디지털 보안을 넘어서 메타버스 보안은 기술 발전과 시장 형성 초기부터 대비해야 할 문제이며 당면 문제로 점차 수면 위로 떠오르고 있다. 

시장조사기관 가트너의 전망에 따르면 2026년에 전세계 조직의 30%가 메타버스 환경을 갖출 것으로 내다보고 있다. 이러한 가운데 클라우드 보안사고의 대부분은 설정 오류나 사용자의 실수에 의한 것이며 2025년까지 최소 99%의 클라우드 보안 실패는 클라우드 공급자의 잘못이 아닌 이것을 이용하는 이용자의 잘못일 것이라고 전망했다.

지난 14일 한국인터넷진흥원(KISA)에서 메타버스 보안 세미나를 개최했다. 메타버스 생태계 보안성 강화를 위해 마련된 이번 행사는 △클라우드 보안 △메타버스 보안 프레임워크 △디지털 자산 보안 △메타버스 유통·결제 플랫폼 보안 등의 세션이 진행됐다.

김진호 메가존클라우드 팀장은 이날 세미나에서 클라우드 보안을 주제로 발표하며 AWS를 중점적으로 다뤘다. 

클라우드 보안 사고에 관해 클라우드 공급자는 공동책임 모델을 명시하고 있다. AWS의 책임 영역은 클라우드 서비스를 실행하는 △네트워크 △하드웨어 △소프트웨어 등 시설에 대한 사고이며 사용자 책임 영역은 △업데이트 및 보안패치 등 운영체제 관리 △방화벽 구성 관리 △데이터 관리 △자산 분류 및 적절한 허가를 부여하는 IAM 도구 사용 책임 등에 있다.

Azure 클라우드에서는 SaaS, PaaS, IaaS, 온프레미스에 따라서 공급자와 사용자 간의 책임 범위가 달라진다. 이에 김 팀장은 보안 책임자가 이를 인지하고 조치를 취해야 한다고 설명했다.

김 팀장은 클라우드 보안을 구축할 수 있는 핵심적인 보안 영역 5가지인 ‘5-EPICs’를 소개했는데 △자격증명 및 액세스 관리(Identity&Access Management, IM) △탐지통제(Detective Controls) △인프라 보호(Infrastructure Protection) △데이터 보호 △침해 사고 대응이 존재했다. 이는 클라우드 환경에서 수많은 경험과 모범 사례를 활용해 만들어진 보안 창조 모델이다.

공격대상별 대응 모델을 보면 인프라 및 시스템 부문에서 △플랫폼 및 시스템 보호를 위한 IM △디도스 및 웹 취약점 공격에 대비한 인프라 보호 △권한 탈취나 인프라 공격에 신속한 탐지와 대응이 가능한 탐지통제가 있다.

네트워크 부문에서 송수신 네트워크 취약점을 노리는 시스템 해킹, 클라이언트 취약점 공격에 대한 대응은 인프라 보호와 데이터 보호가 핵심 솔루션이라고 김 팀장은 설명했다. 

데이터 부문에서 가상자산 탈취 및 불법 복제와 데이터 위변조 및 유출 등에 대응하기 위해선 주로 데이터 암호화와 데이터 권한 관리가 우선이라고 주장하며 이는 데이터 보호와 IM에 해당한다고 말했다.

마지막으로 서비스 부문에서는 보안패치 미적용과 개인정보 유출을 방지하기 위해 탐지 통제와 침해 사고 대응 영역이 클라우드 핵심 보안 영역이라고 그는 판단했다.

김 팀장은 “워크로드 설계에서 비즈니스 의사 결정에 따라 엔지니어링 우선 순위는 달라질 수 있는 반면 보안만은 다른 원칙과 우선순위에 타협되지 않아야 한다”고 강조했다.