보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

AR·VR 등 실감콘텐츠의 6가지 보안위협 범주, 어떻게 대응해야 하나

  |  입력 : 2021-02-07 15:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘실감콘텐츠 보안모델’ 중심으로 보안위협과 보안대책 살펴보니
MS의 STRIDE 위협모델링 기법 활용해 보안위협 6가지 범주로 구분
실감콘텐츠, 제작·송출·이용 환경별로 보안기술 및 대책 별도로 적용해야


[보안뉴스 권 준 기자] 최근 증강현실(AR:Augmented Reality), 가상현실(VR:Virtual Reality) 기술을 활용한 다양한 콘텐츠들이 제작·활용되고 있다. 게임을 비롯해 산업안전, 교육, 의료, 군사, 건축 등 다양한 분야에서 AR, VR 기술이 도입되고 있다.

이렇듯 다양한 센서를 이용해서 사람의 제스처, 모션, 음성 등 사람의 행위를 인식하고 분석하는 기술을 활용하여 가상의 디지털 콘텐츠를 실제의 물체처럼 조작할 수 있게 만든 AR, VR 등의 디지털 콘텐츠를 실감콘텐츠라고 한다.

[이미지=utoimage]


실감콘텐츠는 전 세계적으로 많은 정보통신기술 기업들이 차세대 컴퓨팅 플랫폼 후보로 주목하고 있으며, 통신사, 방송사, 디바이스 제조사 등 다양한 기업들도 AR·VR 시장에 뛰어들면서 관련 산업이 급격히 성장하고 있다. 이러한 실감콘텐츠 산업의 꾸준한 성장과 기술의 지속적인 발전에 따라 새롭고 다양한 보안위협이 발생하고 있다. 하지만 현재 국내에는 실감콘텐츠 서비스 환경의 보안 수준을 파악하기 위한 기준과 이에 관련된 연구가 미흡한 실정이다.

이에 과기정통부는 실감콘텐츠를 5G+ 5대 핵심서비스 분야로 선정해 보안모델을 구현하고, 보안리빙랩을 구축하는 등 융합보안 체계 마련에 적극 나서고 있다. 이러한 가운데 한국인터넷진흥원(KISA)에서는 실감콘텐츠의 보안위협을 파악하고 개선방향을 제시해 줄 수 있는 ‘실감콘텐츠 보안모델’을 발표했다. 안전한 실감콘텐츠 서비스 환경을 위해 실감콘텐츠 개발사, 플랫폼 제공사가 보안취약점과 보안위협의 심각성을 인지하고 사용자를 위한 보안대책을 마련할 수 있도록 하기 위해서라는 게 KISA 측의 설명이다. 여기서는 KISA가 발표한 실감콘텐츠 보안모델을 중심으로 실감콘텐츠 환경에서 발생할 수 있는 보안위협과 보안대책을 중심으로 살펴본다.

실감콘텐츠 서비스 환경에서의 6가지 보안위협 범주
실감콘텐츠 서비스는 교육부터 의료, 국방, 제조 등 다양한 산업과 융합되어 개인의 삶의 질을 높이거나 산업현장의 능률을 증대하고, 교육 및 훈련 효과를 극대화하는 등에 활용되고 있다. 만약 실감콘텐츠 서비스 구성요소에서 보안 침해사고가 발생할 경우 보안위협이 실감콘텐츠 서비스 전반의 위협으로 확대될 수 있을 뿐만 아니라 개인정보 유출, 경제적 손실 등 다양한 피해가 야기될 수 있다.

실감콘텐츠는 콘텐츠 제작 시스템에서 개발되어 MEC(모바일엣지컴퓨팅) 플랫폼과 콘텐츠 플랫폼(OTT)와 같은 송출 시스템에 배포되며, 배포된 실감콘텐츠는 5G와 TCP/IP 등의 네트워크로 연결된 이용기기에 전달된다. 이렇게 ‘제작·송출·이용 환경’이 네트워크로 연결됨에 따라 실감콘텐츠 서비스의 구성요소 중 하나라도 보안위협에 노출될 경우 서비스 전체적인 위협으로 확대될 수 있다.

이에 따라 실감콘텐츠 서비스에서 발생 가능한 보안위협을 파악하고 이에 대한 공격 방식을 파악하는 것이 필요하다. 이를 위해 실감콘텐츠 보안모델에서는 마이크로소프트(Microsoft)의 STRIDE 위협모델링 기법을 활용하여 실감콘텐츠 서비스 구성요소별 보안위협을 체계적으로 식별했다. STRIDE는 아래와 같이 보안의 6가지 속성에 대비되는 6가지의 보안 위협 범주(Spoofing Identity, Tampering with data, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege)의 첫 글자를 모은 것이다.

▲MS 위협 모델링 도구(2017)로 구분한 실감콘텐츠 6가지 보안위협 범주[자료=KISA, 실감콘텐츠 보안모델]


제작·송출·이용 환경별 실감콘텐츠 보안기술 및 솔루션 도입방안은?
실감콘텐츠 제작 환경의 구성요소는 크게 ‘제작 시스템’과 ‘콘텐츠’로 구분되는데, 콘텐츠 제작용 서버, 콘텐츠 제작용 PC, 콘텐츠 제작 도구, 콘텐츠 소스코드, 영상 등 콘텐츠 그 자체가 보호대상이다.

먼저 콘텐츠 제작 시스템을 보호하기 위해 운영 환경과 별개로 방화벽, UTM 등의 장비로 개발 환경 네트워크를 분리 구성하고, 네트워크 접근통제 솔루션(NAC)를 이용해 제작 환경에 대한 권한 없는 접근을 제한할 수 있다. 콘텐츠 소스코드 보호를 위해서는 개발자가 사용하는 콘텐츠 제작용 PC에 바이러스 백신 프로그램을 도입하여 랜섬웨어와 같은 악성 프로그램으로부터 소스코드를 보호할 수 있다.

또한, ‘콘텐츠’ 자체를 보호하기 위해서는 콘텐츠 DRM, 콘텐츠 워터마크 솔루션 등 콘텐츠 무단 사용 및 무단 재배포 방지를 위한 솔루션을 적용할 필요가 있다. 콘텐츠 소스코드에 대한 보안 솔루션은 소프트웨어 보안약점 분석도구가 있다. 제작 단계에서부터 소스코드에 시큐어코딩을 적용하여 보안취약점을 제거하는 것이 배포 이후 보안취약점을 식별하고 제거하는 것 보다 시간과 비용이 적게 든다.

실감콘텐츠 송출 환경의 구성요소는 ‘송출 시스템(MEC 플랫폼, 콘텐츠 시스템)’과 ‘콘텐츠 플랫폼(OTT)’으로 나뉘고, 보호대상은 MEC 플랫폼의 클라우드 자산과 클라우드 관리 콘솔, 콘텐츠 송출 서버, 콘텐츠 애플리케이션 서버, 콘텐츠 API 서버, 콘텐츠 제공 애플리케이션 등이 있다.

송출 시스템 중 ‘MEC 플랫폼’은 이동통신사 자산인 5G Edge에 클라우드 벤더가 가상화 환경을 제공하는 것으로 정보보안 책임은 이동통신사와 클라우드 벤더, 실감콘텐츠 서비스 제공사가 공동으로 갖게 된다. 실감콘텐츠 보안모델에서는 실감콘텐츠 서비스 제공사가 안전한 클라우드 환경을 위해 적용할 수 있는 보안기술로 VPC를 이용한 가상 네트워크 환경 구성과 NAT Gateway, Secure OS 적용을 설명하고 있다.

이와 함께 ‘콘텐츠 시스템’의 보호대상은 콘텐츠 애플리케이션 서버, 콘텐츠 API 서버 등으로 일반 IT 시스템과 마찬가지로 다양한 보안기술과 솔루션을 적용할 수 있다. 그 중 특징적인 것으로는 콘텐츠 API 서버에 대한 API Gateway 도입으로 API 접근 포인트를 단일화하는 방법과 정기적인 취약점 점검 및 보안조치를 위해 취약점 점검 솔루션을 도입할 수 있으며 시스템에 대한 DID 솔루션도 고려할 수 있다.

또한, ‘콘텐츠 플랫폼(OTT)’은 다양한 실감콘텐츠 서비스 제공사로부터 콘텐츠를 받아 이용자들에게 제공하는 플랫폼으로, 애플리케이션을 통해 서비스를 제공하므로 콘텐츠 제공 애플리케이션과 콘텐츠 애플리케이션 서버, API 서버 등이 보호대상이 된다. 이용자는 콘텐츠 제공 애플리케이션을 통해 이용자 인증, 유료 콘텐츠 결제 등의 서비스를 제공받으므로 FIDO 기반 생체인증 기술, 애플리케이션 위·변조 방지 솔루션, 애플리케이션에 대한 시큐어코딩 적용으로 콘텐츠 제공 애플리케이션의 고객 인증정보 또는 결제 정보 유출을 예방할 수 있다.

마지막으로 이용 환경을 위한 보안기술 및 솔루션에는 ‘이용기기’에 대한 보안대책이 핵심이다. 이용 환경의 구성요소는 이용기기로 HMD, AR 글라스, 스마트폰, 홀로그램 디바이스 등의 콘텐츠를 플레이 할 수 있는 자산이 보호대상이 되며, 실질적 보안 적용 주체는 이용기기 제조사이다. 이용기기 제조사가 이용기기 펌웨어 추출 또는 불법 복제를 방지하기 위해서는 디바이스 역공학 방지 기술, 디바이스 템퍼링 방지 기술 등을 적용할 수 있다. 또한, 안전한 펌웨어 및 소프트웨어 업데이트를 제공하기 위해 펌웨어 파일을 암호화하고 업데이트 서버에 대한 적절한 보안 설정을 적용할 필요가 있다는 설명이다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북