'핫한' 메타버스에 해커도 몰린다..."제도 빈틈 노리고 개인정보 '탈탈'"

/사진=로블록스.

메타버스 플랫폼으로 유명한 로블록스는 지난해 5월 이용자 개인정보가 유출되는 사고로 홍역을 치렀다. 해커가 내부 시스템 접근권을 빼낸 로블록스 활성 이용자 1억명의 개인정보에 접근할 수 있게된 것이다. 해커는 일부 이용자 계정으로 접속해 아이템을 팔기도 했다. 같은 해 8월에는 해커들이 또다시 시스템을 해킹해 음란 이미지와 인종차별 내용을 담은 메시지를 이용자들에게 무분별하게 유포했다.

22일 보안업계에 따르면 최근 가상과 현실 세계를 결합한 메타버스가 큰 인기를 끌면서 개인정보 유출 등 보안위협이 커지고 있다. 이용자가 폭증하고 가상자산이 늘어나는 등 플랫폼 내에서 오고 가는 디지털 데이터의 가치가 커진 반면 , 해킹과 개인정보 유출에 대비한 시스템 등 보호 조치는 미비해서다. 전문가들은 메타버스 생태계 성장에 맞춰 새로운 보안관리 정책이 필요하다고 지적한다.

가상자산 탈취·시스템 마비 등...개인정보 유출로 사생활 침해도 우려

전문가들에 따르면 최근 메타버스를 겨냥한 공격유형은 대체로 이용자 개인계정을 해킹해 아바타나 게임머니 등 가상자산, 콘텐츠, 결제 정보를 빼내 금전적 손해를 입히는 방식이다. 지난해 8월 로블록스 사건처럼 시스템 자체를 겨냥하기도 한다. 서비스를 마비시켜 관리권한을 탈취한 뒤, 가상자산을 불법복제하고 신원 정보를 조작해 사기에 활용하는 등 시스템을 변조하는 공격방식이다. 무료 아이템을 주겠다며 불법 사이트로 이용자를 유도한 뒤 개인정보를 빼내는 피싱(fishing) 공격도 성행한다.

금전적 손해를 넘어 사생활 침해피해가 크다. 많은 메타버스 플랫폼은 몰입감있는 경험을 제공하기 위해 가상현실(VR)과 증강현실(AR) 기기, 사물인터넷(IoT) 센서 등을 이용해 이용자 신체정보와 위치정보 등을 폭넓게 수집해서다. 해커들이 이들 기기의 보안 취약점을 노리고 관리자 권한이나 중앙 관리 서버에 침투하면 이용자 개인정보를 한번에 탈취할 수 있게 된다.

해커들이 최근 메타버스에 눈독을 들이는 이유는 생태계 내 경제가치가 급격히 커져서이기도 하다. 최근 인기인 가상 부동산 거래 플랫폼 '어스2'는 지구의 인공위성 촬영지도(위성지도)를 구획한 뒤 블록 단위 가상 토지를 분양하는 서비스로, 실제 달러가치와 동일한 화폐를 사용한다. 거래가 활발하고 액수도 적지않다. 메타버스에선 대체 불가능 토큰(NFT) 기반 디지털 명품 거래도 늘고 있다. 모건스탠리는 보고서를 통해 10년 후 메타버스 내 명품시장 규모는 570억달러(약 67조5300억원)에 이를 것으로 전망했다.

보안업계 관계자는 "메타버스는 가상공간이지만 현실과 매우 밀접한 데이터 수집과 경제활동이 이뤄지다보니 해커들이 관심을 보일 수 밖에 없다"고 말했다.

'메타'의 메타버스 회의실 ‘호라이즌 워크룸'에서 이용자들이 회의를 진행하는 모습./사진=메타

전문가들은 아직 메타버스 발전 초기 단계인만큼 선제적으로 보안 대책을 마련해야 한다고 제언한다. 민경식 한국인터넷진흥원(KISA) 미래정책연구실 정책분석팀장은 "메타버스 관련 서비스 개발과 도입 단계부터 보안 시스템을 내재화할 수 있도록 표준 보안모델을 개발하고 가이드라인을 마련해야 한다"고 말했다.


메타버스 특성에 맞는 개인정보 보호 정책이 필요하다는 제언도 나온다. 현재는 국가마다 다른 개인정보 관련 법을 국경을 초월한 메타버스 공간에 어떻게 적용할지 명확한 기준이 없기 때문이다. 황운하 이글루시큐리티 컨설턴트는 "현재 보호조치와 관리 정책은 메타버스를 보호하기에 부족하므로 서비스 특성에 맞게 개선할 필요가 있다"며 "미비한 규제를 보완해야 투자자들에게는 신뢰를 주고 이용자들의 안심을 키워 산업을 키우는 데도 도움이 된다"고 말했다.