메타버스 범죄 동향 및 디지털 포렌식 대응 방안

Abstract

메타버스 플랫폼에 대한 관심 및 사용량의 증가에 따라 기존 사이버 범죄 유형인 정보통신망 침해 범죄, 정보통신망 이용 범죄, 불법 콘텐츠 범죄와 더불어 아바타에 대한 강간, 강제추행, 공연음란, 스토킹 등 새로운 유형의 범죄가 발생하고 있다. 이에 형사법적 관점에서의 대응 방안과 기술적 관점에서의 디지털 포렌식 연구가 시작되고 있다. 사용자의 몰입감을 증대하여 가상 환경이 현실이라고 느낄 정도의 실감 기술을 제공하는 메타버스의 특성으로 인해 메타버스 플랫폼에 대한 포렌식 분석은 기존의 전통적인 포렌식 연구와는 다른 접근이 요구된다. 이에 본 논문에서는 메타버스 범죄 사례들을 살펴보고 이에 대응하기 위한 연구 동향을 파악해 보았다. 또한 메타버스에 대한 포렌식 분석 시 기존 디지털 포렌식과는 다른 관점에서 접근해야 할 사항들을 정리하였다.

Ⅰ. 서론

최근 웹 3.0과 NFT의 등장에 따라 메타버스 플랫폼에 대한 관심이 증가하고 있다. 메타버스 사용량이 늘어나고 있을 뿐만 아니라 메타버스를 활용한 커뮤니티, 업무, 마케팅 등 사업도 증가하는 추세이다. 더불어 코로나에 따른 비대면 문화 확산으로 메타버스 플랫폼이 더욱 활성화되고 있다.

메타버스의 사용량이 증가함에 따라 기존 온라인 플랫폼에서 발생하였던 성범죄, 위협, 협박, 폭행, 괴롭힘, 상표권 침해, 창작물 저작권 침해 등과 같은 범죄가 발생하고 있다. 또한, 아바타에 대한 성폭력·명예훼손, 가상재화 사기·탈취 등과 같은 새로운 형태의 범죄도 나타나고 있다. 특히 메타버스 내범죄의 경우 피해자는 메타버스 플랫폼의 주 사용 연령층인 10대가 대부분으로 그 피해가 심각하다. 더불어 메타버스의 특징인 몰입형과 실감형으로 인해 기존의 사이버 범죄보다 피해자가 느끼는 피해 정도가 더 극대화되어 나타날 수 있다.

메타버스 내 범죄 대응과 관련된 연구는 최근에 시작되고 있는 단계인데, 크게 형사법적 접근과 기술적(디지털 포렌식) 접근 연구로 구분할 수 있다. 형사법 분야에서는 메타버스 내에서 발생하고 있는 범죄들을 유형화하고 현행 형사사법체계의 한계점 파악에 집중하고 있다. 한편, 디지털 포렌식 분야에서는 메타버스 내에서의 범죄 혹은 사고와 관련된 디지털 증거 수집 및 분석하기 위한 기술과 절차를 연구하고 있다. 특히, 메타버스 플랫폼의 특성으로 인해 기존 서비스들과는 다른 기술적 접근을 요구되고 있다.

본 논문은 메타버스 범죄에 대응하기 위한 포렌식 방안을 제시하기 위해 2장에서는 메타버스 범죄 사례들을 살펴보고, 3장에서는 메타버스 범죄 대응을 위한 연구 동향에 대해 살펴본다. 4장에서는 메타버스 플랫폼에 대한 포렌식 연구 시 고려해야 할 사항들을 정리하고, 5장에서 본 논문을 결론짓는다.

Ⅱ. 메타버스 범죄 동향

2.1. 메타버스 현황

메타버스(Metaverse)란 초월이라는 뜻의 ‘메타(meta)’와 현실 세계를 의미하는 ‘유니버스(universe)’ 를 합성한 용어로 정보통신기술과 확장 현실(XR)로 대표되는 실감 기술에 기반하여 현실과 연결된 현실 같은 가상세계를 지향한다. 즉, 메타버스는 물리적 현실(증강현실/혼합현실)과 가상현실의 서로 연결된 가상의 공통적인 공유 공간에서 몰입형·실감형 체험을 제공한다[1].

이러한 메타버스 서비스 및 플랫폼의 성격에 따라 3가지로 분류할 수 있다. 먼저, 사회관계 형성 유형이다. 이는 Zepeto, Roblox와 같은 메타버스 플랫폼을 통해 놀이, 모임 등의 여가활동 및 사회관계가 형성된다. 또 다른 유형인 디지털 자산거래 유형은 메타버스 플랫폼 내에서 가상공간이나 가상 건물, 가상상품 등을 거래한다. 마지막으로 원격협업 지원 유형은 현실을 가상화하여 원격 의사소통 및 업무 지원에 사용된다[2]. 각 유형별 메타버스 플랫폼 예시에 대하여 나눈 표는 [표 1]과 같다.

[표 1] 메타버스 유형별 플랫폼

2.2. 메타버스 범죄 사례

메타버스 플랫폼 내 범죄는 기존 사이버 범죄 유형과 메타버스 플랫폼을 통해 새롭게 나타난 신규 범죄유형인 2가지의 형태로 구분할 수 있다(표 2 참조).

[표 2] 메타버스 범죄 유형

경찰청에서 3가지 유형으로 분류하고 있는 사이버범죄인 정보통신망 침해 범죄, 정보통신망 이용 범죄, 불법 콘텐츠 범죄가 메타버스 플랫폼 내에서 발생하고 있다. 먼저, 메타버스 상에서의 정보통신망 침해 범죄사례로 2020년 05월 Roblox 백엔드 서버 고객 지원 패널 접근 권한이 해킹당하여 약 1억 명의 활성화된 사용자 정보에 해커가 접근하여 이메일 주소, 비밀번호 변경 등 권한 악용을 통해 유저의 아이템 판매 등 피해가 발생한 바 있다. 또한, 정보통신망 이용 범죄사례로는 2021년 06월 전미음악출판협회가 Roblox에 플랫폼 내에서 라이선스 계약 없이 가상 음악 재생 장치를 통해 음악 저작물을 무단으로 이용하여 발생한 저작권 침해 사례가 있다[3]. 불법 콘텐츠 범죄는 최근 국내외 메타버스 플랫폼에서 가장 빈번하게 발생되고있는 범죄 유형이다. 이는 세부 유형인 사이버 성폭력, 사이버도박, 사이버 명예훼손·모욕, 사이버 스토킹, 기타 불법 콘텐츠 범죄, 사이버 스팸메일로 나뉜다. 2021년 4월부터 1년간 Zepeto에서 30대 남성이 아동· 청소년 11명에게 접근하여 신체 부위를 촬영을 요구한 혐의로 구속 송치된 사건이 있다[4]. 또 다른 사례로 동아일보에서 취재 내용에 따르면 Zepeto에서 아동 청소년에게 신체 사진이나 영상을 요구하는 게시글이 다수 발견되었다고 한다[5].

실시간성 및 현실감을 강조하는 메타버스의 특징으로 인해 기존 온라인 서비스 혹은 게임에서는 문제가되지 않았던 아바타에 대한 추행이나 폭행 등이 문제가 되고 있다. 그러나 현행법상 아바타에 대한 강간, 강제추행, 공연음란, 스토킹은 처벌이 불가하여 해당처벌에 대한 논의가 진행되고 있다. 실제로 2021년 1 월 META가 제작한 메타버스 플랫폼인 Horizon Venues에서 한 여성이 접속한 지 60초 만에 3명의 남성 아바타에 둘러싸여 성추행 피해를 당하였다[6]. 이와 유사한 사례로 2021년 7월 감각을 전달하는 햅틱조끼를 착용한 채 메타버스 플랫폼 Population One 실행 시 다른 사용자가 사용자의 아바타의 가슴을 더듬는 등의 행위를 했을 때 끔찍했다고 서술한 바 있다 [7].

Ⅲ. 메타버스 범죄 대응에 대한 연구 동향

메타버스 범죄 대응과 관련된 연구는 초기 단계에 있으며, 형사법적 관점에서의 연구와 디지털 포렌식 관점에서의 연구가 있다. 형사법적 연구는 메타버스 플랫폼 내 기존 사이버 범죄 유형과 다른 범죄 행위에 대하여 범죄 성립 가능성 및 침해·피해에 대응하기 위한 방안에 대하여 형사법적으로 접근하여 현행 형사사법체계의 한계점을 파악하고자 한다. 한편, 디지털 포렌식 관점에서의 연구는 메타버스 상에서 범죄 및 사고 발생 시 디지털 증거를 수집 및 분석하는 방안에 대해 집중한다.

3.1. 형사법적 관점에서의 연구

강성용[8]은 메타버스 산업 내 아바타를 통해 야기될 수 있는 다양한 침해 대응 방안을 제언하였다. 먼저, 아바타 조종자 및 조종자의 통제자의 윤리적 의무와 메타버스 서비스 개발 및 제공자의 윤리적 의무 준수 제고 방안을 사전 및 사후 윤리적 접근 측면에서 제시하였다. 그다음으로 아바타 조종자, 아바타 조종자의 통제자, 메타버스 서비스 개발 및 제공자에 대한 규제와 같은 행정 규제를 제시함과 더불어 행정 규제 준거 관할 및 규제 대상 특정의 한계를 사전 행정 규제적 접근 측면에서 제시하였다. 마지막으로 형사 실체법상 메타버스 내 범죄 성립 및 법 집행의 한계에 대해 살펴보고, 이에 실체법과 절차법 개선 방안을 제시하였다.

김정화 외 2명[9]은 메타버스 공간에서의 성폭력 범죄가 현실 세계에서 실제 문제화되고 있음에도 미비한 형사법적 규제에 대해 논의하고자 하였다. 이에 현행법으로 규율이 어려운 범죄 유형을 아바타에 대한 강 간·강제추행, 아바타 공연음란, 아바타 스토킹으로 분류하였다. 더 나아가 형사법적 규제의 필요성과 정보통신망법 개정에 대하여 3가지 입법의 형식에 대하여 검토하였다. 먼저, 독자적으로 메타버스 공간에서의 범죄를 규율하는 법률을 제정하는 것은 다소 시기상조며, 새롭게 발생하는 신종 범죄에 대처할수 있는 유연한 입법 고려에 대한 방안을 제시해야 한다고 판단하였다. 둘째, 성폭력처벌법 등 기존 성폭력 관련 법령에 편입은 현 단계에서는 다른 입법 방안에 비해 더 많은 현실적 문제를 야기한다고 판단하였다. 마지막으로 정보통신망법 등 정보통신망 관련 법령에 편입의 경우 과도기적 메타버스 환경에 유연하게 대처할 수 있는 효율적인 대안이 될 것이라고 판단하였다.

3.2. 디지털 포렌식 관점에서의 연구

디지털 포렌식 관점에서의 메타버스 범죄 대응에 대한 연구는 주로 사용자 행위를 추적할 수 있는 메타버스 플랫폼 아티팩트 분석에 초점을 맞추고 있다. 최근 Minecraft와 Roblox, VRChat과 같이 이용자 수가 많은 사회관계 형성 메타버스 플랫폼을 대상으로 한 연구가 발표되고 있다.

Taylor 외 1명[10]은 상호 작용의 특성을 지닌 Minecraft 내 DDoS 공격, 성희롱, 온라인 아동 그루밍등의 범죄에 대응하여 추출할 수 있는 증거 자료의 유형과 범위를 확인하고자 하였다. 이를 위해 Linux Minecraft 서버 및 Windows 클라이언트 장치, 메모리, 네트워크를 분석하였다. 디스크 분석을 통해 UUID, 이메일 주소, 플레이어 명과 같은 사용자의 세부 정보및 게임 내 사용자 계정 번호, 로그를 확인하였다. 로그는 채팅, 동일한 계정 정보를 사용하여 로그인을 시도를 기록하고 있다. 메모리 분석을 결과 서버에서는 서버 소유자명 및 비밀번호, Linux 서버의 IP 주소 및 포트 번호와 이름, 타임스탬프, 클라이언트 시스템에서 보낸 모든 채팅을 확인하였다. 다만, 저자들이 클라이언트에서 패킷 분석을 수행한 결과, 채팅 내용을 비롯한 게임 플레이에 대한 정보는 인코딩되어 확인할 수 없었다.

박윤지 외 1명[11]은 사전 연구인 Minecraft 포렌식 분석 결과에 기반하여 대표적인 메타버스 플랫폼인 Roblox와 VRChat에 대한 포렌식 아티팩트를 분석하였다. Roblox의 경우 아티팩트 분석을 통해 사용자의 계정 정보, 사용자의 아바타 정보, 플랫폼 실행 시각, 실행한 게임 정보, 서버의 IP가 확인되었다. VRChat 의 경우 아티팩트 분석을통해 사용자의 계정 정보, 사용자의 아바타 정보, 사용자 행위, 플랫폼 실행 시각, 실행한 게임 정보가 확인되었다(표 3 참조). 다만 메타버스 플랫폼의 실시간성으로 인하여 플레이어 간의 대화 내역이나 아바타의 행동에 대한 기록은 거의 남아있지 않아 이벤트 재구성이 어렵다는 점은 제안하는 방법의 한계점으로 지적되었다.

[표 3] 메타버스 유형별 플랫폼 예시

출처:박윤지, 정두원, 2022, "메타버스 플랫폼 아티팩트 분석에 관한 연구" 디지털포렌식학회 하계학술대회

Ⅳ. 디지털 포렌식 고려사항

본 장에서는 메타버스 상에서 나타나고 있는 새로운 유형의 범죄에 대응하기 위해 디지털 포렌식 기법을 연구할 때 고려해야할 점들을 정리한다. 실험 환경구축 시 고려해야 할 메타버스의 특징과 아티팩트 분석 시 전통적인 포렌식 연구와의 차이점, 마지막으로 포렌식 준비도(Readiness) 관점에서 향후 개선해야 할 방향에 대해 소개한다.

4.1. 실험환경 구축

메타버스 플랫폼 디지털 포렌식 전 아래의 4가지 사항을 고려 및 구축해야 한다.

먼저, 메타버스 플랫별 각기 다른 특성을 고려해야 한다. 기존 온라인 플랫폼의 경우 메신저 앱은 카카오톡, 텔레그램, 소셜 네트워크 서비스는 Facebook, Instagram 등과 같이 소통이 주 목적이며, 각각의 플랫폼은 하나의 주 목적을지닌다. 이와달리 메타버스 플랫폼은 플랫폼 내 여러 맵을 사용자에게 제공하기 때문에 플랫폼의 성격이 하나로 규정되지 않는다. 따라서 실험 환경 구축 시 특성에 따라 메타버스 플랫폼별을 분류해야 하며, 분석 시 각 플랫폼의 특성에 맞게 분석을 해야 한다.

둘째 각 플랫폼에서 제공하는 서비스의 유형별로 분류하여야 한다. League of Legends 나 Battle Grounds 등과 같은 기존 온라인 플랫폼에서 제공하는 서비스는 하나의 일괄적인 형태의 서비스를 제공한다. 그러나 메타버스 플랫폼의 경우 하나의 일괄적인 형태의 서비스가 아닌 다양한 형태의 서비스를 사용자에게 제공하고 있다. 예를 들어 VRChat의 경우 VRChat 플랫폼 내 오락적 성격을 띠는 맵, 대화가 주목적인 맵등 다양한 맵이 존재한다(그림 1 참조). 따라서 실험환경 구축 및 디지털 포렌식 시 플랫폼에서 제공하는 서비스들을 유형별로 나누고, 분석 시 서비스 유형별로 분석을 해야 한다. 서비스 유형별분석 예시로는 텍스트 채팅을 통한 친목 서비스의 경우 채팅 로그를 주분석 대상으로, 오락 및 게임 서비스의경우 채팅 로그와 더불어 플레이어의 행위를 주 분석 대상으로 분석을 하는 것이 효율적이다.

[그림 1] VRChat에서 제공하는 콘텐츠 예시

세 번째, 플랫폼 내 등록된 콘텐츠를 실행 및 분석을 해야 한다. 플랫폼 내에서도 사용량이 높은 콘텐츠 혹은 범죄 발생률이 높은 콘텐츠들에 대한 아티팩트를 사전에 파악해야 실제 범죄나 사고 발생 시에 대처가 가능하다.

마지막으로 Zepeto, VRChat, Roblox를 비롯한 일부 메타버스 플랫폼의 경우 Unity나 Roblox Studio와 같은 콘텐츠 자체 개발할 수 있는 환경을 제공하고 있다. 실험을 위한 자체 콘텐츠를 개발하고 개발 설정 값에 따른 증거 채증 가능성을 사전에 측정함으로써 실제 사고 발생 시 포렌식 절차를 효율적으로 수행할 수 있다. 즉, 메타버스 플랫폼에서 콘텐츠를 자체 제작하고 분석함으로써 콘텐츠 내부 환경에 대한 기초적 정보를 파악할 수 있고, 향후 동일한개발 환경으로 제작된 콘텐츠를 포렌식 분석할 때 파악된 정보를 활용하여 관련 아티팩트들을 빠르게 수집할 수 있게 된다.

4.2. 아티팩트 분석

메타버스 플랫폼에 대한 포렌식 분석 시에도 전통적인 포렌식 기법과 유사하게 기본적으로 저장매체에 대한 분석이 이루어져야 한다. 저장매체의 경우 로그분석을 통해 사용자의 정보와 플랫폼 내 게임 정보와 같은 포렌식 수사에 유용한정보를 획득할 수 있다. 예를 들어 VRChat 플랫폼 실행 후 저장매체 로그 분석시 해당 플랫폼 내 맵을 실행 및 종료한 시각, 플레이어 정보, 타 플레이어 정보, 플레이어가 실행한 행위를 획득할 수 있다(그림 2 및 그림 3 참조). 타 플레이어 정보와 플레이어의 실행 행위, 채팅 기록의 경우 플랫폼별로 기록 여부가 상이하다. 따라서 주요 메타버스 플랫폼을 선정 후 각 플랫폼마다 아티팩트를 확인하는 case-by-case 접근이 필요하다.

[그림 2] 저장매체 로그 분석 예시 (플레이어의 계정 정보 및 로그인 시각)

[그림 3] 저장매체 로그 분석 예시 (플레이어의 행위 결과)

사용자가 가상세계에 몰입할 수 있도록 실감형 기술을 제공하고자 하는 메타버스 플랫폼의 특성상 실시간성이 타 온라인 서비스 플랫폼에 강조되는 까닭에 사용자 행위와 관련된 정보들의 휘발성이 강하다. 예로 메신저나 소셜 네트워크 서비스와 같은 경우 시스템의 저장매체에 대화 내역이 텍스트 형태로 기록되는 경우가 많아 해당 데이터들을 디지털 증거로 활용할 수 있다. 반면, 메타버스 플랫폼의 경우 사용자들이 주로 음성으로 대화를 나누고 XR 기기를 활용한 아바타의 제스처로 의사소통을 하므로 저장매체에는 사용자행위와 추적할 수 있는 정보가 남지 않는 경우가 있다. 따라서 메타버스 플랫폼에 대한 포렌식 분석 시에는 저장매체 포렌식의 한계를 극복하기 위해 메모리 분석을 필수적으로 수행해야 한다. 예로, Roblox의 경우 저장매체 포렌식 분석으로는 확인할 수 없는 플레이어및 게임 정보와 더불어 플레이어의 아바타 이미지 등을 메모리 분석을 통해서는 확인할 수 있다(그림 4, 그림 5 참조).

[그림 4] Roblox 메모리 분석 예시 (메모리 내 플레이어 의 Thumbnail(上), 메모리 내 URL에 따른 아바타 이미 지(下))

[그림 5] Roblox 메모리 분석 예시 (플레이어의 Id, placeId)

4.3. 포렌식 준비도

범죄 혹은 사고 발생 시 당사자들의 시스템을 신속하게 확보할 수 있다면 메타버스 포렌식 기법들을 적용하여 디지털 증거를 확보할 수 있으나, 현실적인 수사 환경에서 이와 같은 접근법은 한계점이 많다. 따라서 메타버스 포렌식 기법 연구와 더불어 이를 뒷받침해 줄 수 있는 제도적·기술적 대안 마련도 필요하다.

먼저, 메타버스 플랫폼과의 협조체계 구축이 필요하다. 대부분의 메타버스 플랫폼에서는 사용자의 시스템에서 접근할 수 있는 정보가 제한적이므로 개발사의 협조가 필수적이다. 협조체계를 구축함으로써 조사 대상자 계정과 관련된 추가 정보를 실시간으로 제공받을 수 있는 핫라인 개설 등이 가능해질 것이다.

메타버스 상에서 범죄를 당하거나 범죄를 목격하더라도 실시간성으로 인해 당사자들이 원천적으로 증거확보가 불가능한 경우가 많다. 비록 Roblox를 비롯한 일부 메타버스 플랫폼에서는 사용자가 실행 화면을 녹화하여 신고할 수 있는 시스템을 구축해놓았으나 피해자가 범죄 발생 시점에 곧바로 녹화하지 않으면 증거 확보가 어렵다는 한계가 있다. 또한, 플레이어 간의 의사소통을 텍스트가 아닌 음성 채팅만 가능하도록 개발된 플랫폼들의 경우 화면녹화와 더불어 음성 녹음, 말하는 플레이어의 계정 정보 등 다양한 정보를 신속하게 채증해야 하는 어려움이 있다. 이와 같이 메타버스의 실시간성을 고려한 증거 확보 체계를 마련해야 한다. 예로 사용자의 아바타 행위를 일정기간 동안 캐싱하고 신고 이벤트 발생 시 캐싱된 정보를 증거로써 활용할 수 있는 시스템을 고려할 수 있다. 다만, 이러한 채증 시스템은 메타버스 플랫폼 개발사와의 협업이 필수적이므로 기술적 제시와 더불어 제도적 개선을 통해 달성할 수 있을 것이다.

Ⅴ. 결론

메타버스 플랫폼의 사용자가 증가함에 따라 이에 따른 부작용도 잇따라 발생하고 있다. 특히, 메타버스 플랫폼에서는 기존 온라인 플랫폼에서 발생했던 사이버 범죄들이 나타나고 있고, 이전에는 확인되지 않았던 새로운 유형의 범죄들이 등장하고 있다.

이에 본 논문에서는 메타버스 범죄 대응에 대한 연구 동향을 살펴보았다. 형사법적 관점에서의 연구와 디지털 포렌식 접근에서의 연구 동향을 파악해 보았다. 특히, 메타버스 포렌식 방안에 대해 초점을 맞추어 살펴보았고, 이를 통해 메타버스 포렌식의 한계점을 파악하였다.

마지막으로 메타버스 범죄 대응을 위한 디지털 포렌식 고려 사항을 크게 3가지로 분류하여 제시하였다. 먼저, 플랫폼의 특성 및 제공하는 서비스 유형을 고려하고 플랫폼에서 제공하는 IDE 활용한 콘텐츠를 자체제작하는 실험 환경을 구축의 필요성을 설명하였다. 실험 환경 구축 후 진행되는 포렌식 연구는 기존 포렌식 연구와 유사하게 저장매체의 로그와 메모리를 분석함으로써 달성할 수 있다. 특히 메타버스 플랫폼의 실시간성으로 인하여 증거의 휘발성이 강한 까닭에 메모리 분석에 집중해야 함을 설명하였다. 이와 더불어 메타버스 플랫폼 협조체계 및 메타버스 플랫폼과의 협업을 통한 증거확보체계를 구축 등을 통해 포렌식 준비도를 구축해야 한다는 것을 고려사항으로 제시하였다.

향후에도 메타버스의 사용량은 꾸준히 증가할 것으로 예상되므로, 메타버스 범죄와 대응책에 대한 지속적인 관심이 필요하다. 특히, VR 기술의 급속한 발달로 메타버스 상에서 실제 물리적인 접촉도 구현되고 있으므로 이에 수반하는 부작용을 최소화할 수 있는 대응 기법에 대한 선도적인 연구가 필요할 것으로 판단된다.