메타버스의 악의: 새로운 영역에서 알려진 사이버 위협에 맞서 싸우기

게시일: 2023년 3월 2일
작성자: 피터 댄히외
사례 연구

메타버스의 악의: 새로운 영역에서 알려진 사이버 위협에 맞서 싸우기

게시일: 2023년 3월 2일
작성자: 피터 댄히외
리소스 보기
리소스 보기

이 기사의 일부 버전은 인포시큐리티 매거진. 여기에서 업데이트 및 신디케이트되었습니다.

몇 년 전, 우리는 사이버 보안이 서부 개척시대와 같다는 이야기를 많이 했고, 많은 사이버 공격이 초래할 수 있는 실제적인 생명 위험은 말할 것도 없고 더 많은 사람들이 일반적으로 사이버 보안에 관심을 가져야 한다는 절박한 필요성을 느꼈습니다. 

2023년으로 넘어가면서 특히 많은 영향력 있는 국가의 정부 차원에서 어느 정도 진전이 이루어진 것을 보게 되어 기쁩니다. 그러나 진정으로 안전한 코드와 더 안전한 소프트웨어를 향한 여정은 끝이 없습니다. 현재 가장 주목받는 디지털 기술인 메타버스의 출현으로 코드 수준의 취약성과 소셜 엔지니어링 모두에 대한 새로운 공격 표면이 방대하게 추가되었습니다.

그리고 우리는 연기와 거울을 통해 번성하는 이 새로운 경쟁의 장에서 싸울 준비가 되어 있지 않습니다.

혼합 현실은 강화된 위험을 수반합니다.

현재 이달의 맛으로 선정되었지만 메타버스라는 개념은 오래전부터 존재해 왔습니다. 2003년부터 시작된 온라인 플랫폼 Second Life는 사용자의 아바타가 음성 및 텍스트 채팅을 통해 상호 작용하고 게임을 즐길 수 있으며 Adidas와 같은 회사에서 공식 가상 스토어를 제공하는 완전히 사용자 지정 가능한 온라인 세계로 충성도 높은 틈새 시장에 서비스를 제공하고 있습니다. 순수 게임 측면에서는 포트나이트나 월드 오브 워크래프트와 같은 대규모 멀티플레이어 온라인(MMO) 게임이 플레이어에게 광활한 세계를 제공하며, 가상 아이템에 대한 소액 결제 또는 실제 현금 결제에 대한 의존도가 점점 더 높아지고 있습니다. 포트나이트만 해도 출시 첫 2년 동안 43억 달러의 소액 결제 수익을 올렸습니다. 

메타버스라는 개념이 앞으로 계속 유지될 뿐만 아니라 마크 주커버그처럼 주류로 부상할 것임은 분명합니다. 이는 우리가 알고 있는 인터넷(적어도 소셜 미디어와 일부 이커머스)의 흥미로운 진화이지만, 사이버 공격과 피해를 입힐 수 있는 익스플로잇의 기회는 놀랍습니다. 

메타버스 공격 표면은 웹 기반 소프트웨어, API, 결제 게이트웨이를 훨씬 뛰어넘어 광범위합니다. VR 헤드셋과 액세서리의 주변 요소도 핵심 데이터에 위협이 될 수 있으며, 이러한 기기의 온보드 소프트웨어는 취약한 경우 공격에 매우 편리한 레드 카펫이 될 수 있습니다. 

럿거스 대학교의 보안 연구원들은 올해 초 가상 현실 헤드셋의 음성 명령 기능이 어떻게 "도청 공격"으로 알려진 심각한 개인 정보 침해로 이어질 수 있는지를 조사한 최초의 연구인 "Face-Mic"을 공개했습니다. 이 연구는 위협 행위자가 모션 센서가 내장된 일부 가상현실(AR/VR) 헤드셋을 사용하여 음성과 관련된 얼굴 제스처를 녹음함으로써 신용카드 정보, 비밀번호 등 음성 인식 컨트롤을 통해 전달되는 민감한 정보를 도용할 수 있다는 흥미로운 사실을 보여줍니다. 문제의 근본 원인은 사용자 인증이 부족하기 때문인 것으로 보입니다. 가속도계와 자이로스코프는 접근 권한이 필요하지 않기 때문에 사용자의 패턴에 따라 복잡한 얼굴 움직임, 뼈에서 발생하는 진동, 공기 중 진동이 기록되어 은행 비밀번호부터 매우 제한적인 의료 기록까지 모든 것을 추론하는 데 사용될 수 있습니다. 

메타버스에서는 사용자의 모든 움직임이 데이터 포인트이며, 느슨한 소프트웨어 보안을 통해 데이터에 액세스할 수 있다면 공격자가 운을 시험해 볼 유인이 엄청나게 커집니다. 

스마트 컨트랙트는 스마트한 적들과 맞서야 합니다.

메타 경제는 탈중앙화, 탈물질화, 유연성, 그리고 타협 없는 보안을 요구합니다. 현재 시바견과 같은 다양한 암호화폐 커뮤니티에서 메타버스 마이크로경제가 성장하고 있습니다. 가상 부동산 및 기타 무형 상품을 구매하기 위해 블록체인에 저장된 스마트 컨트랙트가 활용됩니다.

"블록체인"을 언급하면 대부분의 일반인(약간의 기술 지식이 있는)은 이를 디지털 화폐의 미래로 간주되는 안전하고 익명의 시스템으로 이해합니다. 하지만 여기에는 약간의 문제가 있습니다. 철통같은 온라인 요새는 없으며, 스마트 컨트랙트도 예외는 아닙니다. 스마트 컨트랙트는 본질적으로 작은 프로그램이며 해킹당할 수 있습니다.

스마트 콘트랙트는 정수 오버플로우와 언더플로우, 리플레이 공격, 재입력 공격으로 이어지는 (매우 치명적인) 블록체인 중심 버그 등 몇 가지 일반적인 취약점으로 인해 악용되기 쉽습니다. 이러한 모든 공격은 악용 가능한 취약점으로 이어지는 잘못된 코딩 패턴과 안전하지 않은 설계 기본 사항으로 인해 가능합니다.

이 기술은 점점 더 널리 사용될 것이지만, 현재와 같은 상황에서는 보안을 인식하고 안전한 메타버스를 보장할 수 있는 충분한 개발자를 찾는 데 어려움을 겪을 것입니다. 조직은 특히 데이터와 통화가 걸려 있는 경우 메타버스 참여의 규모를 이해해야 하며, 그렇지 않은 시나리오를 상상하기는 어렵습니다.

규제가 없는 환경이며, 여러분은 (여전히) 제품입니다.

영화, TV, 세컨드 라이프, 비디오 게임에서 보았듯이 메타버스 환경에서는 원하는 대로 무엇이든 될 수 있습니다. 가상 세계에서는 상상력에 의해서만 가능성이 제한되며, 이러한 유연성은 사용자에게 큰 매력으로 다가옵니다. 하지만 메타처럼 계획된 규모의 가상 세계에서는 너무 방대하고 분산되어 있어 보안 측면에서 완벽한 보안을 보장하기 어렵다는 단점이 있습니다. 사기는 피할 수 없을 것이며, 숙련된 범죄자들은 사회 공학적 관점에서 더 많은 것을 이용할 수 있게 될 것입니다. 

민감한 사용자 데이터는 새로운 황금이며, 메타버스는 계획대로 도입이 진행된다면 지금까지 본 것 중 가장 풍부하고 완벽한 데이터 소스가 될 잠재력을 가지고 있습니다. 메타버스 관련 소프트웨어 빌드는 현재의 규제 표준과 규정 준수 조치를 준수할 것이라고 가정할 수 있지만, 빠르게 확장하는 디지털 세계와 그 경제를 지원하기 위해서는 이에 맞는 업데이트가 필요합니다. 이를 위해서는 메타버스에 대한 기여의 보안에 대한 책임을 지는 조직, 특히 개발 코호트를 중심으로 소프트웨어에 참여하는 모든 사람이 프로세스의 모든 단계에서 보안에 대해 생각하고 구현할 수 있는 수준의 사내 보안 성숙도를 확보하는 것이 핵심이 될 것입니다. 

메타버스의 성공에 보안 코딩이 중요한 이유

현실 세계에서 원하는 모든 것을 갖춘 아바타로 표현되는 무법천지의 디지털 세계를 누비는 것이 재미있을 수 있지만, 모든 '캐릭터'의 배후에는 사람이 있다는 사실을 잊지 말아야 합니다. 그리고 실제 사람들의 데이터와 재정이 위험에 처해 있을 때는 게임과는 거리가 멉니다. 

사이버 보안 분야에서 실수는 정말 치명적인 결과를 초래할 수 있으며, 광범위한 채택과 소비자 신뢰가 결실을 맺기 위해서는 메타버스의 모든 구성 요소의 무결성을 나중에 고려할 수 없다는 점을 잘 알고 있습니다. 

조직은 지금 보안 성숙도 assessment 를 현실적으로 평가하여 소프트웨어 개발자의 보안 기술을 향상시키는 데 중점을 두고 계획을 세울 수 있습니다. 럿거스 대학의 연구에서 알 수 있듯이 액세스 제어는 광범위한 데이터 유출로 이어질 수 있는 강력한 취약점 중 하나에 불과하며, 보안에 대해 잘 알고 있는 개발자는 코드를 작성할 때, 그리고 커밋된 코드를 입력하기 훨씬 전에 이러한 문제를 해결하는 것이 훨씬 더 유리할 것입니다. 

사이버 보안 기술 부족이라는 변명만으로는 대규모 메타버스 데이터 유출 사고를 극복할 수 없으며, 우리 앞에는 최선을 다할 뿐만 아니라 소프트웨어 보안 표준을 적극적으로 향상시킬 수 있는 도구가 있습니다. 지금이야말로 메타버스의 설계자를 양성하는 데 투자하여 우리가 알고 있는 제품과 서비스를 가상으로 재구상하는 데 따른 이점을 누릴 때입니다.

리소스 보기
리소스 보기

저자

피터 다뉴

피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

메타버스의 악의: 새로운 영역에서 알려진 사이버 위협에 맞서 싸우기

게시일: 2023년 3월 2일
By 피터 댄히외

이 기사의 일부 버전은 인포시큐리티 매거진. 여기에서 업데이트 및 신디케이트되었습니다.

몇 년 전, 우리는 사이버 보안이 서부 개척시대와 같다는 이야기를 많이 했고, 많은 사이버 공격이 초래할 수 있는 실제적인 생명 위험은 말할 것도 없고 더 많은 사람들이 일반적으로 사이버 보안에 관심을 가져야 한다는 절박한 필요성을 느꼈습니다. 

2023년으로 넘어가면서 특히 많은 영향력 있는 국가의 정부 차원에서 어느 정도 진전이 이루어진 것을 보게 되어 기쁩니다. 그러나 진정으로 안전한 코드와 더 안전한 소프트웨어를 향한 여정은 끝이 없습니다. 현재 가장 주목받는 디지털 기술인 메타버스의 출현으로 코드 수준의 취약성과 소셜 엔지니어링 모두에 대한 새로운 공격 표면이 방대하게 추가되었습니다.

그리고 우리는 연기와 거울을 통해 번성하는 이 새로운 경쟁의 장에서 싸울 준비가 되어 있지 않습니다.

혼합 현실은 강화된 위험을 수반합니다.

현재 이달의 맛으로 선정되었지만 메타버스라는 개념은 오래전부터 존재해 왔습니다. 2003년부터 시작된 온라인 플랫폼 Second Life는 사용자의 아바타가 음성 및 텍스트 채팅을 통해 상호 작용하고 게임을 즐길 수 있으며 Adidas와 같은 회사에서 공식 가상 스토어를 제공하는 완전히 사용자 지정 가능한 온라인 세계로 충성도 높은 틈새 시장에 서비스를 제공하고 있습니다. 순수 게임 측면에서는 포트나이트나 월드 오브 워크래프트와 같은 대규모 멀티플레이어 온라인(MMO) 게임이 플레이어에게 광활한 세계를 제공하며, 가상 아이템에 대한 소액 결제 또는 실제 현금 결제에 대한 의존도가 점점 더 높아지고 있습니다. 포트나이트만 해도 출시 첫 2년 동안 43억 달러의 소액 결제 수익을 올렸습니다. 

메타버스라는 개념이 앞으로 계속 유지될 뿐만 아니라 마크 주커버그처럼 주류로 부상할 것임은 분명합니다. 이는 우리가 알고 있는 인터넷(적어도 소셜 미디어와 일부 이커머스)의 흥미로운 진화이지만, 사이버 공격과 피해를 입힐 수 있는 익스플로잇의 기회는 놀랍습니다. 

메타버스 공격 표면은 웹 기반 소프트웨어, API, 결제 게이트웨이를 훨씬 뛰어넘어 광범위합니다. VR 헤드셋과 액세서리의 주변 요소도 핵심 데이터에 위협이 될 수 있으며, 이러한 기기의 온보드 소프트웨어는 취약한 경우 공격에 매우 편리한 레드 카펫이 될 수 있습니다. 

럿거스 대학교의 보안 연구원들은 올해 초 가상 현실 헤드셋의 음성 명령 기능이 어떻게 "도청 공격"으로 알려진 심각한 개인 정보 침해로 이어질 수 있는지를 조사한 최초의 연구인 "Face-Mic"을 공개했습니다. 이 연구는 위협 행위자가 모션 센서가 내장된 일부 가상현실(AR/VR) 헤드셋을 사용하여 음성과 관련된 얼굴 제스처를 녹음함으로써 신용카드 정보, 비밀번호 등 음성 인식 컨트롤을 통해 전달되는 민감한 정보를 도용할 수 있다는 흥미로운 사실을 보여줍니다. 문제의 근본 원인은 사용자 인증이 부족하기 때문인 것으로 보입니다. 가속도계와 자이로스코프는 접근 권한이 필요하지 않기 때문에 사용자의 패턴에 따라 복잡한 얼굴 움직임, 뼈에서 발생하는 진동, 공기 중 진동이 기록되어 은행 비밀번호부터 매우 제한적인 의료 기록까지 모든 것을 추론하는 데 사용될 수 있습니다. 

메타버스에서는 사용자의 모든 움직임이 데이터 포인트이며, 느슨한 소프트웨어 보안을 통해 데이터에 액세스할 수 있다면 공격자가 운을 시험해 볼 유인이 엄청나게 커집니다. 

스마트 컨트랙트는 스마트한 적들과 맞서야 합니다.

메타 경제는 탈중앙화, 탈물질화, 유연성, 그리고 타협 없는 보안을 요구합니다. 현재 시바견과 같은 다양한 암호화폐 커뮤니티에서 메타버스 마이크로경제가 성장하고 있습니다. 가상 부동산 및 기타 무형 상품을 구매하기 위해 블록체인에 저장된 스마트 컨트랙트가 활용됩니다.

"블록체인"을 언급하면 대부분의 일반인(약간의 기술 지식이 있는)은 이를 디지털 화폐의 미래로 간주되는 안전하고 익명의 시스템으로 이해합니다. 하지만 여기에는 약간의 문제가 있습니다. 철통같은 온라인 요새는 없으며, 스마트 컨트랙트도 예외는 아닙니다. 스마트 컨트랙트는 본질적으로 작은 프로그램이며 해킹당할 수 있습니다.

스마트 콘트랙트는 정수 오버플로우와 언더플로우, 리플레이 공격, 재입력 공격으로 이어지는 (매우 치명적인) 블록체인 중심 버그 등 몇 가지 일반적인 취약점으로 인해 악용되기 쉽습니다. 이러한 모든 공격은 악용 가능한 취약점으로 이어지는 잘못된 코딩 패턴과 안전하지 않은 설계 기본 사항으로 인해 가능합니다.

이 기술은 점점 더 널리 사용될 것이지만, 현재와 같은 상황에서는 보안을 인식하고 안전한 메타버스를 보장할 수 있는 충분한 개발자를 찾는 데 어려움을 겪을 것입니다. 조직은 특히 데이터와 통화가 걸려 있는 경우 메타버스 참여의 규모를 이해해야 하며, 그렇지 않은 시나리오를 상상하기는 어렵습니다.

규제가 없는 환경이며, 여러분은 (여전히) 제품입니다.

영화, TV, 세컨드 라이프, 비디오 게임에서 보았듯이 메타버스 환경에서는 원하는 대로 무엇이든 될 수 있습니다. 가상 세계에서는 상상력에 의해서만 가능성이 제한되며, 이러한 유연성은 사용자에게 큰 매력으로 다가옵니다. 하지만 메타처럼 계획된 규모의 가상 세계에서는 너무 방대하고 분산되어 있어 보안 측면에서 완벽한 보안을 보장하기 어렵다는 단점이 있습니다. 사기는 피할 수 없을 것이며, 숙련된 범죄자들은 사회 공학적 관점에서 더 많은 것을 이용할 수 있게 될 것입니다. 

민감한 사용자 데이터는 새로운 황금이며, 메타버스는 계획대로 도입이 진행된다면 지금까지 본 것 중 가장 풍부하고 완벽한 데이터 소스가 될 잠재력을 가지고 있습니다. 메타버스 관련 소프트웨어 빌드는 현재의 규제 표준과 규정 준수 조치를 준수할 것이라고 가정할 수 있지만, 빠르게 확장하는 디지털 세계와 그 경제를 지원하기 위해서는 이에 맞는 업데이트가 필요합니다. 이를 위해서는 메타버스에 대한 기여의 보안에 대한 책임을 지는 조직, 특히 개발 코호트를 중심으로 소프트웨어에 참여하는 모든 사람이 프로세스의 모든 단계에서 보안에 대해 생각하고 구현할 수 있는 수준의 사내 보안 성숙도를 확보하는 것이 핵심이 될 것입니다. 

메타버스의 성공에 보안 코딩이 중요한 이유

현실 세계에서 원하는 모든 것을 갖춘 아바타로 표현되는 무법천지의 디지털 세계를 누비는 것이 재미있을 수 있지만, 모든 '캐릭터'의 배후에는 사람이 있다는 사실을 잊지 말아야 합니다. 그리고 실제 사람들의 데이터와 재정이 위험에 처해 있을 때는 게임과는 거리가 멉니다. 

사이버 보안 분야에서 실수는 정말 치명적인 결과를 초래할 수 있으며, 광범위한 채택과 소비자 신뢰가 결실을 맺기 위해서는 메타버스의 모든 구성 요소의 무결성을 나중에 고려할 수 없다는 점을 잘 알고 있습니다. 

조직은 지금 보안 성숙도 assessment 를 현실적으로 평가하여 소프트웨어 개발자의 보안 기술을 향상시키는 데 중점을 두고 계획을 세울 수 있습니다. 럿거스 대학의 연구에서 알 수 있듯이 액세스 제어는 광범위한 데이터 유출로 이어질 수 있는 강력한 취약점 중 하나에 불과하며, 보안에 대해 잘 알고 있는 개발자는 코드를 작성할 때, 그리고 커밋된 코드를 입력하기 훨씬 전에 이러한 문제를 해결하는 것이 훨씬 더 유리할 것입니다. 

사이버 보안 기술 부족이라는 변명만으로는 대규모 메타버스 데이터 유출 사고를 극복할 수 없으며, 우리 앞에는 최선을 다할 뿐만 아니라 소프트웨어 보안 표준을 적극적으로 향상시킬 수 있는 도구가 있습니다. 지금이야말로 메타버스의 설계자를 양성하는 데 투자하여 우리가 알고 있는 제품과 서비스를 가상으로 재구상하는 데 따른 이점을 누릴 때입니다.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.