Dark background with blue code overlay
블로그

메타버스의 유행을 앞둔 지금 바로 확인해야 할 보안 트렌드

Jonathan Singer

Written by

Jonathan Singer

December 28, 2021

metaverse.png

메타버스가 새롭게 유행하고 있습니다. 주요 언론의 기사에도 메타버스가 등장하고 있습니다. 메타버스란 정확히 무엇일까요? 그리고 CSO는 왜 메타버스에 관심을 가져야 할까요?

메타버스는 본질적으로 인터넷의 새로운 버전입니다. 주류 언론은 메타버스의 모습이 정해진 게 아무것도 없다고 말하지만, 그것은 일부 사실일 뿐입니다. 왜냐하면 수많은 사람들이 지금 이 순간에도 메타버스를 구축하고 있기 때문입니다. 그리고 메타버스가 제 기능을 하기 위해 어떤 모습이어야 하는지에 대해 상당히 견고한 비전을 가진 사람들도 많습니다.

Alter Ego라는 쇼를 떠올려 보세요.Alter Ego(‘The Voice’)는 외모가 자신의 노래에 방해가 된다고 느끼는 사람들이 아바타 ’뒤에서’ 노래하도록 하는 경쟁 프로그램입니다. 멋진 프로그램입니다. 이 프로그램을 보면 메타버스가 무엇인지 어렴풋이 알 수 있습니다. Wired의 케빈 켈리(Kevin Kelly)는 2019년에 메타버스에 대한 기사에서 ‘메타버스가 완성되면 우리의 물리적 현실은 디지털 우주와 합쳐질 것이다.’라고 썼습니다.

벤처 투자가인 매튜 볼(Matthew Ball)은 (벤처 투자 외에도 많은 역할을 하지만) 광범위한 메타버스 입문서와 기본서를 썼습니다. 여기에 그의 글을 인용하겠습니다.

“메타버스는 ID, 개체, 이력, 결제, 자격의 지속성을 지원하는 지속적이고 실시간 렌더링된 3D 세계와 시뮬레이션으로 구성된 광범위한 네트워크이며, 각각 개별 존재감을 가진 사실상 무제한적인 수의 사용자에 의해 동기적으로 체험될 수 있다.”

저는 메타버스가 CSO 및 그 팀에 부여할 수 있는 몇 가지 과제를 정리하기 위해 이 정의를 세분했습니다. 

정의

과제

‘메타버스는 광범위한 네트워크이다’

인증, 접속 정책, 멀웨어, 암호화 및 보안 트래픽, DNS 보안, 웹 앱 공격

’지속적이다’

업타임, DDoS 공격, 방문자 급증

‘실시간’

보안과 성능 사이의 균형, API 보안, 스트리밍 보안, 미디어 불법 복제 방지

‘렌더링된 3D 세계와 시뮬레이션’

사기, 물리적/접속 보안, 하드웨어/IoT 보안, 콘텐츠 무결성

‘ID의 지속성을 지원하는’

보안 등록, 인증정보 프로비저닝, 인증

‘개체’

암호화, PII, 사기 방지, 지적 재산권

‘이력’ 

PII, 암호화

‘결제’ 

PII, 암호화, 사기 방지, PCI 준수, 토큰화, 결제 리스크

‘자격’

암호화, PII, 사기 방지, 지적 재산권, 결제 보안

‘각각 개별 존재감을 가진 사실상 무제한적인 수의 사용자에 의해동기적으로 체험될 수 있다’

방문자 급증, MFA, 보안 유연성

(Matthew에 사과드립니다.)

정의를 이렇게 나누어 과제를 적어 본 건 반쯤은 농담입니다. 하지만 요점은 메타버스의 등장으로 위협 환경이 크게 확대될 것이라는 점입니다. 메타버스가 보안 리더십을 위한 창의적 과제 그 이상이라고 상상해 보세요. 곧 여러분의 미래가 될 것입니다. 이상적으로는 지금 계획을 세우기 시작해야 합니다.

메타버스에 대한 인사이트를 제공하는 게임 보안

메타버스, 그리고 그 때와 지금 사이의 모든 것에 대비하기 위해, 우리는 업종에 상관없이 모든 CSO에게 게임 업계의 청중 및 보안 문제에 익숙해질 것을 권장합니다.

게임은 이미 메타버스의 기반 기술의 상당 부분을 제공하고 그것에 영향을 미치고 있습니다. 기술 외에도 비즈니스 모델도 산업 전반에 걸쳐 적용 및 활용되고 있습니다. 비디오, 음악, 스포츠, 피트니스, 의료, 산업용 훈련 업계는 이미 게임에서 차용하고 있기 때문에 메타버스 속에 무엇이 올 것인지 나타내주는 유용한 축도가 됩니다.

게임 업계는 다음과 같은 네 가지 주요 보안 문제를 우려합니다.

1. 계정 탈취

2. 지적 재산권 도난(데이터 유출)

3. 치팅(Cheating)

4. 업타임 위협(DDoS 등)

계정 탈취는 현재와 메타버스 사이에 지켜보아야 하는 보안 트렌드에 대한 유용한 예시를 제공합니다. 따라서 여기에 초점을 맞춰 보겠습니다. Akamai는 게임 분야의 문제에 대한 강력한 가시성을 확보하고 있습니다. 저는 범죄자들이 게임 업계를 공격하는 방법과 이유를 다룬 저서를 집필했고,Akamai의 동료들은 게임 보안에 대한 두 가지 최신 인터넷 보안 현황 보고서( ‘공동 대응이 필요한 게임 보안’‘코로나19 시대의 게임’을 발표했습니다. 이러한 각각의 글은 공격자들의 끊임없는 노력에도 불구하고 시스템을 온라인 상태로 유지하고 실행하는 데 필요한 몇 가지 측면을 살펴봅니다. 또한 ‘공동 대응이 필요한 게임 보안’은 국제 게임 컨퍼런스 조직인 DreamHack(현 ESL Gaming)과 협력하여 Akamai가 실시한 하드코어 플레이어 설문조사 결과도 제공합니다.이 조사는 플레이어들이 게임 보안에 대해 어떻게 느끼고 있는지, 게임 계정 보안과 관련하여 개인적 책임이 어느 정도 보장된다고 생각하는지 더 잘 이해하기 위한 조사입니다. 주요 결과는 다음과 같습니다.

  • 범죄자들은 돈을 노리고 게임에 접속하며, 그 가치는 종종 PII가 아니라 계정 자체에 있습니다. 이것은 메타버스에서도 중요한 요점입니다. 10년 전, 계정의 주요 가치는 신용카드 번호와 범죄자가 은행 계좌를 이용하는 데 도움이 될 수 있는 모든 정보에 있었습니다. 이제 계정 자체는 플레이어의 시간 및 게임 내 아이템 형태로 가치가 있습니다. 게임 플레이에 시간을 보내면서 아이템을 획득한 계정은 도난 당한 계정의 구매자가 노력을 들이지 않고 높은 수준의 게임을 즐길 수 있도록 할 수 있습니다. 게임 내 상품은 타사에서 실제 현금으로 판매될 수도 있습니다. 이러한 형태의 가상 가치는 NFT를 구매하는 사람들과 함께 투자 커뮤니티에 이미 반영되고 있습니다. 세계와 여러분의 비즈니스가 메타버스 속에서 사업을 영위하는 방향으로 나아가고 있기 때문에, 계정과 접속 보안을 유지하는 것이 계속해서 최우선 과제가 될 것입니다.

  • 범죄자들은 사용자 커뮤니티가 가처분 소득을 가지고 트랜잭션을 자주 유발하는 게임 등의 산업에 집중합니다. 게임은 끊임없이 공격받고 있습니다. 지난해 웹 공격 건수는 340%, 인증 정보 공격은 224% 증가했습니다. 이러한 크리덴셜 스터핑 시도는 종종 성공합니다. 하드코어 게이머 1,253명(이들 중 81%가 매일 게임을 함)을 대상으로 한 DreamHack/ESL 설문 조사에서 52%가 1개 이상의 계정을 해킹당한 경험이 있으며, 70%는 온라인으로 판매되는 해킹된 계정을 우연히 찾아낸 적이 있는 것으로 나타났습니다. 게임 계정의 상태를 다양한 산업 및 서비스에서 미래의 메타버스 계정을 다루기 위한 지표라고 생각해 보세요.

  • 고객은 여러분의 도움을 원합니다. 또한 DreamHack/ESL 설문 조사에 따르면 응답자의 76%가 게임 회사가 계정 보안을 책임져야 한다고 생각하는 것으로 밝혀졌습니다. 하지만 그것은 객관식 질문이었습니다. 응답자 중 67%가 자신들, 즉 플레이어들도 책임이 있다고 답했습니다. 모든 기업이 메타버스에서 비즈니스를 운영하려고 하면서 계정 보안에 대한 사용자 및 직원과의 파트너십은 고객 경험 및 브랜드 관계에서 더 큰 비중을 차지할 것이며, 기업 내 보안의 역할이 확대될 것입니다. 

메타버스로 전환함에 따라 조직의 공격 대상은 크게 증가할 것입니다. 그러한 ‘다른 세계’의 운영을 유지하려면 산업 전반에 걸쳐 보안 전략을 보다 잘 조율해야 하며, 경쟁업체와 보안 공급업체는 모두 사용자의 계정 정보를 안전하게 보호하기 위해 협력해야 할 것입니다. 한편, 계정 보안 관행의 현재 상태를 깊이 있게 검토하고 사용자와 협력하고 사용자에게 교육을 제공하는 새로운 방법을 고려하는 보안 리더들은 앞으로 발생할 다른 복잡한 문제들을 관리할 수 있는 준비를 가장 잘 갖추게 될 것입니다. 

Akamai가 게임 업계를 지원하는 방법에 대해자세히 알아보시기 바랍니다.

 



Jonathan Singer

Written by

Jonathan Singer

December 28, 2021