[창간특집]메타버스 확산에 보안 이슈도 부상

게티이미지뱅크
게티이미지뱅크

메타버스가 정보기술(IT) 업계 최대 화두가 되면서 보안 이슈에도 이목이 쏠린다. 이용자가 많아질수록 외부 위협에 노출될 수밖에 없고, 현실 세계와 연결된 이용자 정보가 유출될 가능성도 있기 때문이다.

황운하 이글루시큐리티 컨설턴트는 “메타버스 아바타들의 모든 경제 활동과 정보 교환 등은 가상 세계만의 일이 아닌 현실 세계와 연관된 것”이라면서 “메타버스에는 해킹을 통한 데이터 위·변조 위험이 존재한다”고 지적했다.

이용자는 메타버스라는 가상공간에서 또 다른 나인 '아바타'를 만들어 현실 세계의 활동을 확장한다. 이는 단순히 가상 세계의 활동에 국한되는 것이 아니라 현실 세계와 연동된다. 예를 들어 메타버스에서 아바타를 통해 금융거래를 하려면 현실 세계와 같이 신원을 증명한 뒤 상품과 서비스를 거래해야 한다. 메타버스에서 이뤄지는 금융거래라도 이용자 정보보호를 위해 현실 세계와 같은 수준에서 보안을 고려해야 할 필요가 있는 것이다.

메타버스 내 개인정보 제공 시점이 불명확하다는 점도 우려를 키운다. 이글루시큐리티가 발간한 메타버스 보안 보고서에 따르면 메타버스는 확장현실(XR)을 지원하기 위한 기기들을 통해 방대한 개인정보가 실시간 자동 수집되고 처리된다. 일반적인 IT 서비스의 경우 개인정보가 제공 또는 공유되는 시점은 비교적 명확하지만, 메타버스에서는 개인정보가 언제 누구에게 공유되는지 확인하기 어렵다.

이와 함께 메타버스에서 이뤄지는 복합 서비스는 이용자 소비 습관, 위치 정보, 생체 정보 등 새로운 유형의 개인정보를 발생시킨다. 이 같은 개인정보는 특정 시점이 아닌 실시간으로 발생·공유되기 때문에 개인정보에 대한 통제권을 행사하기 어려워진다.

메타버스를 구현하는 디지털 트윈에 대한 보안 대책도 없다. 디지털 트윈은 단순히 외형이나 구조뿐만 아니라 물리적 법칙까지 적용, 현실에서 발생 가능한 모든 상황을 가상공간에서 시뮬레이션하는 기술이다. 메타버스는 건물, 물건 등을 디지털 트윈으로 구현하는데 명확한 경계를 가진 현실과 달리 제재 없이 구현할 수 있다. 그만큼 이용자 현실이 반영된 개인정보, 신변 정보 등을 보호하기 어렵다. 메타버스 서비스에 보안이 허술한 경우 외부 공격자가 접근해 특정 이용자에 대한 개인정보 데이터 프로파일링도 가능한 셈이다.

황 컨설턴트는 “공격자가 메타버스 내 특정인 생활을 입체적으로 관찰할 수 있다면 이는 프라이버시 침해로 이어질 수 있다”면서 “메타버스 서비스 업체는 가상 세계에 대한 데이터와 콘텐츠 보호, 프라이버시 보호를 최우선 고려해야 한다”고 말했다.

메타버스 플랫폼 자체에 대한 보안 강화도 중요한 이슈로 지목된다. 미성년자가 폭력물과 음란물에 노출될 우려가 있어서다. 실제로 메타버스 선두 주자로 꼽히는 미국 온라인 게임 플랫폼 로블록스는 지난해 8월 시스템을 해킹 당해 인종차별적인 메시지와 함께 캐릭터가 음란행위를 하는 장면을 미성년자에게 노출했다.

메타버스는 IT 공유 서비스 플랫폼과 동일한 보안 문제를 내포하지만, 기존 보안 대책을 그대로 적용하기보다 메타버스 특징을 고려한 맞춤형 전략 수립이 필요하다. 아울러 가상 세계에서 만들어진 창작물에 대한 저작권 보호 전략뿐만 아니라 메타버스 플랫폼 공급업체에 의해 수집되는 개인정보 보호 전략도 수립해야 한다. 기존 시스템 보호 조치와 관리 정책은 메타버스 환경을 적절히 보호하기에 부족한 만큼 메타버스 특징에 맞게 개선해야 한다는 주문이 나온다.

오다인기자 ohdain@etnews.com