“100초 움직임 데이터만으로 사용자 특정”··· VR 헤드셋과 프라이버시 위험

가상현실(VR) 헤드셋에서 수집한 머리와 손 움직임 데이터가 지문 혹은 안면 인식만큼이나 개인을 식별하는 데 효과적인 것으로 나타났다. 몰입적인 가상환경을 활용할 때 사용자 프라이버시가 침해될 가능성이 크다는 우려가 나오고 있다. UC 버클리대에서 진행된 여러 건의 최신 연구를 보면, VR 헤드셋이 수집한 데이터가 매우 높은 정확도로 개인을 식별하는 데 활용될 수 있음을 알 수 있다. 심지어 키와 몸무게, 나이는 물론 결혼 여부 등 개인의 구체적인 특성까지 잡아낼 수 있다고 블룸버그가 보도했다.
 

최근 몇 년 사이 저렴한 가격에 구매할 수 있는 강력한 기기가 잇달아 출시되면서 VR 헤드셋에 대한 수요가 크게 늘었다. 시장조사업체 IDC는 VR과 증강현실(AR) 기기가 올해 1,000만 대 판매되고 2026년에는 2,500만 대까지 늘어날 것으로 전망한다. 메타버스(metaverse) 개념에 대한 많은 비판에도 불구하고, 메타, 애플, HTC 같은 거대 IT 기업은 VR, AR 기기 개발에 연간 수백억 달러를 쏟아붓고 있다. 대중화를 위한 공격적인 투자인 셈이다.

그러나 이런 기기에는 다양한 카메라와 센서가 달려 있어서 사용자의 몸과 눈, 얼굴의 움직임을 추적한다. 이 추적 데이터는 VR 소프트웨어에 입력돼 사용자가 가상환경에서 필요한 작업을 하는 기반이 된다. 이 데이터는 기기 내에서 처리되기는 하지만 외부 서버나 게임 같은 소프트웨어 혹은 가상 회의 플랫폼에 공유될 수 있다. 연구팀이 주목한 과정이 바로 여기다. 여기서 개인정보가 유출될 위험이 있다.
 

모션 데이터는 지문 버금가는 고유 식별자

구체적으로 보면, 먼저 지난 2월 UC 버클리의 연구 결과가 있다. VR 기기에서 수집한 사용자 움직임 데이터가 사용자가 누구인지 특정하는 고유 식별자(uniquely identify)가 될 수 있음을 잘 보여준다.

연구팀은 '비트 세이버(Beat Saber)' 사용자 5만 명 이상의 데이터를 분석했다. 비트 세이버는 출시 이후 수백만 장 이상 판매된 유명 리듬 VR 게임이다. 연구팀은 머신러닝 알고리즘을 이용해 공개된 250만 건의 게임 저장 데이터를 분석해 94% 정확도로 사용자를 식별해 냈다. 100초 분량의 머리와 손 움직임 데이터만으로 간단하게 특정 개인을 찾아낼 수 있었다.

개인을 식별하는 데 움직임 데이터를 사용한 역사는 이미 수십 년이다. 하지만 UC 버클리 연구팀에 따르면, 프라이버시에 대한 직접적인 위협으로 등장한 것은 이번이 처음이다. 과거의 연구를 보면 2020년 실험 참여에 동의한 사용자 511명을 대상으로 한 것이 가장 큰 규모였다. 반면 현재는 VR 헤드셋과 비트 세이버 같은 게임이 더 널리 보급된 상황이어서, UC 버클리 연구팀이 더 방대한 데이터를 기반으로 분석할 수 있었다.

연구팀은 보고서를 통해 "이번 연구는 얼굴이나 지문 등 이미 널리 사용되는 생체 정보뿐만 아니라 VR에서의 생체 정보도 고유 식별자가 될 수 있음을 정확하게 입증한 첫 사례다. 더구나 얼굴과 지문 인식의 경우 기존 인터넷 서비스에 접속할 필요가 없다. 반면 움직임 데이터는 AR과 VR 기기를 작동하는 데 있어 가장 기본적인 기반인 데다, 메타버스 경험을 위해 이 데이터가 다양한 주체와 반드시 공유돼야 하므로 더 위험하다"라고 설명했다.

6월에 나온 버클리대의 또 다른 보고서도 주목할 만하다. 1,000명 이상 실험 신청자를 대상으로 성장 환경과 인구 통계, 행동 패턴, 건강 정보 등 50여 가지 특성을 설문조사했다. 그리고 비트 세이버 사용자가 생성한 움직임 데이터에 머신러닝과 딥러닝 알고리즘을 적용해 이들을 식별해 봤더니 40% 이상이 일관되게 신뢰할 수 있는 정확도로 추론해 냈다.

연구팀은 "이 연구는 머리와 손의 움직임에서 개인과 프라이버시에 대한 여러 가지 민감한 변수를 추론해 낼 수 있는지를 보여주는 것이 목표였다. 연구 결과를 보면 멀티 유저 VR 애플리케이션에 프라이버시를 보호하는 메커니즘을 추가하는 작업이 시급한 상황이다. 기존 인터넷 플랫폼의 경우 많은 사람이 수집하는 정보를 직접 설정해 프라이버시를 보호한다. 반면 몰입적인 가상 환경에 대해서는 프라이버시에 대한 경각심이 거의 없다. 익명성을 보장하는 툴도 부족하다"라고 설명했다.
 

VR 프라이버시 본격 대응 나선 IT 기업들

프라이버시 문제는 새로운 것이 아니다. 하지만 AR/VR 기기와 가상현실에서는 여전히 낯선 이슈다. 가트너의 애널리스트 투엉 구옌은 "디지털화가 진전되면서 개인정보가 노출될 수 있는 새로운 위험이 등장하는 상황은 이미 과거에도 있었다. 하지만 VR 헤드셋 데이터는 개별 사용자에 맞춘 더 개인화된 경험에 활용된다. 행동 프로파일로 복원할 수 있는 매우 내밀한 개인정보다"라고 말했다.

CCS 인사이트의 레오 게비도 "VR 헤드셋을 얼굴에 쓰는 순간 매우 개인적인 기기가 된다. 기기가 점점 더 정교해지면서 이제는 외부 카메라를 통해 사용자가 보는 것을 똑같이 보고, 여러 가지 센서를 통해 사용자의 움직임과 행동을 추적할 수 있다. 사용자 데이터와 프라이버시에 대한 심각한 우려가 제기되는 이유다. 이런 웨어러블 기기는 기존 어떤 기술보다 더 직접적으로 신체와 접촉하는 형태의 위협이다"라고 말했다.

게비는 앞으로 사용자 프라이버시가 VR 업계에 매우 중요한 논쟁거리가 될 것으로 전망한다. 실제로 VR 헤드셋이 점점 더 확산하면서 관련 업계도 프라이버시 문제에 본격적으로 대응하고 있다. 서드파티 애플리케이션이 접근할 수 있는 생체 데이터를 제한하거나 추적 데이터를 기기 내에만 저장하고 익명으로 공유 데이터를 수집하는 식이다.

대표적인 업체가 애플이다. 애플이 곧 내놓을 비전 프로 헤드셋(Vision Pro)에는 카메라 12개, 센서 5개, 마이크 6개가 달려 있다. 하지만 눈동자 추적이나 홍체 인식 같은 민감한 사용자 데이터는 모두 암호화돼 기기에만 저장한다. 프라이버시에 대한 사용자의 우려를 의식한 조처다. 게비는 "애플 같은 업체의 움직임에 메타 등 경쟁사도 반응할 것이다. 즉, 프라이버시를 얼마나 중요하게 여기고 있는지를 사용자에게 적극 어필하려 할 것이다"라고 말했다. 메타의 호라이즌 워크룸(Horizon Workrooms) 플랫폼 담당 제품 책임자는 최근 인터뷰를 통해 업체의 가장 비싼 제품인 퀘스트 프로(Quest Pro)에서 사용자 프라이버시를 위해 얼마나 노력했는지 강조하기도 했다.
 

직장 내 프라이버시도 새로운 변수

VR 헤드셋의 프라이버시 문제가 불거질 수 있는 또 다른 공간이 바로 직장이다. 최근 몇 년 사이 여러 VR 헤드셋 업체가 기업 시장으로 눈을 돌리면서 최근에는 많은 기업이 직원 교육과 원격 지원에 VR 헤드셋을 활용하고 있다. 전반적인 도입률은 여전히 낮지만 업체들은 VR이 결국 직장 내 협업과 생산성 용도로도 쓰이기를 기대하고 있다.

하지만 가비에 따르면, 데이터 프라이버시 우려는 이런 기대를 물거품으로 만들 가능성이 있다. 그는 "직원들은 VR 기기를 프라이버시 침해로 느끼기 쉽다. 특히 많은 사람이 이미 유연 근무를 하고 있는 상황에서 가정 내에 카메라와 센서가 주렁주렁 달린 기기를 들이는 것에 대해 거부감을 가질 것은 명확하다"라고 말했다.

움직임 추적 데이터를 이용해 특정 개인을 식별할 수 있다는 것은 재택근무의 프라이버시 우려를 더 키우고 있다. 실제로 UC 버클리 연구에 따르면, VR 기기는 일과 생활의 경계를 모호하게 만든다. 연구팀은 "정기적으로 VR 시스템을 사용하는 직원이 있다고 하자. 그는 일과시간에 회사 계정으로 로그인해 회의에 참석하고 업무를 처리한다. 저녁이 되면 다른 계정으로 로그인해 멀티 플레이어 VR 게임을 즐기고 밤에는 또 다른 계정을 이용해 성인용 VR 경험을 누릴 것이다. 이런 상황에서 대부분 사람은 서비스 업체가 3개 계정이 같은 사람이라는 것을 식별하길 원치 않을 것이다. 하지만 사용자의 독특한 움직임만으로 제3자가 이 모든 계정이 동일인이라는 것을 알 수 있다"라고 설명했다.
 

보급 규모 늘수록 위험도 기하급수적으로 증가

과거 스마트폰과 클라우드 서비스가 처음 등장해 확산한 과정을 보면 많은 사람이 편의성을 위해 프라이버시를 기꺼이 양보했다. 그리고 VR에서도 결국은 비슷한 양상이 나타날 가능성이 크다. 가비는 "한때 직원들은 퇴근 이후에 스마트폰을 사용하지 않으려 했다. 카메라와 마이크가 내장된 기기인 데다, 스마트폰 때문에 근무 시간 이후에도 계속 업무에 연결되는 것을 싫어했다. 하지만 점차 모두가 근무 시간과 상관없이 스마트폰을 사용하게 됐다. VR도 비슷하게 흘러갈 것이다. 처음에는 거부감이 있겠지만 점차 경계심이 줄어들 것이다"라고 말했다.

기업 측면에서 아직은 데이터 프라이버시 위험이 제한적이다. 현재 VR을 도입한 기업 비율이 적기 때문이다. 구옌은 "기업용 VR 활용은 여전히 초기 상태이고 프라이버시와 보안에 대한 우려가 우세한 상황이다. 하지만 현재는 도입률이 미미해 잠재적인 위험이 크지 않은 상황이다. 하지만 기본적으로 스마트폰을 일부 직원에게 지급하는 것과 전사적으로 보급하는 것은 위험의 수준이 다르다. 양쪽 모두 보안 위험이 있지만, 보급 규모가 커질수록 위험은 기하급수적으로 증가한다"라고 말했다.
editor@itworld.co.kr