2023년 12월 23일
메타버스 보안위협 및 대응방안
1. 메타버스의 개요
(1) 메타버스(Metaverse)의 개념
- 현실의 나와 가상의 나(아바타)를 통해 일상활동과 경제생활을 영위하는 인터넷 공간과 물리적 공간이 공존하는 집합적 가상공존세계
- 초월(meta) + 우주(universe)의 합성어
(2) 메타버스의 이용환경과 가상환경
 | ||
| 구분 | 구성요소 | 역할 / 핵심 요소 |
|---|---|---|
| 현실/가상 환경 | 디지털 트윈 | – 현실 세계를 가상 공간에 동일하게 표현 위한 모델링/분석 – 센서, 액츄에이터, 디지털스레드, 3D 모델링 |
| NFT | – 가상환경 내 디지털 자산의 고유한 가치와 소유권을 기록 – ERC, 블록체인, Smart Contract, Dapp | |
| 기반 환경 제공 | MEC | – 데이터가 수집되는 현장에서 바로 데이터를 처리하고 연산 – 하드웨어 가상화, 멀티테넌시 실시간 호스팅 |
| 인프라(플랫폼) | – 가상 환경 구성을 위한 인프라 구성/제공 – HCI 기반 하드웨어, GPU, 인공지능, 클라우드 | |
- 메타버스 서비스는 기존 IT 서비스와 달리 빅데이터, 인공지능, 가상현실(VR), 블록체인 등 최신 기술이 결합되어 복합적인 형태를 보이므로 메타버스 이용 환경과 가상 환경의 다양한 보안위협에 대한 대응방안 수립 필요
2. 메타버스 이용 환경의 보안위협 및 대응방안
| 구분 | 보안위협 | 대응방안 |
|---|---|---|
| 사용자 이용환경 측면 | 메타버스 사용자 신원정보 탈취를 통해 범죄 악용 | – 안티 피싱, 안티 파밍 – DNSSEC, P2P 기반 직접 인증 |
| 인증 도용 후 메타버스 내 사용자 사칭을 통해 범죄 악용 | – 멀티팩터 인증(MFA) 적용 – 생체 정보기반 FIDO 적용 | |
| 여러 서비스 인증정보 관리 어려움으로 크리덴셜 스터핑 공격에 취약 | – 접근권한 조직화 신원 관리 – 연합/자기주도 신원관리 모델 | |
| 사용자의 감각 왜곡 및 위험 행동 유발 | – 컨텐츠 및 기기 변조 방지 적용 – 악의적 컨텐츠 필터링 제도 수립 | |
| 공포/충격 컨텐츠 등 유해한 컨텐츠 표시로 사용자에 피해 | – 유해 컨텐츠 탐지/필터링 AI 적용 – 컨텐츠 표시 금지 및 처벌 제도 제정 | |
| 디바이스 이용환경 측면 | 사용자 생체 정보 유출 및 악용 | – 생체 정보 암호화 및 비식별화 – 생체 정보 저장 안전성 확보 |
| 사용자 프로파일링 기반 신원 정보 및 주변 환경 정보 유출 | – 엣지 컴퓨팅 구조 적용 – 사용자 로컬기기 신원 인증 | |
| 메타버스 기기 정보 및 전송 데이터 탈취 공격 | – 기기 간 상호 인증 제도 도입 – 민감정보는 로컬 기기 내 처리 | |
| 메타버스 기기 DoS 공격 및 인증 공격 | – 주기적 기기 패치, 인증 절차 적용 – 행위 기반 인증 기술 개발 |
3. 메타버스 가상 환경의 보안위협 및 대응방안
| 구분 | 보안위협 | 대응방안 |
|---|---|---|
| 아바타 관련 위협 측면 | 가상환경 내 아바타 이동 경로 추적, 스토킹 행위 | – 아바타 클론, 아바타 위장/투명화 – 아바타 간 거리두기, 개인공간 제공 |
| ID 추적 및 다른 메타버스 서비스 연결 공격 | – 아바타 위장 기능 제공 – 플랫폼 별 다른 아바타 생성 | |
| 아바타 도용 및 복제를 통한 인증 도용 공격 | – 아바타 워터마킹, 복제 아바타 탐지 – 아바타 소유권 인증 기능 제공 | |
| 데이터 및 컨텐츠 관련 위협 측면 | 디지털컨텐츠 소유권 탈취, 저작권 침해 | – 디지털 워터마킹, 고유 링크 지문 – 유사도 인증 등 증명 수단 제공 |
| 허위 컨텐츠로 인한 부정적인 정보 전달 | – 허위 컨텐츠 통제 수단 마련 – 허니팟, 필터링, 탐지 등 | |
| 상호 작용 측면 | 사용자 상호 작용 무단 도청 및 유출 | – 공간 기밀성, 무결성, 가용성 보장 – 가상 보안 회의 및 일부 모자이크 |
| 다수 거짓 아바타 생성 통한 시빌 공격 | – 작업 증명, 지분 증명 – 캡챠(CAPTCHA), 연합학습 탐지 | |
| 불법 프로그램, 계정 도용 등 어뷰징 | – 아바타 개인 별 블랙박스 제공 – 메타버스 포렌식, 법적 제도 수립 | |
| 디지털트윈 환경 측면 | 테러 훈련, 기계 고장 유도 시뮬레이션 등 가상 환경 악용 | – 사용자 행동 모니터링/프로파일링 – 가상환경 비인가 사용자 접근 통제 |
| 의도적으로 잘못된 결과를 유도하여 현실에서 수행 시 사고 유도 (Man in the Mirroing 공격) | – 메타버스 내 서비스 무결성 보장 – 메타버스 서비스 상호 인증 |
- 기존 환경과 다른 새로운 패러다임을 가진 메타버스 환경에서는 다양한 보안위협이 발생 가능하므로 이에 대비하여 견고한 메타버스 플랫폼 제공
[참고]
- 정보보호학회지, 메타버스 보안 위협 요소 및 대응 방안 검토
- 정보보호학회지, 확장된 가상현실인 메타버스에서의 보안 위협 분석
About The Author
