[논문 요약] '확장된 가상현실인 메타버스에서의 보안 위협 분석'

어제 진행했던 네트워크 스터디에서 '확장된 가상현실인 메타버스에서의 보안 위협 분석' 논문을 읽어봐야겠다는 생각을 다시 했다. 내가 놓쳤던 부분들이 이 논문에 포함되어있었다. [기사 분석2] 개념정리에서 적어두었던 궁금점들을 이 논문을 통해 어느정도 해소할 수 있었다. 사실 이 논문을 바탕으로 기사가 쓰여졌기 때문에 논문을 읽어야 한다는 사실은 당연했다.

---

• 제목 : 확장된 가상현실인 메타버스에서의 보안 위협 분석
• 링크 : https://www.koreascience.or.kr/article/JAKO202102565133228.page
• 주제 : 메타버스에서 발생할 수 있는 보안 위협을 분석하고 새로운 관점에서의 보안 위협을 분류함으로써 보안 위협의 대응방안과 앞으로의 연구 방향을 제시
• 배경 : 메타버스에서 발생할 수 있는 보안 위협에 관한 연구 부족
• 주요 내용 : 
  • 메타버스에서 발생할 수 있는 보안 위협을 3가지로 분류하고 보안 이슈 및 예상되는 공격 시나리오 서술
  •  위에서 발견된 보안 위협에 대응하는 보안 기술 정리 및 앞으로의 연구방안 제시

---

국내외 정책 동향

- 메타버스의 4요소 중 증강현실을 제외한 나머지 요소들은 이미 제공되었기에 증강현실이 메타버스에서 중요한 요소로 작용.

- 증강현실의 핵심 기술 : XR

- 미국의 경우 : 가상훈련플랫폼 EDGE 사용 및 군사 훈련에 XR 활용

- 유럽의 경우 : EU 차원의 XR 기술개발 진행, (영국) 4대 디지털 핵심 기술로 XR 선정

- 중국의 경우 : (2018년 기준) 동부지역에 15개의 XR 산업단지 조성

- 일본의 경우 : 'Society 5.0' 전략에 핵심 기술로 XR 포함 및 일본 국토의 디지털 트윈을 목표로 하는'국토 교통 데이터 플랫폼 1.0' 공개 

디지털 트윈은 현실 세계에 존재하는 사물, 시스템, 환경 등을 S/W 시스템의 가상 공간에 동일하게 모사(virtualization)하고, 실물 객체와 시스템의 동적 운동 특성 및 결과 변화를 S/W 시스템에서 모의(simulation)할 수 있도록 하고, 모의 결과에 따른 최적 상태를 실물 시스템에 적용하고, 실물 시스템의 변화가 다시 가상 시스템으로 전달되도록 함으로써 끊임없는 순환 적응 및 최적화 체계를 구현하는 기술이다. 

(출처 : 김용운, '디지털 트윈의 개념과 기술 및 산업 분야별 활용 사례', 신기술동향학회지 지능정보기술동향)

- 한국의 경우 : 국내의 XR 활용은 아직 초기 단계이며 문화체험에 집중하고 있는 한계점이 존재하고 XR 관련 제도의 정비가 필요하며 국외와의 경쟁력이 미흡하다.

 

메타버스 보안 위협에 관한 기존 연구 결과

- Usenix에서 개최한 SOUPS 2021에서 ‘VR4Sec: Security for XR and XR for Security' 워크숍을 통해 발표된 연구 결과 설명.

- Falchuk Ben, Shoshana Loeb, and Ralph Neff. "The Social Metaverse: Battle for Privacy." IEEE Technology and Society Magazine 37.2 (2018): 52-61.

위 논문에서는 메타버스 속 아바타 사용으로 인한 보안 이슈에 대해 사용자의 행동 패턴을 파악하여 유사한 행동을 수행할 수 있는 복제 아바타와 물리적으로 보이지 않는 아바타, 순간이동이 가능한 아바타 등의 해결방안 제시.

 

해당 논문의 관점에서 새롭게 분류한 메타버스의 3가지 보안 위협

1. 입력값 및 출력값 보안

  메타버스는 HMD와 스마트 디바이스를 통해 사용자들이 식별하기 어려운 눈동자의 움직임, 맥박, 뇌파 등을 데이터로 수집하여 활용하고 있기에 인지하지 못하는 프라이버시 침해가 발생하고 있다.

1-1. 해결방안

- DARKLY 시스템 : 입력되는 데이터에 대해 다양한 특징점에 대한 가공처리를 제공.

- Zarepour, Eisa, et al. "A context-based privacy preserving framework for wearable visual lifeloggers." 2016 IEEE International Conference on Pervasive Computing and Communication Workshops (PerCom Workshops). IEEE, 2016.

위 논문은 민감한 정보가 포함된 글씨 및 그림 등에 대한 가공처리에 대한 내용이다.

- Templeman, Robert, et al. "PlaceAvoider: Steering First-Person Cameras away from Sensitive Spaces." NDSS. 2014.

위 논문은 이미지 데이터에 대해 민감 여부를 판단에 대한 내용이다.

- de Guzman, Jaybie Agullo, Kanchana Thilakarathna, and Aruna Seneviratne. "SafeMR: Privacy-aware Visual Information Protection for Mobile Mixed Reality." 2019 IEEE 44th Conference on Local Computer Networks (LCN). IEEE, 2019.

위 논문은 스마트폰 카메라로 수집되는 데이터에 대해 중간 계층을 추가함으로써 입력데이터를 보호하는 기술 제안에 대한 내용이다.

([기사분석2] 개념정리에 작성한 3계층 아키텍처에 대한 내용이 맞는 지 확인할 필요가 있다.)

- de Guzman, Jaybie A., Kanchana Thilakarathna, and Aruna Seneviratne. "Conservative Plane Releasing for Spatial Privacy Protection in Mixed Reality." arXiv preprint arXiv:2004.08029 2020.

위 논문은 Microsoft Hololens를 통해 3차원 데이터가 입력될 때, 새로운 인식 방법을 제시하여 노출되는 데이터를 감소시켰다.

 

2. 상호 작용 보안

  공유된 공간에서 사용자들간의 상호작용이 일어나기 때문에 해당 공유공간의 설계 방법과 필요한 프로토콜에 초점을 맞춰야 한다.

2-1. 해결 방안

- Reilly, Derek, et al. "SecSpace: prototyping usa- ble privacy and security for mixed reality collaborative environments." Proceedings of the 2014 ACM SIGCHI symposium on Engineering inter- active computing systems. 2014.

위 논문에서는 공동 MR 환경에서 발생할 수 있는 보안 위협을 방지하기 위해 개인정보 관리 및 다른 사용자의 접근 통제를 수행하는 메커니즘을 제안했다.

- Gaebel, Ethan, et al. "Looks good to me: Authentication for augmented reality." Proceedings of the 6th International Workshop on Trustworthy Embedded Devices. 2016.

위 논문에서는 장치간의 데이터 공유를 위한 인증 프로토콜을 제안했다.

(이 논문에서 제안한 프로토콜의 원리가 궁금하다 곧 한번 읽어봐야 겠다)

- Lebeck, Kiron, et al. "Towards security and pri- vacy for multi-user augmented reality: Foundations with end users." 2018 IEEE Symposium on Security and Privacy (SP). IEEE, 2018.

위 논문에서는 HMD 중 Microsoft Hololens를 사용하여 동일한 공간에서의 사용자 간 페이링을 위한 공유공간 설계 방법을 제안하였다.

 

3. 디바이스 보안

 서비스에 접근하는 인증 수단에 디바이스를 포함하는 기술 개발이 필요하고 디바이스의 접근 통제를 위한 인증 기술도 함께 개발되어야 한다.

3-1. 해결방안

- George, Ceenu, et al. "Seamless and secure vr: Adapting and evaluating established authentication systems for virtual reality." NDSS, 2017.

위 논문에서는 손가락 움직임을 통해 인증을 진행하는 기술을 개발하였다.

- Li, Sugang, et al. "Whose move is it anyway? Authenticating smart wearable devices using unique head movement patterns." 2016 IEEE International Conference on Pervasive Computing and Communications (PerCom). IEEE, 2016.

위 논문은 소리를 통해 머리의 움직임을 발생시켜 인증하는 기술에 대한 내용이다.

- Chauhan, Jagmohan, et al. "BreathPrint: Breathing acoustics-based user authentication." Proceedings of the 15th Annual International Conference on Mobile Systems, Applications, and Services. 2017.

위 논문은 신체적 움직임을 활용하여 인증하는 내용이다.

- Venkatasubramanian, Krishna K., Ayan Banerjee, and Sandeep Kumar S. Gupta. "PSKA: Usable and secure key agreement scheme for body area networks." IEEE Transactions on Information Technology in Biomedicine 14.1 (2009): 60-68.

위 논문에서는 광전용적맥파 측정기(PPG)를 활용하여 사용자의 맥파형을 수집 및 활용하는 생체 정보 기반 키 교환 기술을 개발하였다.

- Schneegass, Stefan, Youssef Oualil, and Andreas Bulling. "SkullConduct: Biometric user identification on eyewear computers using bone con- duction through the skull." Proceedings of the 2016 CHI Conference on Human Factors in Computing Systems. 2016.

위 논문은 Google glass를 활용하는 SkullConduct에 대한 내용이다.

- Raja, Kiran B., et al. "Multi-modal authentication system for smartphones using face, iris and periocular." 2015 International Conference on Biometrics (ICB). IEEE, 2015

위 논문에서는 사용자의 얼굴 정보를 통합적으로 활용하는 인증 기술을 제안하였다.

 

분류된 3가지 보안 위협 해결 방안의 한계점 및 보완점

1. 입력값 및 출력값 보안

추가적인 계층을 추가하지 않으면서 사용자들의 편리성을 위해 자동화된 기술 개발이 필요.

2. 상호작용 보안

다중 사용자의 공유공간 활용이나 다중 디바이스 연동이 제한적이며 환경 구축 및 프로토콜 개발이 지속해서 수행되어야 함.

3. 디바이스 보안

데이터 보안을 함께 적용하여 활용 가능한 기술 개발이 필요.

 

---

구체적인 주제를 정해 실험하고 제안한 논문이 아닌 앞으로의 연구 방향을 제시하는 논문이기에 결론은 조금 추상적이어서 생략한다.

 

아무래도 인증기술과 관련해 궁금점이 많은 필자로써 논문에서 소개된 내용들 중 흥미가 가는 논문들을 읽어볼 생각이다. 이번주 네트워크 스터디에서 DARKLY 시스템의 논문을 읽어오신 분이 계셨는데 아주 흥미롭게 발표를 들었다. DARKLY 시스템의 원리와 그를 이용한 결과는 놀라웠다. 사람의 얼굴을 윤곽정도만 빼고 모두 지워 입력값으로 받는 것이 신기했다.

 

※ 필자의 관점에서 논문 전체를 요약했기에 논문에서 빠진 내용들이 많습니다.