Ⅰ. 서론
메타버스는 초월을 의미하는 Meta와 우주를 뜻하는 Universe의 합성어로서 인터넷 공간과 물리적 공간이 공존하는 집합적 가상공존세계(virtual shared space)를 의미한다[1]. 이러한 메타버스는 COVID-19 등으로 인한 비대면 활동이 증가하면서 공연 문화계, 게임 등 다양한 분야에서 메타버스를 통해 새로운 콘텐츠 개발을 추진하고 있다.
메타버스의 활용 유형으로는 게임 기반, 소셜 기반, 생활 및 산업기반 메타버스로 나누어 볼 수 있다. 게임 기반은 로블록스, 마인크래프트, 포트나이트 등 게임을 기반으로 한 메타버스를 말하며, 소셜 기반은 제페토, 위버스, 호리즌 등 쇼핑, 소통, 모임, 게임 등이 가증한 메타버스가 있다. 생활 및 산업기반 메타버스로는 탁스의 스마트로라 인도어 사이클링, 닌텐도의 링피트 홈트레이닝, 마이크로소프트 홀로렌즈 등이 있으며, 가상융합기술이 접목된 디바이스(인터페이스)를 이용하여 운동, 교육, 시뮬레이션, 훈련 등을 목적으로 성취, 레벨, 경쟁, 보상 등 게임적 요소를 접목하여 활동에 동기를 부여한다[2].
또한, 메타버스는 구현되는 공간의 현실 중심/가상 중심 여부와 구현되는 정보의 외부 환경정보 중심/개인·개체 중심 여부에 따라 다음과 같이 4가지 유형으로 구분된다[3].
첫째, 증강현실(Augmented Reality)은 현실 공간에 2D 또는 3D로 표현되는 가상의 물체를 겹쳐 보이게 하면서 상호작용하는 환경으로, 거부감을 줄이면서 보다 높은 몰입감을 유도할 수 있는 것이 특징이다.
둘째, 라이프로깅(Lifelogging)은 사물과 사람에 대한 일상적인 경험과 정보를 캡처하고 저장하고 묘사하는 기술이다. 사용자는 일상생활에서 일어나는 모든 순간을 텍스트, 영상, 사운드 등으로 캡처하고 그 내용을 서버에 저장/정리하고, 다른 사용자들과 공유한다.
셋째, 거울세계(Mirror Worlds)는 실제 세계를 가능한 한 사실적으로, 있는 그대로 반영하되 '정보적으로 확장된' 가상세계로 구축하는 것이다. 구글 어스(Google Earth)는 세계 전역의 위성사진을 모조리 수집하여 일정 주기로 사진을 업데이트하면서, 시시각각 변화하는 현실 세계의 모습을 그대로 반영한다.
넷째, 가상세계 (Virtual Worlds)는 현실과 유사하거나 혹은 완전히 다른 대안적 세계를 디지털 데이터로 구축한다.
이런 메타버스의 4가지 유형은 독립적으로 발전해 오다가 최근 상호작용하면서 유형의 경계를 허물면서 융·복합의 형태로 새로운 형태의 서비스로 진화 중이며, 향후 상호작용이 가속화되면서 미래 메타버스를 형성할 것으로 전망된다[4].
또한, 다양한 하드웨어 기기를 활용한 메타버스 서비스가 개발되고 있으며, 네이버 자회사 스노우와 AI 기반 영상인식 개발업체 알체라의 합작사 ‘플레이스 에이’는 빠르게 움직이는 신체의 움직임까지 실시간으로 정교하게 읽어내어 가상세계에 복제해주는 기술을 네이버 Z의 가상환경인 제페토에 탑재할 예정이다[5]. 페이스북의 VR 전문 자회사 오큘러스는 시각 및 뇌 인지 차원에서 VR 글라스 너머의 세상을 연결해주는 것뿐만 아니라 손동작을 인식시켜 그대로 가상세계에 복제해주는 기능을 개발하여 자사 제품에 탑재하고 있다. 이 기능은 페이스북 Reality Labs라는 연구 프로젝트에서 시작한 기능으로 별도의 외부 센서, 특수 장갑, PC 등 없이 VR 헤드셋과 딥러닝만으로 사용자의 손을 인식하고 추적하여 3D 데이터로 만들어준다. 오큘러스는 이 기술을 게임뿐만 아니라 교육계 및 산업계에도 확장하려 노력하고 있으며, 최근에는 손가락을 사용한 웹서핑, 타이핑, 편집을 할 수 있는 ‘인피니트 오피스’를 선보였다. 또한, Reality Labs는 손들이 겹치거나 무엇인가를 만지거나 복잡하게 얽힘에도 실시간으로 추적할 수 있는 연구 결과를 논문으로 게재하였고, 이는 더욱 정교한 기술 수준에 한층 더 다가가며 빠른 미래에 별도의 컨트롤러없이 헤드 마운트(HMD)만으로 활동이 가능한 기술의 초석이 될 것으로 예상된다[5]. 아바타가 손으로 잡거나 만질 아이템에 대한 객체 인식 기술도 정확도 및 편의성 면에서 상당 수준을 보이고 있다. 애플 WWDC21의 MacOS 부분에서 소개된 객체 인식 기술은 3D 스캐너 없이도 아이폰 또는 아이패드로 간단히 객체를 한 바퀴 돌며 촬영하는 것만으로 객체에 대한 3D 정보를 획득하고 내 현실에 실시간 적용해 볼 수 있는 기술로 사용 예를 들어 설명되었으며, 내가 소유하고 있는 아이템을 그대로 3D 데이터로 변환해 아바타에도 공유해줄 수 있다[5]. 이렇게 메타버스에서 아바타, 아바타가 사용할 아이템, 아바타가 있을 공간 그 자체가 데이터로 구성되어 있으며, 이러한 데이터들에 대한 보안성이 확보되지 않으면 기존 보다 다양하고 많은 피해를 줄 수 있는 공격들이 발생할 수 있으므로 이에 대한 대처가 시급한 상황이다.
본 논문에서는 다양한 메타버스 프레임워크에서 안정적인 메타버스 서비스를 제공하기 위한 보안 모델에 관한 연구를 수행하였다. 2장에서는 메타버스 프레임워크와 메타버스 정보보호 이슈에 대한 분석을 수행하였으며, 3장에서는 메타버스 정보보호 모델을 제안하고, 제안한 모델에 대한 성능평가를 수행하였다. 마지막으로 4장에서는 본 연구의 결론으로 구성하였다.
Ⅱ. 메타버스 프레임워크와 메타버스 정보보호 이슈
2.1 메타버스 프레임워크
국내외 메타버스 플랫폼에 대해 살펴보면 다음과 같다[6]. 국내 메타버스의 대표적 플랫폼으로는 네이버Z의 제페토가 있다. 이용자는 자신만의 3차원 제페토 아바타를 생성하고, 아바타를 기반으로 다양한 가상 활동을 할 수 있다. 제페토 내에서는 기본적으로 아바타를 꾸밀 수 있는 아이템과 3차원 공간을 구성하는 오브젝트를 사전에 구현해 두어 사용자가 해당 프리셋(Preset)을 사용할 수 있도록 한다. 이에 더해서 제페토는 사용자에게 크리에이터라는 아이덴티티를 추가로 부여하는데, 3차원 오브젝트 메쉬를 형성할 수만 있다면 누구든 제페토의 크리에이터가 되어 제페토 월드를 구현할 수 있도록 플랫폼의 세계관을 구축하였다.
이와 같이 3차원 가상 공간에서 사용자의 상호작용을 구현한 해외의 대표적 메타버스 플랫폼으로 로블록스(Roblox)를 예로 들 수 있다. 2006년에 출시된 로블록스는 사용자가 게임을 직접 프로그래밍하여 이를 다른 사용자도 즐길 수 있도록 한 온라인 게임 플랫폼이다. 로블록스는 1억 6,000만 명 이상의 활성 사용자를 보유하고 있으며 미국 MZ 세대에서 선풍적인 인기를 누리고 있다.
로블록스의 성장은 코로나로 인해 더 두드러지게 되었다. 사용자가 직접 게임을 만들 수 있다는 조건은 게임 장면 내에서 모든 시나리오가 가능하다는 뜻으로 해석될 수 있는데, 비대면 수요가 증가함에 따라 로블록스 내에서 가상 회의 및 모임 등의 게임이 만들어지고 만남이 이뤄지기 시작한 것이다.
이와 같이 3차원 메쉬와 같은 디지털 오브젝트를 활용하여 메타버스를 생성하고 이용자가 메타버스 구현에 직접 참여하도록 하는데 집중한 플랫폼이 있는 반면, 현실 세계의 데이터를 반영함으로써 가상 공간에서 오프라인 활동을 대체할 수 있는 온라인 서비스를 개발하고 제공하는데 주력하는 플랫폼들도 있다. 일례로 게더타운(Gather.town)은 이용자들이 가상의 공간에서 만나 대화와 업무를 할 수 있는 온라인 플랫폼이다.
이용자들은 게더타운에서 제공하는 가상 공간 내에서 아바타를 만들어 소통할 수 있고 일정 거리 내에서 다른 이용자들이 마주한다면 본인 컴퓨터의 카메라와 마이크를 이용해 실제 본인들의 모습으로 소통할 수 있다. 단순히 가상의 차원에서 그래픽으로 구현된 메타버스와 달리 현실의 데이터(모습)를 가상 공간에 투영시켜 메타버스가 수용 가능한 차원의 도메인을 현실까지 넓힌 사례로 볼 수 있다.
메타버스의 프레임워크를 일반화하면 다음의 <그림 1>과 같다[7]. 이 플랫폼은 가상세계를 플랫폼 관점에서 주요 기능들을 구성한 것이다. <그림 1>에서 User Persona는 ID, 이름, 아바타 등의 사용자 정보에 해당하며, End User hardware and software는 VR/AR 등의 기기와 관련 소프트웨어에 해당한다. 또한, In-world asset은 가상세계에 존재하는 자산들을 의미하며, Physical(virtual)은 세계를 구성하는 공간과 그 공간을 채우는 건물이나 물건들을 의미한다. World primitive and rules는 가상세계의 특성을 설명하는 기준과 법칙 등을 의미하며, Bridges는 물리적 세계와 디지털 세계를 이어주는 역할. 즉, 외부 시스템 및 외부 환경과의 연결 방법을 의미한다.
<그림 1> 메타버스 프레임워크
2.2 메타버스 정보보호 이슈
메타버스와 같은 기술을 사용하는 데 있어 사용자들이 많이 우려하는 사항이 메타버스 사용에 필요한 장비들의 문제로 인한 제조물 책임보다는 사용자의 개인 정보와 데이터에 대한 보안이 더욱 확대되고 있다[8].
메타버스 하드웨어는 HMD(Head Mounted Display)로 불리는 VR 헤드셋과 AR 글라스 등의 시각 정보를 전달하는 디바이스 중심으로 발전하고 있다. 시각 정보를 주로 전달하기 위한 디스플레이 기술 외에도 사람의 움직임을 간단하고 정확하게 측정하고, 촉감, 역감 등의 정보를 전달하기 위한 하드웨어들도 활발히 연구, 개발되고 있다. 사람의 움직임을 측정하기 위한 센서 시스템은 카메라 기반 시스템, 착용형 기반 시스템으로 나눌 수 있으며, 메타버스에서 활발한 상호작용을 위해서는 촉감, 역감, 열감 등의 다양한 감각을 전달해줄 수 있는 시스템도 필요하기에 개인의 다양한 신체정보들이 메타버스에서 더욱 많이 활용됨에 따라 개인정보에 대한 우려가 더욱 커지고 있는 상황이다[9].
메타버스의 개인정보 이슈와 관련하여 다음의 사항들을 고려해 볼 수 있다[5].
첫 번째로, 가상현실을 지원하기 위한 기기들을 통해 기존에 수집되지 않았던 다양한 정보들이 수집되어 처리된다는 것이다. 예를 들면, 메타버스 안에서 아바타의 움직임으로 이어주는 전신인식 기술, 제스쳐 인식, 활동 인식 기술, 객체 인식 등으로 센싱 또는 웨어러블 컴퓨팅과 관련된 정보들이다. 이러한 정보들은 서비스의 다양화를 통해 더욱 확대될 예정이며, 따라서 이러한 정보들에 대해 침해가 발생할 가능성도 더욱 증가하고 있다.
두 번째는 디지털 데이터에 대한 복사가 가능하다는 것이다. 메타버스 안에서는 모든 객체가 가상화되어 존재하므로 모든 사물을 디지털 방식으로 복제하여 사용할 수 있다. 따라서 NFT와 같이 디지털 자산에 대해 소유주를 확인할 수 있는 방안도 고려되어야 한다.
세 번째로는 개인정보에 대한 통제권을 행사하는데 필요한 정보를 확인하기 어렵다는 것이다. 메타버스에서의 다양한 경험을 위해 처리되는 개인정보와 관련하여 어떤 개인정보가 어떠한 목적으로 활용되고 있는지 확인하기 어렵다는 것이다. 이에 따라 다양한 개인정보에 대해 이용자가 개인정보 자기결정권을 가지고 데이터 제공 여부에 대해서 관리할 수 있는 방안이 필요한 실정이다.
네 번째로는 아동 프라이버시에 대한 보호가 어렵다는 것이다. 따라서 메타버스에 접속할 때 개인들에 대한 속성정보를 활용하여 아동들이 연령에 맞는 서비스를 이용할 수 있도록 관리하는 방안이 요구된다.
Ⅲ. 메타버스 정보보호 모델
3.1 제안 모델
메타버스는 기존보다 더 다양한 데이터와 이용자들의 개인정보가 수집되고, 그 서비스 특성상 사용하는 전 시간 동안 모든 움직임이 기록될 수 있으므로, 2.2절에서 제시한 웨어러블 컴퓨팅 혹은 센싱정보의 무결성 및 기밀성의 제공, 디지털 데이터의 복제에 대한 대응 방안, 개인정보의 통제권에 대한 관리방안, 아동 프라이버시 보호에 대한 해결책의 제시가 요구된다.
따라서 본 연구에서는 메타버스 환경에서 속성 결합 모델과 블록체인을 이용하여 보안성을 제공할 수 있는 모델을 <그림 2>와 같이 제안하였다. 제안한 모델에서는 속성 결합 모델을 이용했는데, 속성 결함 모델은 여러 ID 속성정보들을 수집하고 처리하기 위한 모델로, SP(Service Provider), IdP(Identity Provider) 그리고 클라이언트에서 속성정보를 수집하는 모델로 나뉠 수 있다. 이 모델들은 또한 정보 수집 장소와 수집 중재자에 따라 응용 데이터베이스 모델, SP 중재 모델, 링킹 서비스 모델, 아이덴티티 연합/링킹 모델, 아이덴티티 프록싱 모델, 아이덴티티 릴레이 모델, 클라이언트 중재 모델로 나누게 된다[10].
<그림 2> 메타버스 보안 모델
<그림 2>에서 제안한 모델의 구성은 사용자의 정보, 다양한 하드웨어 기기 및 센서를 통해 수집한 정보, 가상환경에서 구축한 다양한 자산(Assets) 정보, 가상환경에서의 사용자의 행동 정보 및 상태 정보 등이 정보를 수집 및 관리하는 User Agent, 메타버스 서비스와 사용자 정보의 중계 역할을 수행하는 Identity Provider, 이용자의 개인정보를 암호화한 데이터와 해시 함수로 만든 데이터를 보관하는 블록체인 그리고 사용자의 정보를 이용하여 다양한 서비스를 제공하는 메타버스 애플리케이션으로 구성되어 있다.
User Agent는 사용자와 관련된 모든 정보를 수집하고 관리하는 역할을 수행한다. 또한, 메타버스 애플리케이션에서 필요한 정보에 대한 제공 여부를 결정할 수 있도록 개인정보 자기결정권을 지원하는 역할을 수행한다. 이외에도 사용자의 익명성을 제공하기 위해서 Virtual ID를 생성하여 Identity Provider에 등록하며, 블록체인에 이용자 관련 정보를 암호화하고 저장하도록 하여 기밀성을 제공할 수 있다. 이외에도 토큰을 발행하여, 정보의 소유자를 확인할 수 있도록 하여 NFT의 디지털 자산이 소유주 확인과 같은 기능을 제공할 수 있다.
이용자의 정보는 이용자의 개인키로 암호화되어 블록체인의 블록에 저장되며, 블록 안에 해시값을 통해서 허가받지 않은 공격자로부터의 데이터를 변조하는 공격에 대응할 수 있는 무결성을 제공할 수 있다.
Identity Provider는 User Agent로부터 user’s virtual ID 이용자의 비밀키로 암호화된 user’s virtual ID, user’s public key, block information의 정보를 받아 인증을 수행한 메타버스 애플리케이션에 user agent의 데이터 접근제어 정책에 따라 관련된 블록 정보를 제공한다.
메타버스 애플리케이션은 user agent의 접근제어 정책에 따라 승인된 program ID를 Identity Provider에 등록하고, Identity Provider로부터 받은 정보를 이용하여 정보가 저장된 블록을 찾고, 이용자의 공개키를 이용하여 복호화하여 해당 데이터를 활용할 수 있으며, 해당 데이터의 해시값 비교를 통해 출처 및 부인방지 기능을 수행할 수 있다. 또한, user agent의 접근제어 정책에 연령에 따른 사용 가능한 program ID를 등록하게 함으로 연령에 적절한 서비스를 제공하게 할 수 있다.
3.2 성능평가
제안한 모델의 성능을 평가하기 위하여, 모델 성능 평가에서 조사된 평가항목을 수정 보완하여 속성정보 수집모델과의 성능평가를 수행하였다. 평가항목은 크게 데이터 보호, 속성정보 보안, 기능성으로 나눌 수 있다[11].
먼저 데이터 보호 항목과 관련하여, 메타버스안에서 이용자의 정보는 이용자의 상태 및 행동과 밀접한 관련이 있다. 그러므로 메타버스 서비스를 이용하기 위한 정보는 최소한의 정보만을 제공해야 하며, 이용되는 정보 또한 최소한의 정보만 공개되어야 한다. 데이터 보호와 관련된 평가항목으로는 기밀성, 익명성, 사용자 중심(정보 접근제어) 등이 있다.
속성정보 보안은 이용자 정보를 여러 시스템 사이에 주고받는 것과 관련된 항목으로 관련된 평가항목으로는 무결성, 출처(원본) 인증, 신원(연령검증)확인 등이 있다.
제안한 메타버스 보안 모델과 기존 속성정보 수집 모델과의 성능평가는 다음의 <표 1>과 같다.
<표 1> 제안 보안 모델 성능평가
응용 데이터베이스 모델, SP 중재 모델, 링킹 서비스 모델, 아이덴티티 연합/링킹 모델, 아이덴티티 프록싱 모델, 아이덴티티 릴레이 모델의 경우에는 기밀성, 무결성 그리고 신원확인의 보안 기능을 제공할 수 있으며, 클라이언트 중재 모델의 경우 기밀성, 사용자 중심 접근제어, 무결성 그리고 신원확인의 기능을 제공하는 것으로 분석되었다. 마지막으로 제안 보안 모델의 경우에는 기밀성, 익명성, 사용자 중심 접근제어, 무결성, 출처(원본) 인증, 신원확인 등의 기능을 제공하여 메타버스 프레임워크에 필요한 보안 기능들을 제공하는 것을 알 수 있다.
Ⅳ. 결론
메타버스에 대한 사회적 관심이 높아짐에 따라 다양한 메타버스 플랫폼 및 서비스가 등장하고 있으며, 이에 따라 다양한 보안에 대한 이슈가 대두되고 있다. 특히 메타버스는 다양한 가상 공간에서 모든 활동이 이루어지고, 다양한 하드웨어 기기를 이용한 센싱 데이터를 활용하기 때문에 기존의 다른 인터넷 서비스들보다 많은 정보가 축적되어 정보보안이 보장되지 않는다면 더욱더 많은 피해가 발생할 수 있다.
따라서 본 논문에서는 메타버스 플랫폼에서 필요한 보안 기능들에 대해 기존 논문들에서 언급된 주요 이슈들과 필요한 평가 인자들에 들을 고려한 메타버스 보안 모델을 제안하였다. 제안한 모델을 기존의 속성정보 수집모델과 성능평가를 수행한 결과 기존의 모델들에서 제공하지 못했던 익명성 및 출처(원본) 인증 등의 보안 기능을 제공하는 것을 알 수 있다.
향후 연구계획으로는 제안한 보안 모델을 다양한 메타버스 플랫폼에 활용할 수 있는 적용방안에 대한 연구를 수행할 계획이다. 또한, 현재는 여러 개의 메타버스 사용자간에 연결에 제한이 존재하고 있다. 즉 하나의 메타버스 플랫폼에서 사용하던 아바타와 공간을 다른 메타버스 플랫폼에서 사용할 수 없다. 그러므로 서로 다른 메타버스에서 디지털 오브젝트 교환에 관한 표준화 연구가 필요한 상황이며, 이에 관한 연구도 수행할 계획이다.
References
- Smart, J.M., Cascio, J. and Paffendorf, J., Metaverse Roadmap Overview, 2007, Accelerated Studies Foundation, Retrieved 2010-09-23.
- 고선영.정한균.김종인.신용태, "메타버스의 개념과 발전 뱡향," 정보처리학회지, 제28권, 제1호, 2021, pp.7-16.
- Metaverse Roadmap Overview, ASF, 2007, htp://www.metaverseroadmap.org
- 이승환, 로그인(Log In) 메타버스: 인간x공간x시간의 혁명, 소프트웨어정책연구소, 이슈리포트 IS-115, 2021.
- 김애영, 메타버스 플랫폼의 개인 데이터 생태계, 2021 KISA REPORT, volume 6, 2021년.
- 김정민, "국내외 메타버스 플랫폼과 콘텐츠 비즈니스 동향," 미디어 이슈&트렌드(45), 2021, pp.32-42.
- Young-myoung Kang, "메타버스 프레임워크와 구성요소," 한국정보통신학회논문지, 25(9), 2021, pp.1263-1266. https://doi.org/10.6109/JKIICE.2021.25.9.1263
- 이진규, 메타버스와 프라이버시, 그리고 윤리 - 논의의 시작을 준비하며, 2021 KISA REPORT, volume 2, 2021년.
- 배준범, "Autonomous Space: 메타버스를 위한 기계공학 기술," 기계저널, 61(11), 2021, pp.41-45.
- Md. Sadek Ferdous, Ron Poet, "Analysing Attribute Aggregation Models in Federated Identity Management," 6th International Conference on Security of Information and Networks, 2013.
- 김태경, "연령 검증정보의 안정성을 위한 평가인자에 대한 연구," 디지털산업정보학회 논문지, 제10권, 제4호, 2014, pp.127~132.