메타버스 서비스 전 주기에 걸쳐 40여개 보안 위협이 존재하는 것으로 분석됐다. 네트워크부터 개인정보까지 다양한 영역에서 특화한 대응 전략이 요구된다.

한국인터넷진흥원은(KISA)은 10일 '메타버스 보안 세미나'를 개최, 메타버스 보안 가이드(초안)을 공개했다.

보안 가이드에 따르면, 메타버스 서비스 구간에서 42개 보안 위협이 발생할 수 있는 것으로 분석됐다. KISA는 이를 기반으로 위험속성을 △네트워크 △시스템 △소프트웨어 △이용기기 △가상경제 △거버넌스 △데이터·프라이버시로 구분했다.

메타버스 보안 아키텍처는 △통신보안 △클라우드 콘솔 △서버 △소프트웨어 △오픈소스 △오픈 API △펌웨어 △VR·AR 등 보안요구사항을 중심으로 수립했다. KISA는 7개 위험 속성별 보안 요구사항을 담은 메타버스 보안 가이드를 제공할 계획이다.

백종현 KISA 융합보안정책팀장은 “메타버스는 현실 세계를 디지털세계와 연결하는 인프라와 이를 가상현실로 확장하는 플랫폼, 가상현실 구성요소의 집합인 가상 생태계로 구성된다”며 “보안 요구사항과 함께 메타버스 사업자, 이용자 등이 준수해야 할 보안수칙도 제시할 것”이라고 소개했다.

백 팀장은 또 “메타버스 침해사고는 기존 정보시스템 취약점을 활용한 사례부터 메타버스에 연계된 NFT를 탈취하는 침해사고, 그루밍 범죄, 성희롱 등이 지속 증가하고 있다”면서 “기존·신규 사이버 공격과 범죄가 동시에 나타나고 있어 이에 대한 대응에 초점을 맞출 것”이라고 덧붙였다.

이날 세미나에서는 스마트 공장, 자율주행 관련 보안 위협에 대한 분석, 대응 방안도 소개됐다.

김현주 SK쉴더스 팀장은 “스마트 공장의 취약점 진단, 분석을 매년 진행하고 있다”면서 “보안에 대한 관심부터 보안 장비 측면에서 취약점이 지속 발굴된다”고 밝혔다.

김 팀장은 “공장 보안의 투자, 오너십이 부족하고 운영기술(OT), 정보통신(IT) 인프라 측면에선 네트워크 분리, 공장 내 인터넷 사용 과정에서 취약점이 발견된다”면서 “OT장치를 도입할 때도 보안성 검토가 제대로 이뤄지지 않았다”고 지적했다.

이어 “공정 관련 중요 서버 보안 설정을 기본으로 유지하고 심지어 기본 암호를 그대로 사용하는 경우도 많다”고 덧붙였다.

송윤근 에스크립트 매니저는 “자율주행 차량뿐만 아니라 무선소프트웨어업데이트(OTA) 등 기능과 관련한 인프라, 프로세스를 대상으로 한 공격이 예상된다”면서 “데이터 유출, 업데이트 패키지 변조, 비인가 접근, 악성 코드 주입 등이 가능하다”고 분석했다.

송 매니저는 “안전한 통신 채널, 안전한 차량 내부 시스템, 안전한 백엔드 시스템 구축을 염두한 보안 대책을 수립해야 한다”면서 “최소 권한 원칙에 따른 업무·역할을 할당하고 SW, HW 개발 단계부터 사이버 보안 모범 사례를 반영해야 한다”고 조언했다.

최호기자 snoop@etnews.com