해킹 허점 노출한 메타 VR 헤드셋

영화 ‘인셉션’처럼 사용자 인식 조작… 개인정보 빼내 범죄에 이용할 수도

영화 '인셉션'에서 특수 요원들은 타인의 꿈에 들어가 민감한 정보를 훔치고, 새로운 생각을 심어놓기도 한다. 이런 영화 속 상상이 진짜 현실이 된다면 어떨까. 최근 연구에 따르면 메타 메타퀘스트, 애플 비전프로 같은 가상현실(VR) 헤드셋으로 접속한 가상세계에서 '인셉션'과 흡사한 해킹 위협이 발생하는 것으로 나타났다.

조작된 시뮬레이션으로 정보 해킹

새로운 보안 취약점이 드러난 메타 가상현실(VR) 헤드셋 ‘메타퀘스트’. [메타 제공]

미국 시카고대 컴퓨터공학과 연구팀은 '인셉션 공격: VR 시스템의 몰입형 하이재킹(Hijacking)'이라는 논문을 통해 VR 헤드셋의 보안 위험성을 경고했다. 해커들은 VR 헤드셋을 해킹해 가상세계 속 정보를 빼낼 수 있고, 헤드셋을 착용한 사용자는 자신도 모르게 조작된 가상세계를 경험할 수 있다는 것이다. 연구진은 "사용자는 VR과 정상적으로 상호작용한다고 생각하지만, 실제로 보고 듣는 모든 것이 해커에 의해 조작된 시뮬레이션 세계일 수 있다"며 "이번 연구 결과로 오늘날 VR 시스템이 얼마나 취약한지 알게 됐다는 점에서 충격적"이라고 설명했다. 연구진은 피험자 27명이 참가한 가운데 해킹 테스트를 진행했다. 피험자들이 VR 헤드셋 메타퀘스트를 착용하고 게임 애플리케이션(앱) 등 VR에 접속하자 연구진은 해킹을 시도했다. 해킹 공격이 이뤄지는 동안 사용자 중 3분의 1만 이상한 낌새를 감지했으며, 1명을 제외한 모든 사람이 이를 정상적인 작동 과정에서 나타나는 자연스러운 문제로 간주했다. 연구진이 메타퀘스트에 몰래 침투한 해킹 방식은 사이드퀘스트(SideQuest)로도 불리는 '몰입형 하이재킹'이다. VR 시스템에 악성코드를 심는 앱을 만든 뒤 사용자 운영체제에 '인셉션 VR 레이어'를 한층 덧대어 작동시킨다(그림 참조). 이 레이어는 사용자에게 원본 화면과 동일한 화면을 보여준다. 그러면 사용자는 덧씌워진 화면을 실제로 여기고, 해커는 실제 시스템 내부로 들어가 사용자가 헤드셋으로 하는 모든 작업을 보고 기록하며 수정할 수 있다. 메타퀘스트 스토어, 내부 앱, 외부 서버 등에 무단 접근하는 것도 가능하다. 개인 데이터도 빼낼 수 있다. 예를 들어 사용자가 VR 헤드셋을 사용해 인터넷뱅킹으로 1만 원을 송금했다면 해킹으로 이를 5만 원으로 변경해도 사용자는 알아차릴 수 없다.

‘인셉션 공격’은 사용자의 VR 시스템에 인셉션 레이어를 한층 덧대어 가상현실을 조작하고 중요 정보를 해킹한다. [미국 시카고대 제공]

위협적인 VR 해킹

이런 해킹은 의심스러운 링크를 클릭하게 하는 등 다른 악의적인 해킹 방식과도 결합될 여지가 있다. 또한 VR에서 이뤄지는 사회적 상호작용까지 공격 대상이 된다는 점에서 더욱 위협적이다. 여기에는 음성, 제스처, 키(key) 입력, 탐색 활동 등을 추적하는 것이 포함된다. 연구진은 사용자가 아바타를 통해 서로 대화할 수 있는 메타퀘스트의 VR챗 앱을 복제해 메시지를 가로챈 뒤 원하는 대로 응답하는 데도 성공했다.

‘인셉션 공격'이 가능한 이유는 메타퀘스트 헤드셋의 허점을 이용하기 때문이다. 사용자가 타사 앱을 다운로드하려면 개발자 모드를 활성화해야 하는데, 이 모드는 해커들이 VR 헤드셋에 접속할 수 있는 빌미를 제공한다. 연구진이 제시하는 최선의 방어책은 헤드셋을 공장 초기화해 악성 앱을 제거하는 것이다. 또한 안전한 개인 와이파이를 사용하고 불필요한 개발자 모드 사용을 피한다면 해킹 위험을 크게 줄일 수 있다. 메타퀘스트의 보안 취약성이 드러나자 메타 측은 "지속적으로 연구자들과 협력 중이며, 이번 연구 결과를 검토할 계획"이라고 밝혔다. 메타는 그동안 윤리적 해커에게 최대 30만 달러(약 4억 원) 현상금을 내걸어왔다. 이번 연구에 참여한 벤 자오 시카고대 컴퓨터공학과 교수는 MIT 테크놀로지 리뷰를 통해 "인셉션 공격은 해커들이 VR 시스템에 침투해 사용자 정보를 탈취하고 조작할 수 있는 다양한 가능성을 제공한다"며 "헤드셋이 더 널리 퍼지기 전에 강력한 방어 수단을 개발할 필요가 있다"고 말했다.

애플 비전프로를 비롯한 VR 헤드셋 인기가 높아지면서 보안 취약성에 대한 대책 마련이 시급하다는 지적이 나오고 있다. [애플 제공]

최근 VR 헤드셋 인기가 높아지면서 잠재적으로 위험에 처할 수 있는 사용자 수도 늘어나는 상황이지만 VR 헤드셋 보안 연구는 제품 개발 속도에 비해 뒤처진 실정이다. 그러나 개인용 컴퓨터(PC)나 스마트폰과 마찬가지로 VR 헤드셋에 대한 공격 또한 신원 도용, 개인정보 또는 네트워크 자격 증명 도용, 하드웨어·소프트웨어 손상, 기타 여러 데이터 침해로 이어질 가능성이 다분하다. 특히 VR이나 증강현실(AR)은 뛰어난 몰입도로 사용자가 이런 취약성을 깨닫기가 더욱 어렵다. 현실이 아닌 가상세계에서 해커들이 사용자 환경을 함부로 제어하는 것을 넘어 거짓 시스템을 만들 경우 사용자 인식이 조작돼 잠재적 피해로 이어진다. 예를 들어 사용 연령 제한이 없는 앱에 성인물이나 혐오스러운 콘텐츠를 삽입할 경우 그 피해는 훨씬 커질 수밖에 없다. 최근 급격히 발전하는 생성형 인공지능(AI)을 이용할 경우 사람 목소리나 시각적 딥페이크를 쉽게 생성할 수 있다. 악의를 가진 해커들이 이러한 기술을 사용한다면 더욱 심각한 문제를 야기하게 된다.

VR 헤드셋, 해킹 염두에 두고 사용해야

그렇다면 이런 보안 위협을 막으려면 어떻게 대처해야 할까. 전기전자공학자협회(IEEE)는 VR, AR, 혼합현실(MR) 등 몰입형 기술을 연구하는 '디지털 현실' 페이지를 통해 VR 보안과 관련해 다음과 같은 점을 강조했다. 먼저 사이버 보안에서 필수 부분은 개인정보 보호다. 앱 사용 시 개인정보 보호 정책을 적극 검토하는 것은 물론, 자신과 상호작용하고 데이터를 공유하는 다른 사용자의 신원을 확인하기 위한 추가 단계를 수행할 필요가 있다. 또 펌웨어 업데이트와 보안패치 적용을 통해 장치를 최신 상태로 유지하고, 응용프로그램 또한 최신 상태여야 한다. 출처를 알 수 없는 앱을 설치할 때는 더욱 주의해야 한다. 기본적으로 VR 헤드셋 사용자는 가상세계에서 생성된 모든 인공적 요소가 해킹을 비롯한 사이버 범죄를 통해 조작될 가능성이 있다는 점을 염두에 두고 사용할 필요가 있다.

_{*유튜브와 포털에서 각각 '매거진동아'와 '투벤저스'를 검색해 팔로잉하시면 기사 외에도 동영상 등 다채로운 투자 정보를 만나보실 수 있습니다.}

이종림 과학전문기자