[메타버스] 데이터 보안

개인정보 주요 유출 원인은 외부공격 시스템 오류, 내부직원 유출 순으로 크다. 

APT 공격 : 개인정보, 기밀정보 유출등을 목적으로 특정한 사이트를 장기간에 걸쳐 공격

해마다 공격 지속 시간 중앙값은 단축되었다. (탐지기술의 발달로)

스피어 피싱 : 불특정 다수가 아닌 특정기관이나 기업의 내부 직원을 표적으로 삼아 집중적으로 공격하는 피싱 공격의 한종류

- 클론 피싱 : 링크나 첨부파일이 포함된 과거에 전달된 적법한 이메일에 거의 동등하거나 복제된 이메일등을 만들어 공격하는 유형

- 웨일링 피싱 : 고위 경영 간부, 고위직, 유명인, 중요한 인물등을 타켓으로 이뤄지는 스피어피싱

 

개인정보보호 관련 체게

ISO27001/27701

출처  IEC/ISO 27001 Importance, Advantages, and Process. (googlinux.com)

ISMS-P

출처 IT위키

개인정보영향평가

 

출처 개인정보보호위원회

NIST CSF

- 다른 프레임워크에 비해 Detect, Respond의 단계를 추가하여 보안과 편리함 동시에 추구하는 느낌..

XRSI

출처  The XR Safety Initiative Launches The XRSI Privacy Framework Version 1.0 (linkedin.com)

- 메타버스와 관련하여 아동보호(Child Safety)에 대한 관심 유의 

 

개인정보 비식별화

최소한의 개인정보를 수집해야하는 원칙을 지켜야하지만 사용성을 위해서는 그이상의 정보가 요구될 수 있는 문제가 발생하기도 함. 

 

기술적 취약점 제거활동 강제

응용 취약점 진단 / 인프라 취약점 진단 / 모의침투 테스트

Zero Trust Security Model

신뢰하지 않고 항상 재검증한다는 의미

특정 자료에 정확한 접근이 확인되기 전까지는 네트워크의 내부 인원, 디바이스에 접근 권한을 부여하지 않는다.

최근에 점점 더 교묘해지는 사이버 범죄로 인해 제로 트러스트 모델이 주목받고 있다. 

출처  블로그 - 제로트러스트 의미와 적용사례3가지 (exosp.com)

탈경계화

한 명의 임직원이 여러 위치에서 다수의 단말기를 통해 클라우드 서비스에 접속할 수 있으므로 위치와 신뢰 문제를 분리해서 고려해야 한다. 

최소권한

매회 액세스 허용 및 차단에 따른 이익과 리스크를 고려해서 권한을 부여해야 한다. 

 

 

메타버스 프라이버시

가상 생태계 보안 위협

아바타 보안 위협 예상 - 개인정보 및 프라이버시 침해, 언어 폭력 및 성희롱 등의 윤리 문제

UGC 보안 위협 예상 : 가상 세계 창작물에 대한 저작권 규정 미흡으로 컨텐츠 모방 및 무단 유출 가능성

UGC vs UCC
① UGC : 사용자 생성 컨텐츠. 변형과 편집, 유통을 강조. 저작권 문제 발생 가능
- 기존에 있는 영상들을 사용자가 몇 장면을 편집하여 제작
② UCC : 사용자 제작 컨텐츠. 인터넷 사업자나 콘텐츠 공급자가 아닌 일반 사용자들이 직접 만들어 유통되는 콘텐츠 
 - 사용자가 직접 패러디하거나 제작하고 직접 촬영하는 컨텐츠 

디지털 자산 보안 위협 예상

마켓플레이스 보안 위협 예상

마켓팅 보안 위협 예상

 

플랫폼 보안 위협

프로그래밍 엔진 보안 위협 예상

자산 디자인 도구 보안 위협 예상

메타버스 서비스 보안 위협 예상

메타버스 활용기술 보안 위협 예상

가상 금융 서비스 보안 위협 예상

 

인프라 보안 위협

이용기기 보안 위협 예상

네트워크 보안 위협 예상

IT 인프라 보안 위협 예상