[RSAC 2023] 다크웹의 메타버스 버전인 ‘다크버스’, 언젠가 큰 위협이 된다

메타버스는 실패한 기술일까? 아직 아무도 모른다. 하지만 다크웹에서는 ‘다크버스’에 대한 이야기가 나오고 있다고 한다. 어쩌면 더 위험한 사이버 공간의 ‘할렘가’가 될지도 모르는 다크버스에 대한 얘기가 RSA에서도 나왔다.

[보안뉴스 문가용 기자] 지금은 회의론자들의 조롱이 부쩍 많아진 느낌이지만, 그럼에도 메타버스라는 기술은 조금씩 발전하는 중이다. 그러면서 각종 사이버 위협이 메타버스라는 가상의 공간으로 옮겨갔을 때 어떤 일이 발생할 것인지에 대한 이야기가 나오고 있다. 이번 주 미국에서 열리고 있는 보안 행사인 RSA에서도 메타버스가 다뤄졌다.

▲RSAC 2023의 전시장 모습[사진=보안뉴스]

메타버스와 관련되어 생각할 수 있는 가장 큰 위협은 다크웹이 메타버스 형태로 나타나는 것이다. 이른 바 ‘다크버스(darkverse)’의 출현을 말한다. 여기서 활동하는 범죄자들은 체포되거나 처벌 받을 위험에서부터 훨씬 자유로워지며, 할 수 있는 공격의 가짓수와 수위는 지금과 비교할 수 없을 정도로 증가할 것이라고 전문가들은 예상하고 있다. 이 문제에 대하여 보안 업체 트렌드마이크로(Trend Micro)가 발표했다.

사실 ‘메타버스’는 특정 기술이나 솔루션을 정확히 지칭하는 용어가 아니다. 사용자들이 가상의 페르소나(혹은 아바타)를 통해 만나고 거래하고 어울릴 수 있는 가상의 공간을 대략적으로 ‘메타버스’라고 부르는 게 현재의 상황이다. 수백만 사용자들이 접속하여 어울리는 MMORPG 게임이 어쩌면 지금 상황에서는 가장 메타버스에 가까운 형태일 수도 있다. 물리 공간을 흉내 낸 곳에서, 물리 공간에서 하듯 여러 가지 활동을 할 수 있도록 만드는 것이 메타버스라는 것이다.

사이버 범죄자들의 메타버스라는 것도 본질적으로는 이것과 다르지 않다. 다크웹이 ‘딥웹’이라는, 검색되지 않는 사이버 공간에 은밀히 존재하듯 사이버 범죄자들의 메타버스 역시 ‘딥버스(deepverse)’라는 은밀한 가상 공간에 존재하게 될 것이다. 따라서 사법 기관들로서는 다크버스에서 진행되는 온갖 사이버 범죄를 추적하기는 힘들 것이라고 트렌드마이크로 측은 설명했다. “그렇기 때문에 다크버스에서는 온갖 사이버 범죄 행위와 극단주의자들의 테러, 아동 성적 착취물 등이 논의되고 거래될 것입니다.”

트렌드마이크로의 수석 위협 분석가인 누만 후크(Numaan Huq)와 필립 린(Philippe Lin)은 이미 작년 메타버스의 발전이 보안과 프라이버시에 어떠한 위협을 가할 수 있는지를 연구해 발표한 적이 있다. 해당 보고서에는 “이미 존재하는 위협들이 더 큰 위협으로 만들 수 있는 힘이 이 ‘다크버스’에 있다”고 적혀 있는데, 그 사례는 “소셜 엔지니어링, 금융 사기, 사생활 침해, NFT 사기 등”이었다.

침투가 사실상 불가능한 곳, 다크버스
물론 ‘다크버스’라는 위협이 실제로 모습을 드러내기까지 남은 시간이 꽤 있다고 후크와 린은 시인한다. “양지에서의 메타버스도 아직 미완성인데, 다크버스가 곧바로 나타나 우리의 목에 칼을 겨누지는 않을 겁니다. 하지만 이미 다크웹과 텔레그램 등 사이버 범죄자들이 모인 곳에서는 ‘메타버스를 가지고 어떻게 돈을 벌 것인가’가 활발히 논의되고 있습니다. 이건 이미 실제로 존재하는 일입니다. 다크웹의 범죄자들이 논하는 일 대부분은 언젠가 실현이 된다는 걸 우리는 알고 있지요.”

트렌드마이크로는 메타버스를 다음과 같이 정의하고 있다. “클라우드를 기반으로 한 멀티벤더(다양한 제조사와 개발사의 제품이 공존하는), 인터랙티브(상호 간의 활발한 작용이 가능한)한 운영 환경으로 마치 사용자의 사방을 둘러싼 듯한 느낌을 준다. 사용자들은 다양한 커넥티드 장비들을 사용해 이 환경에 접속한다.”

메타버스는 웹2.0과 웹3.0이라고 불리는 기술들을 활용하게 될 것이며, 현존하는 인터넷 인프라에 ‘인터랙티브 특성’이 특히 강조된 막을 한 겹 덧씌우게 될 것이라고 후크와 린은 설명한다. “결국 우리의 실제 환경이 확장된 형태의 가상 공간이 될 것이라고 봅니다. 누구나 필요한 장비를 사용해, 마치 방문을 열고 들어와 나가듯, 자유롭게 접속했다가 연결을 끊는 열린 공간이 될 것입니다.”

메타버스가 실제로 그런 방향으로 발전한다면 정말로 우리가 누리는 사이버 공간의 한 구석에 아무도 모르는 다크버스가 충분히 존재할 수 있다. 어느 도시에나 은밀한 슬럼가가 존재하는 것처럼 말이다. “이런 공간에는 장점도 충분히 존재합니다. 표현의 자유가 극에 달할 것이고, 그러므로 검열이나 감시를 두려워하지 않고 소통을 할 수 있게 될 것입니다. 지금 다크웹도 그러한 기능을 담당하고 있지요. 다만 그런 공간에는 반드시라고 해도 될 만큼 범죄자들이 서식하기 시작하기도 합니다.”

그렇다면 이름만 바뀌었지 우리가 늘 알고 있었던 그런 ‘뒷골목’에 불과한 것 아닐까? 지금도 범죄자들의 소굴이 있고, 다크웹이 있는 것처럼, 기술력만 바뀌어 다크버스가 존재하게 될 거라는 게 그리 큰 문제가 될까? 후크와 린은 “사법 기관과 경찰 요원들이 침투하기가 매우 어려워질 것이기 때문”이라고 답한다.

“메타버스가 열린 공간이라고 해서 다크버스까지 열린 공간이 되지는 않을 겁니다. 그런 공간을 만들어 관리하는 범죄자들은 출입자들에게 인증을 요구할 것이고, 이 인증 방법을 경찰이 취득하기란 불가능에 가까울 거라고 봅니다. 인증에 성공하려면 특정 시간대에 특정 장소에서 물리적으로 가서 접속할 것을 요구할 것이기 때문입니다. 인터넷에서는 각종 URL을 차단해도 싱크홀 기법을 이용한다는지 해서 우회할 수 있지만 메타버스에서는 그게 어려워질 겁니다.”

새로운 기술은 언제나 새로운 위협을 불러들인다
트렌드마이크로의 두 전문가는 이번 RSA 컨퍼런스에서 ‘다크버스’라는 개념을 설명하는 이유가 ‘메타버스라는 기술은 위험하다’고 경고하기 위해서가 아님을 강조한다. 오히려 “모든 신기술에는 대가가 따른다는 걸 짚고 싶었다”고 후크와 린은 말한다. “그렇다는 건 우리를 위협하는 게 단지 ‘다크버스’만이 아닐 거라는 뜻이 됩니다. 우리가 지금은 상상하지 못하는 또 다른 메타버스 기반 위협들이 등장하기도 할 겁니다. 그러니 메타버스에 관심을 가지고 있는 기업이라면 메타버스의 각종 유즈케이스를 집중해서 지켜봐야 합니다.”

예를 들어 한 사회 기반 시설 관리자가 메타버스 기술을 사용해 자신이 관리하고 있던 OT나 ICS의 디지털 트윈을 구현한다면 어떤 일이 벌어질까? “물론 해당 엔지니어는 쉽고 효율적으로 일을 할 수 있게 될 겁니다. 애리조나에서도 뉴욕에 있는 시설을 굉장히 실제처럼 관리할 수 있게 될 테니까요. 도소매 업자도 디지털 스토어를 메타버스에서 운영함으로써 진짜 현장에서 고객들을 만나는 것처럼 만날 수 있게 될 겁니다. 실제 어디에 있던지 말이죠.”

하지만 그런 편리함과 유용함은 OT 관리자나 스토어 운영자에게만 주어지는 게 아니다. 공격자 역시 보다 편리하고 효과적으로 그런 환경에 접속할 수 있게 되고(접속의 방법만 찾는다면), 한 번 접속에 성공할 경우 훨씬 더 많은 악성 행위를 저지를 수 있게 된다. “키보드 두드려서 정보를 찾는 것보다 메타버스 혹은 디지털 트윈 공간에서 진짜로 돌아다니듯이 정보를 찾아내면 얼마나 더 많은 정보를 효율적으로 빼낼 수 있겠습니까? 우리에게 좋은 건, 그들에게도 좋습니다. 항상 그래왔고, 앞으로도 그럴 겁니다.”

그래서 필요한 게 보안의 ‘신기술 감독’ 역할이라고 둘은 강조한다. “새로운 기술이 위험성을 내포했다고 해서 우리가 그 기술을 금지시킬 수는 없습니다. 안전하게 사용할 수 있는 방안을 마련해 줘야 하죠. 그것이 신기술을 대하는 보안의 태도여야 합니다. 메타버스라는 신기술이 등장했다면, ‘그거 한 때 지나가는 유행’이라고 주장하며 쳐다도 보지 않는 건, 설사 정말 메타버스가 신기루처럼 사라진다고 하더라도 보안 전문가다운 거라고 할 수 없습니다.”

후크는 “시간이 좀 더 걸릴 순 있어도 메타버스라는 것이 결국에는 실현될 것”이라고 강력하게 주장하기도 했다. “지금은 장비도 좀 부실하고 기술도 불완전해서 메타버스라는 것에 접속해 얻을 수 있는 게 그리 많지 않은 게 사실입니다. 그러니 아무도 사용하지 않는 기술로 남아 있지요. 하지만 그런 기반 기술들이 어느 정도 수준에 오르기 시작하고, 가상현실 공간에 접속하는 게 실제 물리 공간을 활보하는 것과 비슷한 정도로 편해진다면 메타버스는 빠르게 우리 삶으로 들어올 겁니다.”

3줄 요약
1. 메타버스, 지금은 구현되기에 너무나 먼 기술인 게 맞음.
2. 하지만 이미 다크웹에서는 다크웹의 메타버스 버전인 ‘다크버스’ 이야기가 나오고 있음.
3. 그들은 미리 준비하고 있는데, 보안은 메타버스로 인한 위협에 대비하고 있는가?
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)