[보안칼럼] 메타버스, 개인정보 보호 위한 사이버보안 전략 함께 마련해야

바야흐로 메타버스 시대다. 신문, TV에서 메타버스라는 단어를 흔히 접할 수 있다. 메타버스는 트렌드를 넘어 사회 전 분야에 빠르게 확산되며 모든 오프라인 환경을 디지털 환경으로 옮기는 데 일조하고 있다.

시장조사업체 이머전에 따르면 글로벌 메타버스 시장 규모는 2028년까지 989조원에 이를 것으로 예측된다. 국내외 주요 IT 기업은 메타버스를 미래 먹거리로 삼아 시장에 뛰어들었다.

메타버스를 필두로 기업의 디지털 전환이 더욱 거세질 것으로 전망되는 가운데 사이버 보안도 핵심 이슈로 제기된다.

최근 유명 글로벌 메타버스 플랫폼은 해커에게 내부 시스템 접근 권한을 해킹당하며 1억명에 이르는 월간 이용자 개인정보를 빼앗겼다.

현실 세계를 그대로 투영하는 메타버스 특성상 계정 정보뿐만 아니라 사용자 개인의 신상정보 등 프라이버시를 위협하는 민감 데이터의 노출 위험이 크다. 메타버스 보안 위협은 단순히 아바타를 도용하는 선에서 그치지 않는다. 메타버스 내 가상자산과 결제정보, 사용자의 평소 행동 패턴 정보까지 실시간으로 노출될 수 있다.

데이터 활용 영역이 확장된 만큼 데이터 보호는 기업에 더욱 어려운 과제가 됐다. 정보가 유출되더라도 악용을 불가능하게 만드는 데이터 암호화와 데이터 보호에 특화된 네트워크 보안 등 메타버스 환경을 고려한 체계적 보안 대책 마련이 필요한 이유다.

사람 이외 사물까지 가상화된 상태로 존재하는 메타버스에서는 물리적 접근 제한이 따로 없다. 아직 이에 대한 보호 법규가 마련되지 않아 누구나 사용자와 사물 정보에 쉽게 접근할 수 있다. 반면에 사용자와 관련된 정보가 언제, 어떻게, 누구와 공유되는지는 확인하기 어렵다.

마치 마트에서 물건을 사려고 신용카드로 결제했을 때 이 과정에 필요한 정보가 신용카드사, VAN사, 은행, 마일리지 플랫폼 등에 공유되지만 우리가 그 모든 과정을 일일이 보지 못하는 것과 마찬가지다.

메타버스의 이점을 적극 활용하면서도 확실한 개인정보보호 전략을 수립하기 위해서는 다음과 같은 요소가 고려돼야 한다.

첫째 대용량 데이터를 실시간 처리할 수 있는 자동화된 데이터 암호화 시스템을 구축해서 데이터 수집 시기부터 해킹 위험을 효율적으로 차단해야 한다. 메타버스는 인공지능, 디지털통화, 디지털 휴먼, 대체불가토큰(NFT), 게임, 디지털커머스, 워크플레이스, 소셜미디어 등 여러 산업과 기술 통합으로 만들어지기 때문에 상상을 초월하는 크기의 데이터가 발생한다.

이는 데이터 보안을 위한 암호화 처리가 쉽지 않다는 것을 의미한다. 메타버스에서는 방대한 데이터 저장을 위해 기존 DB뿐만 아니라 데이터레이크라는 다양하고 복잡한 환경의 데이터 저장소를 사용하기 때문에 예상하지 못한 보안문제를 마주치곤 한다.

이에 따라 여러 데이터 저장소 환경에 자동으로 최적화할 수 있는 아키텍처를 가지고 있거나 인공지능을 활용한 자동화가 적용된 유연한 암호화 서비스, 인공지능 기반 데이터 접근 기록 관리 시스템 등 첨단 보호 기술이 요구되는 추세다.

이에 덧붙여 인공지능 기반 난수 생성기와 암호화 알고리즘이 적용된 암호화 시스템을 사용하면 양자컴퓨팅과 같은 새로운 보안 위협에 대비할 수 있어 강력한 보안 태세의 안전한 메타버스 시스템 구축이 가능할 것이다.

둘째 메타버스에서 수집된 개인정보를 비식별 처리해서 보호해야 한다. 메타버스 세계에서는 상대방과의 교류, 대화, 아바타 아이템, 신체 반응까지 사용자를 파악할 수 있는 정보가 수집·처리된다.

창작자, 개발자, 광고 마케터, 광고주 등 매우 다양한 사용자가 메타버스에서 발생한 정보에 주목하고 이를 활용하려 한다.

이러한 개인정보를 활용할 때는 통계 작성, 서비스 개선 등과 같은 과학 연구나 공익적 기록 보존 등으로만 활용되도록 면밀한 관리·감독이 필요하다. 이때 프라이버시 침해 문제를 고려해 반드시 개인정보 비식별 처리가 된 데이터를 사용해야 하는 것은 불문가지다.

이전 인공지능 학습데이터 개인정보 유출 사태와 이에 따른 사회적 충격이 메타버스를 통해 재현될 수 있다.

신산업에 대한 개인정보 비식별 가공 처리와 관리가 무엇보다 절실하다.

셋째 방대한 시스템에서 발생하는 데이터 수집 및 변환 설정에 대한 가시성을 확보하고 개인정보 재식별 위험을 실시간으로 파악함으로써 데이터 관리 부담을 줄여야 한다.

기업은 효율적 데이터 운영으로 시간과 비용의 낭비를 줄이고, 개인정보보호에 수반되는 물리적·경제적 부담을 덜 수 있다.

실시간으로 파악한 재식별 위험도를 분석하면 국내 개인정보보호법, 신용정보보호법, 정보통신망법 등 관련 법률과 시행령을 준수하기가 용이하다. 나아가 글로벌한 데이터 보호규제 대응에도 큰 도움이 된다.

메타버스 산업이 급성장하는 지금이 정보 보호라는 과제에 더욱 집중할 때다.

메타버스 산업의 눈부신 성장 이면에는 많은 위험이 도사리고 있다. 메타버스 산업에 뛰어드는 것은 이제 선택 아닌 필수지만 메타버스의 무한한 확장 가능성만큼이나 관련 보안 위협도 있다는 점을 인지해야 한다. 선제적 보안전략 수립이 바탕이 될 때 향후 새로운 비즈니스의 운영과 성공을 내다볼 수 있다

김근진 스파이스웨어 대표 keunjin.kim@spiceware.io