映畫 ‘인셉션’에서 特殊 要員들은 他人의 꿈에 들어가 敏感한 情報를 훔치고, 새로운 생각을 심어놓기도 한다. 이런 映畫 속 想像이 眞짜 現實이 된다면 어떨까. 最近 硏究에 따르면 메타 메타퀘스트, 애플 비전프로 같은 假想現實(VR) 헤드셋으로 接續한 假想世界에서 ‘인셉션’과 恰似한 해킹 威脅이 發生하는 것으로 나타났다.

造作된 시뮬레이션으로 情報 해킹

美國 시카고大 컴퓨터工學科 硏究팀은 ‘인셉션 攻擊: VR 시스템의 沒入型 하이재킹(Hijacking)’이라는 論文을 통해 VR 헤드셋의 保安 危險性을 警告했다. 해커들은 VR 헤드셋을 해킹해 假想世界 속 情報를 빼낼 수 있고, 헤드셋을 着用한 使用者는 自身도 모르게 造作된 假想稅契를 經驗할 수 있다는 것이다. 硏究陣은 “使用者는 VR과 正常的으로 상호작용한다고 생각하지만, 實際로 보고 듣는 모든 것이 해커에 依해 造作된 시뮬레이션 世界일 수 있다”며 “이番 硏究 結果로 오늘날 VR 시스템이 얼마나 脆弱한지 알게 됐다는 點에서 衝擊的”이라고 說明했다. 硏究陣은 被驗者 27名이 參加한 가운데 해킹 테스트를 進行했다. 被驗者들이 VR 헤드셋 메타퀘스트를 着用하고 게임 애플리케이션(앱) 等 VR에 接續하자 硏究陣은 해킹을 試圖했다. 해킹 攻擊이 이뤄지는 동안 使用者 中 3分의 1萬 異常한 낌새를 感知했으며, 1名을 除外한 모든 사람이 이를 正常的인 作動 過程에서 나타나는 自然스러운 問題로 看做했다. 硏究陣이 메타퀘스트에 몰래 浸透한 해킹 方式은 사이드퀘스트(SideQuest)로도 불리는 ‘沒入型 하이재킹’이다. VR 시스템에 惡性코드를 심는 앱을 만든 뒤 使用者 運營體制에 ‘인셉션 VR 레이어’를 한層 덧대어 作動시킨다(그림 參照). 이 레이어는 使用者에게 元本 畵面과 同一한 畵面을 보여준다. 그러면 使用者는 덧씌워진 畵面을 實際로 여기고, 해커는 實際 시스템 內部로 들어가 使用者가 헤드셋으로 하는 모든 作業을 보고 記錄하며 修正할 수 있다. 메타퀘스트 스토어, 內部 앱, 外部 서버 等에 無斷 接近하는 것도 可能하다. 個人 데이터도 빼낼 수 있다. 例를 들어 使用者가 VR 헤드셋을 使用해 인터넷뱅킹으로 1萬 원을 送金했다면 해킹으로 이를 5萬 원으로 變更해도 使用者는 알아차릴 수 없다.

威脅的인 VR 해킹

이런 해킹은 疑心스러운 링크를 클릭하게 하는 等 다른 惡意的인 해킹 方式과도 結合될 餘地가 있다. 또한 VR에서 이뤄지는 社會的 相互作用까지 攻擊 對象이 된다는 點에서 더욱 威脅的이다. 여기에는 音聲, 제스처, 키(key) 入力, 探索 活動 等을 追跡하는 것이 包含된다. 硏究陣은 使用者가 아바타를 통해 서로 對話할 수 있는 메타퀘스트의 VR챗 앱을 複製해 메시지를 가로챈 뒤 願하는 대로 應答하는 데도 成功했다.

‘인셉션 攻擊’이 可能한 理由는 메타퀘스트 헤드셋의 虛點을 利用하기 때문이다. 使用者가 他社 앱을 다운로드하려면 開發者 모드를 活性化해야 하는데, 이 모드는 해커들이 VR 헤드셋에 接續할 수 있는 빌미를 提供한다. 硏究陣이 提示하는 最善의 防禦冊은 헤드셋을 工場 初期和解 惡性 앱을 除去하는 것이다. 또한 安全한 個人 와이파이를 使用하고 不必要한 開發者 모드 使用을 避한다면 해킹 危險을 크게 줄일 수 있다. 메타퀘스트의 保安 脆弱性이 드러나자 메타 側은 “持續的으로 硏究者들과 協力 中이며, 이番 硏究 結果를 檢討할 計劃”이라고 밝혔다. 메타는 그동안 倫理的 해커에게 最大 30萬 달러(藥 4億 원) 懸賞金을 내걸어왔다. 이番 硏究에 參與한 벤 자오 시카고大 컴퓨터工學科 敎授는 MIT 테크놀로지 리뷰를 통해 “인셉션 攻擊은 해커들이 VR 시스템에 浸透해 使用者 情報를 奪取하고 操作할 수 있는 다양한 可能性을 提供한다”며 “헤드셋이 더 널리 퍼지기 前에 强力한 防禦 手段을 開發할 必要가 있다”고 말했다.

最近 VR 헤드셋 人氣가 높아지면서 潛在的으로 危險에 處할 수 있는 使用者 數도 늘어나는 狀況이지만 VR 헤드셋 保安 硏究는 製品 開發 速度에 비해 뒤처진 實情이다. 그러나 個人用 컴퓨터(PC)나 스마트폰과 마찬가지로 VR 헤드셋에 對한 攻擊 또한 身元 盜用, 個人情報 또는 네트워크 資格 證明 盜用, 하드웨어·소프트웨어 損傷, 其他 여러 데이터 侵害로 이어질 可能性이 多分하다. 特히 VR이나 增强現實(AR)은 뛰어난 沒入度로 使用者가 이런 脆弱性을 깨닫기가 더욱 어렵다. 現實이 아닌 假想世界에서 해커들이 使用者 環境을 함부로 制御하는 것을 넘어 거짓 시스템을 만들 境遇 使用者 認識이 操作돼 潛在的 被害로 이어진다. 例를 들어 使用 年齡 制限이 없는 앱에 成人物이나 嫌惡스러운 콘텐츠를 揷入할 境遇 그 被害는 훨씬 커질 수밖에 없다. 最近 急激히 發展하는 生成型 人工知能(AI)을 利用할 境遇 사람 목소리나 視覺的 딥페이크를 쉽게 生成할 수 있다. 惡意를 가진 해커들이 이러한 技術을 使用한다면 더욱 深刻한 問題를 惹起하게 된다.

VR 헤드셋, 해킹 念頭에 두고 使用해야

그렇다면 이런 保安 威脅을 막으려면 어떻게 對處해야 할까. 電氣電子工學者協會(IEEE)는 VR, AR, 混合現實(MR) 等 沒入型 技術을 硏究하는 ‘디지털 現實’ 페이지를 통해 VR 保安課 關聯해 다음과 같은 點을 强調했다. 먼저 사이버 保安에서 必須 部分은 個人情報 保護다. 앱 使用 時 個人情報 保護 政策을 積極 檢討하는 것은 勿論, 自身과 相互作用하고 데이터를 共有하는 다른 使用者의 身元을 確認하기 위한 追加 段階를 遂行할 必要가 있다. 또 펌웨어 업데이트와 保安패치 適用을 통해 裝置를 最新 狀態로 維持하고, 應用프로그램 또한 最新 狀態여야 한다. 出處를 알 수 없는 앱을 設置할 때는 더욱 注意해야 한다. 基本的으로 VR 헤드셋 使用者는 假想世界에서 生成된 모든 人工的 要素가 해킹을 비롯한 사이버 犯罪를 통해 操作될 可能性이 있다는 點을 念頭에 두고 使用할 必要가 있다.

_{*유튜브와 포털에서 各各 ‘매거진東亞’와 ‘투벤저스’를 檢索해 팔로剩하시면 記事 外에도 動映像 等 多彩로운 投資 情報를 만나보실 수 있습니다.}