[3주차] 뉴스 스터디 + 실습 관련 정보

https://www.kais99.org/jkais/springNfall/autumn2021/oral/2021_autumn_057.pdf

 

(1) 계정 관련 사이버 범죄 한국정보통신기술협회 정보통신용어사전에서는 ‘계 정’에 대해 “허가받은 사용자의 식별/관리 및 기밀 보호 목적의 수단으로서 시스템이나 네트워크 관리자에 의해 생 성되는 일종의 이용 권리 계좌로 사용자 식별 번호, 성명, 비 밀 번호 등 시스템에 로그온(log-on)하는 데 필요한 정보 및 그 사용자가 갖는 자원 접근 허가 및 접근 제한 사항 과 같은 정보가 포함된다.”라고 설명한다. 즉, 메타버스 속 자신의 모든 정보는 자신의 계정 정보 속에 저장되므 로 계정에 대한 보안이 대단히 중요하다. 이러한 계정 관련 사이버 범죄로 메타버스 게임인 로블 록스의 사례를 들 수 있다. 로블록스에서는 수많은 해킹 시도가 발생하였는데, 지난 4월에는 로블록스의 공식 Admin 계정이 해킹당하는 사건이 발생했다. 로블록스 본사는 이 사실을 곧바로 인지하지 못하였고, 해커가 해 당 계정을 악용하여 다른 계정들에 악영향을 끼치자 사 태를 파악한 뒤 해당 계정을 삭제하는 조치를 취하였다. 이 사례에서 주목해야 할 것은 해킹이 언제, 어떻게 진행 되었는지 아직 파악되지 않았다는 점이다.

 

 

(2) 주의해야 할 사이버 위협

- 입력보안

입력 보안에 있어 주의해야 할 것은 AR과 VR 체험에사용하는 HMD와 같은 사용자의 데스크톱 화면에서 중요한 정보를 캡처할 수 있다는 것이다. 또한 주민등록증또는 신용카드와 같은 민감한 정보 유출의 위험성이있다. 추가적으로 제스처 및 기타 활성 사용자 입력을주의해야 하는데, 현재 가장 널리 쓰이는 입력 인터페이스는 키보드, 컴퓨터 마우스 및 터치 인터페이스이다. 이러한입력 인터페이스는 추론 공격 또는 어깨너머공격[11]와같은 위협을 받기 쉬우며 이로 인해 스푸핑, 서비스거부또는 변조와 같은 위협이 발생할 수 있다[12].

*HMD: 머리에 착용하는 디스플레이 장치

 

- 데이터 엑세스 보안 

데이터 엑세스 보안에 있어 주의해야 할 것은 먼저 데이터 수집에 대한 위협이다. 주요 위협으로는 변조, 서비스 거부 및 무단 엑세스 위협이 있다. 적은 AR, VR의대상을 변조하여 시스템으로부터 다른 반응을 이끌어내거나 서비스를 완전히 거부할 수 있다. 다음은 데이터스토리지에 대한 위협이다. 데이터 수집 후 응용프로그램은 사용자가 제어할 권한이 거의 없는 별도의 데이터베이스에 사용자 데이터를 저장한다. 이러한 애플리케이션이 사용자가 예상하는 것 이상의 사용자 데이터를사용하는 것에 대해 개인정보 보호 우려가 제기되었다. 또한 데이터 스토리지에는 변조, 무단 액세스 및 스푸핑과같은 고유한 보안 위협이 있다[10].

 

-출력 보안

출력 보안 AR과 VR에서 애플리케이션은 렌더링된 출력물형태로 서비스와 경험을 제공한다. 출력 보안에 있어 주의해야 할 첫 번째는 출력 신뢰성과 사용자 안전에 대한위협이다. 현재의 시스템은 출력 액세스 제어가 느슨하여사용자 안전을 저해할 수 있도록 출력이 변조되거나 스푸핑 될 수 있다[10]. 또한 서비스 거부 등의 위협으로인해 신뢰성이 저하될 수 있다[12]. 마지막은 렌더링 관련 위협이다. AR, VR에서 벽이 표시 표면으로 사용되는경우 애플리케이션은 감지 프로세스 중에 벽면의각종정보를 포착할 수 있으므로 개인정보 보호가 요구된다.

 

(3) NFT
메타버스 플랫폼에서 빼놓을 수 없는 존재로 부상하 고 있는 NFT는 관심과 이용이 증가하는 만큼 사이버 보 안에서 아주 중요하다고 할 수 있다. 이러한 NFT는 두 가지 측면에서 보안에 취약하다고 할 수 있다. 첫 번째는 NFT 소유권 측면이다. NFT의 거래는 메타 데이터만이 제공되며 저작물의 물리적 이전이 아닌 링크가 제공되는 형식이므로 불안정하다. 링크는 영속성이 없기에 구매 후 저작물이 사라질 수 있고, 링크가 사라진 NFT를 구매할 수도 있다. 이를 해결하기 위해 많은 NFT가 p2p 방식으로 데이터 내용을 변환한 해시값을 이용하여 여러 컴퓨터에 분산 저장하는 IPFS (InterPlanetary File System, 분산형 파일 시스템)를 사용한다. 하지만 사용자가 IPFS 노드에 NFT 메타데이터 업로드 시 데이터를 모든 노드 간에 복제한다는 보장이 없고, 자산이 IPFS에 저장되고 이를 저장하는 유일한 노 드가 네트워크 연결이 끊긴 경우 데이터를 사용할 수 없 으며, NFT가 잘못된 파일 주소를 가리킬 수도 있다. 그 러한 경우 실제로 NFT를 소유한다는 것을 증명할 수 없 다. 한마디로, NFT 시스템의 핵심 구성 요소(스토리지) 로서 외부 시스템에 의존하는 것은 취약할 수 있다[5]. 두 번째는 익명성 및 개인정보 보호 측면이다. NFT의 익명성과 개인정보 관련하여서는 여전히 연구되지 않고 있다. NFT 거래는 엄격한 익명성이나 프라이버시가 아 닌 유사 익명성만을 제공하는 이더리움 플랫폼에 의존 한다. 실제 신원과 해당 주소 사이의 연계가 대중에게 알 려진 경우 사용자는 자신의 신분을 완벽하게 숨길 수 없 고, 노출된 주소 아래 모든 활동이 관찰될 수 있다[5].

 

*정리

- 서비스 거부 공격(DoS)

- 데이터 스토리지에 대한 변조, 무단 액세스 및 스푸핑 

-> 메타버스의 보안 위협에 대해 정리 -> 스푸핑, DoS 등 간단한 실습 -> 그로 인해 발생할 수 있는 결과 위주로 정리해보면 어떨까?? 

// 우리가 메타버스를 간단하게 만들고 그걸 기반으로 해도 가능할까? ..

---

* 추가

https://www.kisa.or.kr/20301/form?postSeq=12&page=1#fnPostAttachDownload 

KISA 한국인터넷진흥원