NFT 해킹·자금세탁…범죄소굴 우려[메타버스의 그늘, 다크버스②]

등록 2022-10-16 15:00:00 최종수정 2022-10-31 09:55:59

메타버스 시스템 악용한 '다크버스'…법 사각지대

수사기관 추적·감시·잠입 어려운 '다크버스' 시스템 범죄소굴 우려

올해 7월까지 해킹으로 탈취된 가상자산 약 2조 7236억원

메타버스 내 부동산과 NFT, 범죄자 자금 세탁 경로 우려

국내 보안업계도 메타버스 관련 침해사고 심각성 인지

"사업자 노력뿐만 아니라, 이용자도 개인·금융정보 주의해야"

[서울=뉴시스] 오동현 기자 = #1. 2012년 12월 메타버스 게임 '로블록스'에서 관리자 권한 해킹 사고가 발생했다. 게임 내 재화가 이용자들에게 뿌려지고, 아이템 가격이 임의로 조작되는 등 게임 생태계에 피해를 입혔다. 지난 2020년 5월에는 로블록스 이용자 약 1억명에 달하는 개인정보가 해커에게 유출됐다.

#2. 2019년 4월 메타(옛 페이스북)의 VR(가상현실) 디바이스 '오큘러스(Oculus)' 플랫폼에서 보안 취약점이 발견됐다. 해커는 빅스크린 앱에서 악의적인 스크립트를 삽입해 사용자가 악성코드를 다운로드하게 만들어 피해를 키웠다.

#3. 올해 2월에는 세계 최대 NFT(대체불가토큰) 마켓플레이스 '오픈씨(OpenSea)'가 해킹 사고를 당했다. 해커는 오픈씨의 회사 이메일을 사칭한 피싱으로 32명의 사용자가 NFT를 도난당했다.

이처럼 메타버스를 노리는 사이버 범죄는 기존 정보시스템 취약점을 활용한 개인정보 탈취 사례부터 메타버스와 연계된 가상자산·NFT 탈취 침해사고 등 복합적인 사회적 문제로 발전하고 있다. 특히 미국의 긴축 통화정책으로 가상자산 시장이 침체기에 놓였음에도, 해킹 공격에 인한 가상화폐 탈취 사고는 오히려 증가하는 추세다.

블록체인 데이터 분석 기업 체이널리시스가 발표한 '2023 가상자산 범죄 보고서'에 따르면 올해 7월까지 해킹을 통해 도난된 가상자산은 19억달러(약 2조 7236억원) 이상으로 전년 동기 12억달러(약 1조 7202억원) 대비 크게 증가했다. 주요 공격 대상은 디파이(DeFi, 탈중앙화 금융) 서비스다.

◆메타버스 무법지대…메타버스 내 NFT, 자금 세탁 경로 가능성

보안기업인 '트렌드마이크로' 보고서에 따르면, 메타버스 플랫폼을 악용한 '다크버스'가 메타버스 관련 사이버 범죄를 가속화할 요소로 꼽힌다. 메타버스는 수사기관의 추적·감시·잠입이 어려운데다, 메타버스 내 고액 부동산과 NFT가 범죄자의 자금 세탁 경로가 될 수 있다는 우려가 제기되고 있다.

메타버스만의 사이버 물리 특성이 위협 행위자들에게 새로운 활로를 열어줄 것이라는 게 트랜드마이크로의 설명이다. 인프라 관리자들이 운영하는 '디지털 트윈' 공간을 위협해 산업 시스템을 파괴하거나 왜곡하는 사이버 범죄 행위도 발생할 것으로 예상된다.

빌 말릭(Bill Malik) 트렌드마이크로 인프라 전략 부문 부사장은 "메타버스는 차세대 인터넷 시대를 정의하는 수십억 달러의 가치를 지닌 첨단 기술이다. 따라서 향후 메타버스의 개발 방향을 막론하고 위협 행위자의 악용에 대해 대비해야 한다"며 "높은 비용과 관할권 문제를 고려할 때, 수사기관은 메타버스의 전반적 감시를 위해 고군분투하는 몇 년을 보낼 것"이라고 말했다. 이어 "보안 커뮤니티가 지금 개입하지 않는다면 디지털 시대의 문턱에서 새로운 무법지대가 도래할 위험을 감수해야 한다"고 강조했다.

◆메타버스, 대규모 침해사고 우려…"이용자도 개인·금융정보 주의해야"

국내 주요 보안 전문가들 역시 기존 ICT(정보통신기술) 보안위협과 더불어 개인정보 유출, 이용기기 보안위협, 메타버스 기반 피싱, NFT 해킹 등 다양한 위협에 대한 우려의 시선을 보내고 있다.

백종현 KISA 융합보안정책팀장은 "생체정보, 몸짓, 시선 등 기존과 다른 정보의 수집 및 활용과 광범위한 개인정보 수집에 따른 해킹 공격 가능성이 증가하고 있다"면서 "명확하지 않은 개인정보 공유 및 활용, 개인 신상정보 활용에 따른 프라이버시 침해 가능성 등이 있다"고 밝혔다.

또 메타버스 서비스에 대해선 "데이터 위변조를 통해 현실세계의 자본에 직접적인 피해를 입히거나, 낮은 보안 수준으로 인한 관리자 권한 탈취, 개인정보 유출뿐만 아니라, 기존 IT(웹·제로데이) 취약점에 취약하다는 우려가 있다"고 설명했다.

VR·AR 이용기기에 대해서도 "악성코드의 진입점이 돼 개인정보 유출이 가능하고, 이용기기의 입력값 및 출력값에 대한 보안기능 구현이 미흡하다"면서 이용기기의 낮은 인증 시스템을 지적했다.

뿐만 아니라 "메타버스 서비스를 사칭한 피싱 공격 증가, NFT 기술 활용 증가에 따른 사기 범죄, 아바타·계정정보 등을 도용·모방해 상대방을 속이는 행위 등이 우려된다"며 "사업자 측면에서의 보안위협 완화를 위한 노력도 필요하지만, 서비스 이용자들도 자신의 개인정보 및 금융정보 보호 등을 위한 주의가 필요하다"고 조언했다.

이에 한국인터넷진흥원은 서비스를 제공하는 사업자와 이용자 측면에서 안전한 이용환경 마련을 위한 10가지 보안 수칙을 제시했다.

사업자 측면에서는 ▲개인정보 및 프라이버시 보호를 위한 체계 마련 ▲디지털자산 보호 및 악용 방지를 위한 인증 강화 ▲메타버스 서비스 플랫폼 보호 방안 마련 및 운영 ▲메타버스 이용기기 악용 방지를 위한 보안 기능 구현 ▲IT 인프라 정보보호 방안 마련 및 준수를 제시했다.

이용자 측면에서는 ▲메타버스 이용 간 개인정보 및 개인정보 및 개인식별정보 유출 주의 ▲디지털자산의 생성·이용 간 침해사고 방지를 위한 주의 ▲VR·AR 이용기기 정보보호 원칙 준수 ▲현실세계와 동일한 수준의 디지털윤리 원칙 준수 ▲클린한 메타버스 가상 생태계 조성을 위한 노력을 당부했다.

◎공감언론 뉴시스 [email protected]

맨위로

관련기사

[메타버스의 그늘, 다크버스①]아바타로 성희롱·스토킹…처벌할 수 있나

이메일 보내기

이메일 보내기
* 받는 사람
메세지

이메일 보내기
* 보내는 사람
보내는 내용	NFT 해킹·자금세탁…범죄소굴 우려[메타버스의 그늘, 다크버스②] [서울=뉴시스] 오동현 기자 = #1. 2012년 12월 메타버스 게임 '로블록스'에서 관리자 권한 해킹 사고가 발생했다. 게임 내 재화가 이용자들에게 뿌려지고, 아이템 가격이 임의로 조작되는 등 게임 생태계에 피해를 입혔다. 지난 2020년 5월에는 로블록스 이용자 약 1억명에 달하는 개인정보가 해커에게 유출됐다. #2. 2019년 4월 메타(옛 페이스북)의 VR(가상현실) 디바이스 '오큘러스(Oculus)' 플랫폼에서 보안 취약점이 발견됐다. 해커는 빅스크린 앱에서 악의적인 스크립트를 삽입해 사용자가 악성코드를 다운로드하게 만들어 피해를 키웠다. #3. 올해 2월에는 세계 최대 NFT(대체불가토큰) 마켓플레이스 '오픈씨(OpenSea)'가 해킹 사고를 당했다. 해커는 오픈씨의 회사 이메일을 사칭한 피싱으로 32명의 사용자가 NFT를 도난당했다. 이처럼 메타버스를 노리는 사이버 범죄는 기존 정보시스템 취약점을 활용한 개인정보 탈취 사례부터 메타버스와 연계된 가상자산·NFT 탈취 침해사고 등 복합적인 사회적 문제로 발전하고 있다. 특히 미국의 긴축 통화정책으로 가상자산 시장이 침체기에 놓였음에도, 해킹 공격에 인한 가상화폐 탈취 사고는 오히려 증가하는 추세다. 블록체인 데이터 분석 기업 체이널리시스가 발표한 '2023 가상자산 범죄 보고서'에 따르면 올해 7월까지 해킹을 통해 도난된 가상자산은 19억달러(약 2조 7236억원) 이상으로 전년 동기 12억달러(약 1조 7202억원) 대비 크게 증가했다. 주요 공격 대상은 디파이(DeFi, 탈중앙화 금융) 서비스다. ◆메타버스 무법지대…메타버스 내 NFT, 자금 세탁 경로 가능성 보안기업인 '트렌드마이크로' 보고서에 따르면, 메타버스 플랫폼을 악용한 '다크버스'가 메타버스 관련 사이버 범죄를 가속화할 요소로 꼽힌다. 메타버스는 수사기관의 추적·감시·잠입이 어려운데다, 메타버스 내 고액 부동산과 NFT가 범죄자의 자금 세탁 경로가 될 수 있다는 우려가 제기되고 있다. 메타버스만의 사이버 물리 특성이 위협 행위자들에게 새로운 활로를 열어줄 것이라는 게 트랜드마이크로의 설명이다. 인프라 관리자들이 운영하는 '디지털 트윈' 공간을 위협해 산업 시스템을 파괴하거나 왜곡하는 사이버 범죄 행위도 발생할 것으로 예상된다. 빌 말릭(Bill Malik) 트렌드마이크로 인프라 전략 부문 부사장은 "메타버스는 차세대 인터넷 시대를 정의하는 수십억 달러의 가치를 지닌 첨단 기술이다. 따라서 향후 메타버스의 개발 방향을 막론하고 위협 행위자의 악용에 대해 대비해야 한다"며 "높은 비용과 관할권 문제를 고려할 때, 수사기관은 메타버스의 전반적 감시를 위해 고군분투하는 몇 년을 보낼 것"이라고 말했다. 이어 "보안 커뮤니티가 지금 개입하지 않는다면 디지털 시대의 문턱에서 새로운 무법지대가 도래할 위험을 감수해야 한다"고 강조했다. ◆메타버스, 대규모 침해사고 우려…"이용자도 개인·금융정보 주의해야" 국내 주요 보안 전문가들 역시 기존 ICT(정보통신기술) 보안위협과 더불어 개인정보 유출, 이용기기 보안위협, 메타버스 기반 피싱, NFT 해킹 등 다양한 위협에 대한 우려의 시선을 보내고 있다. 백종현 KISA 융합보안정책팀장은 "생체정보, 몸짓, 시선 등 기존과 다른 정보의 수집 및 활용과 광범위한 개인정보 수집에 따른 해킹 공격 가능성이 증가하고 있다"면서 "명확하지 않은 개인정보 공유 및 활용, 개인 신상정보 활용에 따른 프라이버시 침해 가능성 등이 있다"고 밝혔다. 또 메타버스 서비스에 대해선 "데이터 위변조를 통해 현실세계의 자본에 직접적인 피해를 입히거나, 낮은 보안 수준으로 인한 관리자 권한 탈취, 개인정보 유출뿐만 아니라, 기존 IT(웹·제로데이) 취약점에 취약하다는 우려가 있다"고 설명했다. VR·AR 이용기기에 대해서도 "악성코드의 진입점이 돼 개인정보 유출이 가능하고, 이용기기의 입력값 및 출력값에 대한 보안기능 구현이 미흡하다"면서 이용기기의 낮은 인증 시스템을 지적했다. 뿐만 아니라 "메타버스 서비스를 사칭한 피싱 공격 증가, NFT 기술 활용 증가에 따른 사기 범죄, 아바타·계정정보 등을 도용·모방해 상대방을 속이는 행위 등이 우려된다"며 "사업자 측면에서의 보안위협 완화를 위한 노력도 필요하지만, 서비스 이용자들도 자신의 개인정보 및 금융정보 보호 등을 위한 주의가 필요하다"고 조언했다. 이에 한국인터넷진흥원은 서비스를 제공하는 사업자와 이용자 측면에서 안전한 이용환경 마련을 위한 10가지 보안 수칙을 제시했다. 사업자 측면에서는 ▲개인정보 및 프라이버시 보호를 위한 체계 마련 ▲디지털자산 보호 및 악용 방지를 위한 인증 강화 ▲메타버스 서비스 플랫폼 보호 방안 마련 및 운영 ▲메타버스 이용기기 악용 방지를 위한 보안 기능 구현 ▲IT 인프라 정보보호 방안 마련 및 준수를 제시했다. 이용자 측면에서는 ▲메타버스 이용 간 개인정보 및 개인정보 및 개인식별정보 유출 주의 ▲디지털자산의 생성·이용 간 침해사고 방지를 위한 주의 ▲VR·AR 이용기기 정보보호 원칙 준수 ▲현실세계와 동일한 수준의 디지털윤리 원칙 준수 ▲클린한 메타버스 가상 생태계 조성을 위한 노력을 당부했다. ◎공감언론 뉴시스 [email protected] https://weekly.newsis.com