비스, 새로운 개념의 금융이 융합되는 과정에서 부정한 목적을 가진 해커 등의 공격에 무방비로 노출된다는 점이다.

이는 현재의 인터넷 환경에서 직면하는 보안 위협을 통해서도 예감할 수 있다. 아무리 최첨단 보안 시스템을 구축했다는 금융, 빅테크 기업들도 번번히 해커들의 공격에 당하는 것이 현실이기 때문이다.  

더 큰 문제는 메타버스 시대로 접어들며 이전과는 비교할 수 없는 수준의 개인정보가 해커들의 공격에 허술하게 노출돼 있다는 점이다.

메타버스 기술과 서비스가 고도화 될수록 수집되는 개인정보는 양적 질적으로 이전 인터넷 시대와 비교할 수 없는 수준이 될 것으로 전망된다. 이제까지의 인터넷 시대에서는 아이디, 패스워드 등 계정이 해킹 당해도 예상되는 피해가 제한적인 반면, 메타버스 시대의 계정 해킹은 내 아바타와 디지털 아이템 등의 자산, 가상자산 결제 권한 등은 물론 생체정보, 위치정보, 소비 패턴 등 민감 정보까지, 혹은 지금은 상상할 수 없는 유형의 디지털 데이터까지도 모두 위·변조될 수 있다는 의미다.

더 큰 문제는 아직 개념만이 거론되고 구체화된 서비스 고도화가 이뤄지지 않은 상황에서 메타버스 상 개인정보가 어떤 방식으로 어떤 대상에게 공유되는지를 명확하게 알 수 없다는 점이다. 상황이 이렇지만 메타버스 전문 보안 시스템을 구축하거나 이를 전문으로 하는 보안 기업은 아직 등장하지 않은 상태다.

물론 아직 시간은 있다. 진정으로 메타버스 공간에서 모든 활동이 이뤄지는 ‘메타버스 시대’가 도래하기 위해 해결해야 할 기술적, 환경적 과제가 한둘이 아니기 때문이다. 실제 메타버스 사업 진출을 발표하는 기업 등도 본격적인 메타버스 시대가 되려면 5~10년 정도의 시간이 필요하다고 보고 있다.

그럼에도 높아져만 가는 경제적 가치, 해커들에게도 관심

메타버스가 다루는 개인정보는 인터넷 체제와 비교할 수 없을 정도로 양적, 질적 면에서 광범위해졌다. 이러한 개인정보를 바탕으로 해커들이 할 수 있는 법죄 역시 예측할 수 없는 상황이다. (이미지=픽사베이)

본격적인 메타버스 시대는 아직 도래하지 않았다고 해도, 각 기업들의 메타버스 시장 선점을 위한 시도는 이미 현재의 모바일 인터넷 기반에서도 이뤄지고 있다. 문제는 이렇듯 인터넷 기반의 메타버스 서비스 조차 해커들의 공격이 이미 시작되고 있다는 것이다.

이렇듯 해커의 공격이 늘어나는 이유는 제도가 구축되고 환경이 성숙되기 이전부터 이미 메타버스 서비스를 중심으로 디지털 데이터 활용 범위가 커지고, 가상자산과 연계된 서비스가 나오기 시작하며 그 가치가 급상승하고 있기 때문이다.

메타버스 게임 플랫폼으로 유명한 로블록스에서는 지난해 5월 이용자 개인정보가 유출되는 사고가 발생했다. 내부 시스템 접근권을 빼낸 해커로 인해 무려 1억명의 이용자 개인정보가 유출된 것이다. 당시 해커는 일부 이용자 계정을 접속해 아이템을 팔았던 것으로 알려진다.

로블록스의 해킹 피해는 그해 8월에도 이어졌다. 경제적 피해는 없었지만, 시스템을 해킹한 해커들이 음란 이미지와 인종차별적 메시지를 이용자들에게 무분별하게 유출했다. 로블록스는 주 이용자가 10대로 구성돼 있다.

로블록스의 사례처럼 최근 메타버스를 겨냥한 공격은 두 갈래로 나눠진다. 개인 계정을 해킹해 아바타, 게임머니 등의 가상자산, 결제정보를 활용해 금전적 피해를 입히는 것이 첫 번째다. 다음으로는 시스템 자체를 해킹해 관리권한을 획득한 뒤 가상자산을 불법복제하고 이용자 신원 정보를 조작해 사기에 활용하는 방식이다. 무료 아이템을 미끼로 불법 사이트로 이용자를 유인 후 개인정보를 빼 내는 피싱 공격도 빈번하게 이뤄진다.

메타버스 게임 플랫폼인 로블록스는 이미 지난해 5월과 8월 해킹을 통한 개인정보 유출 등이 발생했다. (이미지=로블록스)

사명을 바꾼 메타도 이러한 해킹 공격의 예외는 아니다. 공교롭게도 메타는 사명을 바꾼 날, 페이스북 시절인 2012년부터 2018년까지 6년간 최소 330만명의 개인정보를 당사자 동의 없이 다른 사업자에게 제공했다는 이유로 개인정보보호위원회로부터 유출 피해자에게 배상하라는 조정안을 받았다. 과거 페이스북 시절 고질적으로 발생했던 개인정보 유출이 사명을 바꾸고 메타버스 서비스를 한다고 해서 사라질 지는 미지수다.

최근 메타버스에서는 NFT 기반 디지털 명품 거래도 진행되는 상황이다. 모건스탠리의 보고서에 따르면 메타버스 시대가 본격화 되는 10년 후에는 메타버스 내 명품시장 규모가 570억 달러(약 67조원)에 달한다고 한다. 향후 해커의 공격은 메타버스 내에서 이뤄지는 거래 금액이 높아질수록 더욱 큰 피해가 발생할 수 있다는 점에서 우려가 커지고 있다. NFT와 같이 블록체인 기반의 가상자산은 해킹이나 보안 위협에 안전하다고 하지만, 이를 사용하는 메타버스 내 개인의 계정과 아바타는 구체적인 보안 대책이 마련돼 있지 않기 때문이다.

이용자 확보에만 혈안, 무방비 상태의 금융 메타버스

내년 본격화될 마이데이터 서비스를 앞두고 금융권, 빅테크, 핀테크 간의 이용자 확보 경쟁은 이미 물밑에서 치열하게 전개되고 있다. 하지만 한편으로 우리나라에서 최초로 시도되는 마이데이터 서비스인 터라 실상은 ‘자산관리’ 외에 뚜렷한 차별성을 내세우는 금융사는 없는 상황이다.

이에 각 금융사들은 앞다퉈 간편결제 서비스를 도입한 메타버스 플랫폼을 내세우며 이용자 확보에 나서는 모양새다. 이들의 메인 타깃은 메타버스 환경에 대한 호기심이 큰 MZ세대다. 이들 세대는 이미 금융사의 오프라인 지점 이용율이 현격이 떨어지며 주로 온라인을 통한 금융 거래에 익숙하다. 금융사의 메타버스 플랫폼은 이러한 MZ세대의 금융 이용 경험을 확장해 줄 것으로 기대를 모으고 있다.  

하지만 금융사들이 메타버스를 통해 자금 조달, 중개, 투자 서비스 등 금융 활동이 가능하도록 하겠다는 상황에서 정작 중요한 보안 우려는 가볍게 인식하는 듯한 분위기다. 보안 전문가들은 ‘제로데이 공격(취약점 패치가 나오지 않은 시기에 발행하는 위협)’에 대한 우려를 표하고 있다.

더구나 금융사에서 추진하는 메타버스 플랫폼 기술은 내재화된 것이 아닌 전문 업체와 협력을 통해 이뤄지고 있다. 그래서 메타버스 전문 업체들은 고객 프라이버시와 데이터보호를 최우선 과제라고 이야기하고 있다. 하지만 현재 구축되는 메타버스 플랫폼 별 보안 시스템이나 해킹 방지 대책은 제각각이다.

금융보안에 대한 중요성을 인식하며 금융정책을 총괄하는 금융당국에서는 금융보안전문위원회를 설치하는 움직임이 있긴 하지만 이는 마이데이터 서비스에 한정돼 있다.  

해결해야 할 과제는 뭐가 있을까?

메타버스 상의 개인정보 보호를 위해 블록체인 기술을 적용한 '데이터의 자산화'도 고려해 볼만 하지만, 이는 해결해야 할 과제가 적지 않다. (이미지=픽사베이)

앞서 언급한 바와 같이 메타버스 공간에서는 방대한 양의 개인정보가 실시간으로 자동 수집되고 처리된다. 이제까지 모바일 인터넷 체제에서는 개인정보 제공 및 공유 시점과 방식이 명확한 편이지만, 메타버스 플랫폼에서는 이 부분이 분명치 않다.

또한 메타버스 내 계정이 해킹될 시 이전과 비교할 수 없는 정보가 유출되며 어떻게 쓰일지 알 수 없다는 것도 문제다. 특히 메타버스를 통해 구현되는 디지털 트윈의 경우 현실의 유·무형적인 특징이 그대로 반영된다는 점에서 한번 해킹 될 경우 그야말로 ‘모든 것’이 유출되는 상황이 벌어질 수도 있다. 개인은 물론 기업이나 국가의 경우 극도의 중요한 기밀이 통째로 복제되거나 부정하게 활용될 수 있다는 의미다.

이에 전문가들은 메타버스 시대에 대응하기 위한 기존 보안 대책을 넘어선 메타버스 맞춤형 보안 프로세스와 전략 수립이 시급하다고 입을 모으고 있다. 이는 금융을 비롯해 사회 전 분야의 메타버스화가 진행되는 상황에서 그 무엇보다 시급한 문제로 대두되고 있다.

그렇다면 메타버스 환경에서 우려되는 보안 문제와 실효성 있는 대책은 어떤 것이 있을까?

우선 개인정보 보호를 위해서는 데이터 암호화 및 추가되는 개인정보를 인식하고 통제할 수 있는 데이터 보호 체계를 갖추는 것이 시급하다. 특히 기술의 발달과 함께 생체정보까지 메타버스 내에서 수집되는 상황이 되면 뇌파, 혈압, 호흡과 같은 생체정보는 물론 개인의 행동, 감정 정보가지 모두 수집의 대상이 될 수 있다.

이를 조정하고 관리하기 위해서는 블록체인 기술을 적용한 ‘데이터의 자산화’ 등을 적용할 수 있지만 이는 개인정보를 다루고 관리하는, 이를테면 마이데이터 사업자 등의 관리 주체에 모두 일괄 적용되는 블록체인 기술 시스템이 확보되야 가능하다.

가상세계에서 NFT를 통해 소유권을 증명하는 개념 역시도, 특정 대상에 대해 창작자 외에 다른 누군가가 먼저 NFT를 적용, 창작물의 소유권을 증명할 경우에 대응하는 규정 마련도 시급하다. 이른바 저작권법과 같은 의미의 제도적 장치가 마련될 필요가 있다는 의미다.

또한 무한복제가 가능한 디지털의 특징을 악용해 메타버스 내의 아이템이나 굿즈, 특정 브랜드의 물건을 무단으로 복제해 사용할 수도 있다는 점을 간과하면 안된다. 인터넷 기반 서비스에서도 이뤄지는 음원, 콘텐츠의 불법 복제나 유통을 규제하는 것과 마찬가지로 메타버스 내에서도 불법 복제를 막고 이를 감시할 수 있는 모니터링 기술이 필요하다는 것이다.

황정호 기자

jhh@tech42.co.kr
기자의 다른 기사보기
저작권자 © Tech42 - Tech Journalism by AI 테크42 무단전재 및 재배포 금지

관련 기사

세계 톱10 군용 전투 드론과 실전 능력

전세계에서 손꼽히는 성능의 전투 드론 톱10을 소개한다. 비교 기준은 성능, 내구성, 무장 능력 및 각 프로그램의 현재 상태와 같은 요소를 감안한 가장 효율적이고 능력있고 전투 준비가 된 옵션이다. 호주 보잉사가 개발한 MQ-28 고스트 배트(Ghost Bat、사진)는 인공지능(AI)을 통합한 무인공중운행체(Unmanned Combat Aerial Vehicle, UCAV)로서 6세대 전투기 및 폭격기와 통신할 수 있는 기능을 갖출 예정이다.

인공지능에 고해성사하세요 ‘AI 예수의 등장’

스위스의 한 소박한 교회가 AI 예수를 설치하고 일종의 고해성사 실험을 진행하면서 엇갈린 반응이 나오고 있다. 이 교회는 AI 예수 구동을 위해 고해성사 실을 제공했으며, 방문객이 사제에게 죄를 고백하는 대신 AI가 묘사한 예수와 대화를 진행했다.

[인터뷰] 윤거성 펄스애드 대표 “셀러의 광고 효율을 높여주는 글로벌 리테일 미디어 플랫폼을 만들고 있습니다”

설립 직후 시드 투자 유치에 이어 아마존 광고 기술 분야 파트너 선정, 이어진 CJ ENM으로부터 전략적 투자 유치, 팁스 선정 등이 모두 지난 몇 개월 사이에 펄스애드가 이뤄낸 일들이다. 놀랍도록 빠른 속도로 성과를 만들어 내고 있는 펄스애드의 전략과 무기, 다가오는 새해의 계획은 무엇일까? 오는 28일 개최되는 ‘디지털 마케팅 인사이트 2025(DMI 2025)’에서 ‘리테일 미디어의 성장과 브랜드의 채널 전략 변화’를 주제로 발표를 앞둔 윤거성 대표를 만나 좀 더 구체적인 이야기를 들어봤다.

‘2024 빅테크 성적표’ AI 지출과 기업 점유율 보기

올해 빅테크의 AI에 대한 기업지출이 올해 500% 급증해 약 19조원을 쏟아부은 것으로 집계됐다. 그동안 AI 시장의 선두에 있었던 오픈AI의 시장 점유율은 지난해 50%에서 올해 34%로 줄어들었으며, 이는 경쟁사인 앤트로픽의 챗봇 모델 클로드 3.5의 활약때문이라는 분석이 나온다.