[기고] 메타버스와 아바타 보안

개인정보 보호 해킹 등 대비해야..'연결 인증'으로 해결 가능

(지디넷코리아=이기혁 중앙대 융합보안학과 교수)10여년 전, 중학생이던 아들이 용돈으로 비트코인을 구매했고, 나에게 같이 투자하자고 권유했다. 그러나 당시 “비트 코인은 허황된 거니 거론도 하지 말라“고 질책을 한 적이 있다. 10여년이 지난 지금은 후회가 된다. 조금이나마 금전적으로 이익을 축적할 수 있는 기회를 놓쳤기 때문이다.

최근 세상은 메타버스가 점령한듯하다. 모든 사람들이 메타버스에 열광하고 있다. 우리는 IT가 세상을 지배하는 시대에 살고 있다. 때문에 메타버스에 대해 이게 뭐냐?고 피할 수 있는 사람은 없는 것 같다. 유튜브 시대에 유튜버라는 새로운 직업이 나오고, 또 유튜버가 돈벌이가 되면서 방송가까지 점령하고 있듯이 메타버스도 새로운 기회를 제공할 수 있다.

이미 우리는 리얼 월드(Real world)와 버추얼 월드(Virtual world)에서 공존하는 시대에 살고 있다. 우려스러운 것은, 메타버스 시대로 진입하는 이때에 메타버스의 역기능과 사이버 보안에 관해 걱정하거나 논의하는 사람이 적다는 것이다. 보안과 프라이버시 이슈, 아바타의 보안은 신경 쓰지 않고 메타버스가 구현되고 있는 듯 하다. 실제 메타버스상 데이터 전송에 있어 암호화가 안돼 있고, 얼굴 등 생체인식 정보나 녹화 방지 기능, 개인정보 추적기능, 그리고 아바타를 타인이 사용하거나 혹은 범죄용도로 사용해도 이를 식별할 수 있는 기술이 구현돼 있지 않다.

어떤 VR 플랫폼은 필수적인 보안장치를 누락시킨 상태로 디자인되고 있으며, VR 기기와 서버간 통신이 암호화되지 않은 상태에서 커뮤니케이션되고 있기도 하다. 한 지방 자치단체가 VR 헤드셋을 구매해 보급할 것이라는 기사가 있었다. 이럴 경우, 매일 사용하는 VR기기가 당신이 무엇을 보고 있는지, 또 어느 시점이 되면 위치를 추적할 수도 있다는 점을 알아야 한다. 제대로 보호 되지 않은 개인정보 문제가 메타버스에서 발생할 수 있는 것이다. 제품을 사용하는 동안 음성 녹취와 동영상 녹화 등 다른 개인의 아바타 정보가 해킹될 수도 있다. 메타버스가 좀 더 우리 생활에 깊숙이 들어와 활성화되면 타인이 이를 악용하거나 범죄 의도로 위조해 사용하는 등 아바타의 보안 문제가 핫 이슈가 될 수 있다.

이기혁 중앙대 융합보안학과 교수

개인이 여러 메타버스에서 각자 다른 모습으로 구현한 아바타를 더욱 안전하게 지켜야 하는데, 이를 '대표 아바타'와 단순한 입장기능만 부여한 '게스트 아바타' 구분, 여러 메타버스 서비스에 구현하는 것이 필요하다고 본다. 즉, '대표 아바타'는 메타버스내에서 신원증명, 지불, 결제, 가상자산 소유권 등을 갖는 아바타로 대표성을 갖는다. 각각의 아바타를 만들어 메타버스 간 이동이 이뤼지는 상황이 올 수 있는데 이때 기존의 보안이나 인증 서비스를 응용하는 것이 필요하다.

예를 들어보자. 메타버스상에서 은행에 100만원을 송금할 경우를 생각하면, 송금하는 아바타가 자신이 안전한 아바타임을 어떻게 증명할 지, 또 이 은행이 진짜 내가 거래하는 은행으로 '아바타 인증'을 어떻게 증명할 지, 은행 직원이 아바타로 등장할 경우 나의 '대표아바타'와 상담직원 아바타간 진위 여부 증명은 어떻게 할 지, 이외에 송금 계좌번호의 금융 정보 진위 여부 등 여러 복잡한 문제가 발생할 것이다.

이에 필자는 여러 전문가들과 토론후 메타버스 보안을 공식으로 만들어 연결인증(Chain of Authentication)으로 '생체인증+사설인증서'를 묶어 기존 국제표준인 'ITU X.509'를 기반으로 각각의 코드를 확인하는 'Uuser * n(ID *(I-CPNT)) * ZT * CR'라고 정의해 봤다.

여기서 User는 자신의 아바타는 메타버스상의 거래 혹은 주문 등의 상대가 될 것이고, 현재 국제표준으로 진행하는(n개의 인증서 진위 여부를 판단하는 Cross Signing을 통해) 인증서 발급기관간의(루트 CA와 또다른 루트 CA간) 발행 정보를 보증하고 상호 인증하는 절차가 구현돼야 한다.

연동이 불가능한 각 메타버스마다 사용중인 현재의 아바타로 여러 메타버스에 동일한 모습으로 모두 접속하면 어떻게 될까? 예컨대 페북 메타에서 만든 아바타로 SK텔레콤 이프랜드에서 옷을 구매해 입고, 로블록스의 게임 이벤트에 참여할 수 있는 것이다. 실제 이런 이용자 희망사항을 SNS에서 본적이 있다. 

이는 '연결인증(Chain of Authentication)'이 지원되면 가능하다고 생각한다. 이에는 인증서 이동과 인증서 검증이 필요한 강력한 아바타 보안시스템 구현이 필수가 돼야 한다. 접속 출발지점(PC나 스마트폰)의 생체인증(지문 등+사설인증서)을 메타버스내의 서비스 이용에 연결, 인증하는 걸 말한다. 따라서, 메타버스 서비스를 발표한 SK, 네이버, 지자체 등 메타버스 서비스 사업자는 고유 아바타 생성시 '메타버스 아바타 인증서'를 발급하고 '안전 아바타'로 탄생시켜야 하며, 이를 '대표 아바타'로 부르고, 단순 아바타를 운영하는 기존 아바타는 입장 기능만 있는 '게스트 아바타'로 구분, 운영해야 한다. 서비스 최하위층 사이버 보안 영역인 콘텐츠, 플랫폼, 네트워크, 기기(터미널) 영역의 기본적인 IT 인프라 영역의 사이버 보안이 지원돼야 하는 건 기본이다.

최근 미국 마이크로소프트(MS) CEO는 물리적인 사물인터넷과 메타버스내의 가전제품 등을 사이버 트윈(Cyber Twin)으로 서로 연동한다고 밝혔고, 페북 메타는 음성 통제 기능을 발표했다. 현재 삼성전자나 LG전자 최신 TV는 아마존 알렉사, 구글 어시스턴트 등과 연동해 음성으로 등록된 주인만 통제가 가능하며 애플의 사물인터넷인 홈킷도 지원해 집안의 모든 가전제품을 음성으로 최대 6명의 가족이 사용할 수 있다.

사티아 나델라 MS CEO가 자사의 메타버스 전략을 설명하고 있다.

메타버스내에서 음성으로 명령한 TV 등 가전제품이 실제 물리적인 세계에서 동작이 가능하도록 구현돼야 하는데 이를 가전회사가 어떻게 연결할지가 정해져 있지 않지만 '연결인증'이 구현되면 쉽게 구축이 가능하다. 즉, 사물인터넷 기능이 구현돼 국제표준을 구현한 '사물인터넷 인증서'를 설치해 판매중인 최신 TV 등은 모두 가능하다. 메타버스내에서 '주인 아바타'만 자신이 현실세계에서 사용하던 TV 등 가전제품을 그대로 개인의 메타버스로 이동해 사용이 가능하다. 즉, 현실 세계의 물리적 생체인증+메타버스 아바타 인증서+IoT가전제품 인증서가 서로 연결돼야 각종 메타버스 서비스를 발표한 모든 사업자가 이를 쉽게 구현 할 수 있고 메타버스 상의 보안 문제도 해결 할 수 있다.

이를 적용하면, 아마존의 아스트로 혹은 삼성전자의 볼리 등 '물리적인 가정 집사 기능의 로봇'이나 애완동물(개, 고양이) 등도 아바타로 만들어 '주인 아바타'의 메타버스내 각종 서비스 공간을 같이 산책하면서 '물리적인 스마트홈과 메타버스 영역'을 통제하는 중앙통제장치 (Central Controller)로 활용이 가능하다.

마지막으로, 메타버스에 몰입한 이용자에게도 정부 재난문자와 화재 경보, 택배 기사가 누르는 CCTV화면 등은 실시간으로 가상세계에서 연동돼야 한다. 또 대표 아바타가 '안전한 아바타'로 구현되려면 아바타가 착용하는 장갑, 아바타 팔찌, 아바타 시계 그리고 머리 위에 천사 링 등을 추가해 각각의 멀티 목적의 보안 기능을 추가 할 수 있다. 이는 컴퓨터 키보드를 F1~F10으로 사용하는 것처럼 다양한 활용도 가능하다. 그리고 위에 정의한 공식대로, 제로 트러스트(Zero Trust Security) 구현과 사이버 탄력성(Cyber Resilience)구현은 필수가 돼야 한다고 필자는 강력히 주장한다.

이기혁 중앙대 융합보안학과 교수(marathon033@gmail.com)