정부가 가정용 사물인터넷(IoT) 환경 보안에 초점을 맞춘 '홈·가전 IoT 보안가이드' 내용 일부를 발표했다. 지난해말 'IoT 소형 스마트 홈·가전 보안가이드'란 비슷한 제목의 문건과 별개다. 둘 다 미래창조과학부와 한국인터넷진흥원(KISA)이 작성해 배포했다.
동일한 정부 기관에서 제목상 대동소이해 보이는 보안 가이드를 왜 따로 만들었을까. 배경에 의문이 제기된다. 둘은 작성된 취지와 담긴 내용 등 관점과 성격이 다르다는 게 정부 측 설명이다.
2016년 12월자로 작성, 배포된 IoT 소형 스마트 홈·가전 보안가이드는 기업용 및 개인용으로 나뉜다. IP카메라, 홈컨트롤러, 도어락 등 가정내 소형 기기를 대상으로 한 보안 위협과 이를 예방하기 위한 보안 항목을 담았다.
이 가이드 '기업용' 문건은 제4장 '보안가이드 항목 해설서'를 통해 웹인터페이스 보안, 인증/허가 보안, 네트워크서비스 보안, 모바일 앱 보안, 펌웨어 보안, 업데이트 보안, 물리적 보안 등으로 보호대상 영역별 보안 조치 요령을 제시하고 있다.
가이드는 주로 기업과 개인들이 작년말 세계적으로 악명을 떨친 디도스(DDoS) 유발 악성코드 '미라이'처럼 가정 및 산업용 IoT 기기의 보안위협에 대응하는 요령을 제시하기 위해 만들어졌다. 제조사에겐 출시후 보안성을 고려하지 않은, 사용자에겐 관리가 허술한 IoT 기기와 관련된 주의를 환기하는 성격을 띤다.
그럼 18일 소개된 '홈·가전 IoT 보안가이드'는 어떨까. 우선 '소형' 가전이라는 표현을 쓰지 않았다. 가정용 스마트기기 전반을 다루는 내용이라 짐작할 수 있다.
■ 디도스→다양한 보안위협 대비로 확대
KISA 담당자의 설명에 따르면, 이 가이드는 미라이 악성코드 감염에 따른 디도스 등 과거 주목된 사례뿐 아니라 더 다양한 홈·가전 IoT 기기 및 서비스 대상 보안위협 시나리오에 대비케 한다는 취지로 작성됐다. 개발자와 제조사에게 폭넓은 사이버공격에 대응할 것을 주문하고 있다는 얘기다.
이런 홈·가전 IoT 보안가이드는 어떤 내용을 담았을까. 정부 발표에 따르면 가이드는 홈·가전 IoT 보안항목을 소프트웨어(SW) 보안, 물리적 보안, 플랫폼 보안, 인증, 암호화, 데이터보호 등으로 나누고 항목별 세부요구사항을 제시하고 있다.
가이드는 SW보안에선 ▲시큐어코딩 ▲알려진 보안취약점 점검 및 제거 ▲최신 서드파티 SW사용을 요구했다.
물리적 보안에선 ▲외부 인터페이스 접근 보안 ▲내부 디버그 포트 접근 보안 ▲부채널 공격 대응 ▲메모리 공격 및 역공학 공격 대응을 요구했다. 플랫폼 보안에선 ▲설정값 및 실행코드 무결성 검증 ▲안전한 업데이트 ▲감사기록을 요구했다. 인증에선 ▲인증 및 접근통제 ▲IoT디바이스간 상호인증을 요구했다.
암호화에선 ▲안전한 암호 알고리즘 사용 ▲안전한 암호키 관리 ▲안전한 난수 생성 알고리즘 사용을 요구했다. 데이터보호에선 ▲안전한 통신채널 ▲저장 및 전송 데이터 보호 ▲개인정보보호를 요구했다.
언뜻 보면 IoT 소형 스마트 홈·가전 보안가이드에서 다룬 내용을 일부 포함한 듯한 구성을 갖추고 있다. 하지만 KISA 정보보호산업본부 IoT혁신센터의 박창열 IoT보안기술팀장은 새로 발표한 보안가이드가 "소형 홈·가전뿐아니라 전반적인 가정용 IoT기기 범주에 대해 포괄적인 보안위협에 대비할 수 있는 내용을 담고 있다"고 강조했다.
■ 최종안은 이달말 배포 예정
다만 현재 이 가이드의 본문 내용을 앞서 배포된 소형 스마트홈·가전 보안가이드와 직접 대조할 수는 없다. 가이드의 최종 내용이 아직 확정되지 않았기 때문이다. 박 팀장에 따르면 가이드 최종판은 오늘 서울 서초구 더케이호텔 'IoT보안얼라이언스' 제4차 정기회의 자리에서 논의된 내용을 반영해 이달말께 완성, 배포될 예정이다.
정부 발표에 따르면 이번 홈·가전 IoT 보안가이드 내용은 지난해 9월 IoT보안얼라이언스가 만든 'ICT 융합제품·서비스의 보안 내재화를 위한 IoT 공통 보안 가이드' 내용을 바탕으로 만들어졌다. 홈·가전 분야 IoT 제품 및 서비스 개발자가 설계, 개발, 설치, 운영, 관리, 폐기 등 전주기에 걸쳐 발생할 수 있는 보안위협에 대응하기 위해 고려해야 할 기본적인 보안요구사항을 제시할 전망이다.
관련기사
- 미래부-KISA, 홈·가전 IoT 보안가이드 발표2017.07.18
- "IoT기기 먹통 만드는 악성코드 확산"2017.07.18
- 디도스 유발 악성코드 '미라이', 한국서도 발견2017.07.18
- 펜타시큐리티, 시큐리티플랫폼과 IoT보안 맞손2017.07.18
정부는 안전한 스마트홈 구현을 돕는다는 취지로 가이드를 발표했지만 여기에 담긴 내용은 권고사항이라 법적인 구속력을 갖지는 않는다. 기업이나 개발자에게 가이드에서 제시하고 있는 보안조치 관련 방법을 적용해야 한다는 의무는 없다. 이를 수행하지 않고 제품과 서비스를 만들어 향후 보안사고가 발생했더라도 민형사상 책임을 지진 않는다는 얘기다.
정부는 홈·가전 IoT 보안가이드 배포 이후에도 스마트팩토리, 스마트카 등 주요 IoT분야별로 구체적인 보안조치 요령을 담은 보안가이드 또한 작성해 배포할 예정이다.
