인더뉴스 이진솔 기자ㅣ 사물인터넷(IoT) 기기는 스마트폰을 이용해 집 밖에서 편리하게 제어할 수 있다는 장점이 있다. 하지만 스마트폰이나 개인용 PC보다 보안에 취약하다. 지난해 11월에는 IP 카메라 2912대를 해킹해 영상을 불법 촬영한 일당이 경찰에 적발되기도 했다.
업계는 오는 2020년에 IoT로 연결되는 기기가 250억 대에 달할 것으로 전망하고 있다. 네트워크에 접속하는 문이 늘어난 만큼 도둑이 침투할 위험도 늘어난다. 특히 스마트시티처럼 행정분야에 IoT기술이 도입 보안에 따른 피해도 치명적으로 커진다.
IoT 분야는 기기가 너무 많은데다 개별 기기들이 보안에 취약하다는 문제가 있다. 또한 보안에 관심이 부족해 비밀번호 암호 등 기본적인 대응이 제대로 이뤄지지 않은 경우가 많다. IP 카메라 해킹 사고도 제품에 설정된 기본 비밀번호를 바꾸지 않아서 발생한 사건이다.
지난 5일 만난 신대규 한국인터넷진흥원(KISA) 융합보안단장은 “비밀번호를 바꾸지 않는 사람들에게 변경하라고 안내를 해주는것 만으로도 기본적인 보안 문제를 개선할 수 있다”며 “새로운 취약점이 나타났을 때 이에 대비한 패치를 제공하는 방법도 있다”고 말했다.
◇ 취약점 점검 시스템 활용한 인증 제도 시행..활성화되지 않은 상태
KISA는 자체적으로 개발한 IoT 취약점 점검 시스템을 도입했다. 점검에 동의한 기업이나 개인에게서 IoT 기기를 전달받아 직접 보안 취약점을 검증한다. 이 과정에서 드러난 문제점들을 기업에 전달해 보완하는 절차를 진행한다.
이를 활용하면 기본적인 보안 수준은 보장할 수 있다. 예컨대, IoT 기기를 구매하고 사용자가 비밀번호를 새로 설정하지 않으면 기기가 동작하지 않는 기능을 탑재하는 식이다.
모든 과정이 완료되면 인증이 부여된다. 기기에 따라 라이트(Lite)·베이직(Basic)·스탠다드(Standard) 등 세 가지 등급이 있다. 인증 수수료는 없다. 라이트 등급은 센서 등 소형기기에, 베이직 등급은 저사양 OS를 탑재한 중소형 제품을 대상으로 한다.
중대형 스마트가전기기는 스탠다드 등급 인증 대상이다. 인터넷 연결을 지원하는 냉장고가 여기에 해당한다. 인증은 3년 주기로 갱신해야 한다. 인증기준도 새로운 보안 위협이 등장할 때마다 높아진다. 인증받은 제품은 지난해 6개에 불과했지만, 올해 상반기에 4개가 추가됐다.
인증 제도는 아직 활성화되지 않았다. 인증을 받아 높아진 보안성이 사용자 불편으로 이어지는 경우도 있다. 대표적인 기기는 공유기다. 신대규 단장은 “공유기 업체가 비밀번호를 12자리 이상으로 높이자 사용자들 항의를 받은 사례가 있었다”라고 말했다.
◇ 주요 기업과 협력해 제도 활성화 모색..해외와 공유하는 방안도 고려
KISA는 제도 활성화 방안으로 ▲주요 기업기관과 업무협력(MOU) 강화 ▲해외 기관과 상호인증 등을 추진하고 있다.
우선 KISA는 인증제도 활성화 일환으로 지난 5일 KT와 ‘5G·융합 ICT 사이버보안 강화를 위한 업무협약’을 체결했다. 보안관련 기술 협력이 주요 내용이지만, KT가 지난 22일 문을 연 ‘융합보안실증센터’에서 인증받은 제품이 KISA에서 추가적인 인증을 획득하도록 하는 내용도 담겼다.
LH공사·SH공사와도 협력을 추진하고 있다. 건물에 들어가는 월패드·공유기 등 IoT 기기를 납품받을 때 KISA에 인증받은 제품을 사용하도록 권장하고 있다. 또한 인증제품에 가점을 부여해 납품을 쉽게 하는 방안도 고려하고 있다.
지난 3월 ‘스마트시티 추진계획’에서 오는 2022년까지 서울에 IoT 센서 5만 개를 설치하겠다는 목표를 밝힌 서울시와도 협력을 논의하고 있다.
KISA에서 받은 인증을 해외에서도 연동하는 방안도 고려하고 있다. 미국 일부 주에서는 IoT 기기 보안기능 확보가 의무화돼있어, 수출하려면 검증에 통과해야 한다. 해외 국가와 인증을 공유하면 수출에 필요한 부담을 덜고 KISA 인증제도도 확산할 수 있다.
◇ 국내법상 취약점 점검 확산 어려워..의무화보다 활성화 지향
IoT 취약점 점검 시스템이 퍼지기 어려운 제도적 한계도 있다. 정보통신망법 48조에 따라 동의를 받지 않은 취약점 점검은 법률 위반 소지가 있다.
해외에서는 보안 관련 정보 접근이 수월한 편이다. 지난해 11월 일본 정부는 취약점 점검이 목적인 경우 기기 접근을 허용하는 법안을 5년 한시적으로 시행했다. 이를 활용하면 기본 비밀번호를 사용하는 이용자를 점검 기관이 찾아내 변경을 권고할 수 있다.
신대규 단장은 “기업들이 인증을 염두에 두고 개발하는 형태가 될까 우려해 의무화보다는 활성화에 가닥을 잡고 있다”며 “보안 문제가 심각하게 대두되면 의무화를 고민하겠지만, 지금은 공공기관 납품 시 인증제품에 가점을 주는 형태로 활성화를 추진하고 있다”고 말했다.
