2023년, 메타버스 비즈니스 해킹↑…"가짜 아바타로 사기계약 가능성"

/사진=라온화이트햇

2023년엔 메타버스 비즈니스를 타깃삼은 사이버 범죄가 늘어날 전망이다.

보안기업 라온시큐어 의 자회사 라온화이트햇은 자사의 핵심연구팀이 분석한 '2023 보안 위협전망'을 23일 발표했다.

핵심연구팀이 2023년 5대 보안 위협으로 예측한 주요 내용은 △스마트 컨트랙트 취약점 공격 기승 △기업 임직원 계정정보 취득을 통한 내부망 해킹 지속 △메타버스 내 비즈니스 타깃 범죄 확대 △NFT 플랫폼 및 커뮤니티 해킹 증가 △오픈소스 활성화로 인한 공급망 보안 위협 지속이다.

스마트 컨트랙트는 계약 조건을 블록체인에 기록하고 조건이 충족되면 자동으로 계약이 실행되게 하는 기술이다. 그러나 스마트 컨트랙트는 누구나 확인할 수 있고 배포된 이후 내용 수정이 불가해 해킹·탈취와 같은 범죄 표적이 되기 쉽다. 라온화이트햇의 핵심연구팀은 "모의해킹 등으로 잠재적 보안 취약점을 파악해 대응 방안 및 탈중앙성을 확보하는 한편 스마트 컨트랙트 보안감사를 꾸준히 받아야 한다"고 강조했다.

기업 임직원 계정정보 취득을 통한 내부망 해킹도 이어질 것으로 보인다. 올 초 삼성전자 , 엔비디아 등 주요 빅테크 기업이 신흥 해커조직 랩서스에게 해킹 당하며 기밀 자료가 유출됐다. '2단계 인증'으로 보안을 강화해 사용자 계정이 탈취돼도 내부 시스템 접속 시점에 승인된 사용자인지 다시 한 번 검증할 수 있도록 해야 한다고 연구팀은 당부했다.

메타버스 비즈니스를 타깃한 공격도 증가할 전망이다. 기업을 타깃으로 메타버스에서 기업 공식 아바타와 동일한 아바타를 생성 또는 해킹해 사기 계약을 맺거나 딥페이크(Deep Fake) 기술을 활용한 기밀 탈취, 허위 사실 발표 등으로 심각한 피해가 예상된다. 이외에도 NFT 플랫폼과 커뮤니티를 노리는 해킹 범죄, 오픈소스 취약점 문제도 지속될 것으로 보인다.

강인욱 라온화이트햇 핵심연구팀 팀장은 "'아무도 신뢰하지 않는 것'을 전제로 한 사이버 보안 모델 '제로 트러스트(Zero Trust)' 환경 구축이 지능화되고 있는 사이버 보안 위협의 해결책이 될 수 있다"며 "장기적 관점에서 업무 단계별 제로 트러스트 기반 보안 전략 수립이 필요하다"고 말했다.