사물인터넷(IoT) 기기를 노린 사이버 위협이 확산되면서 IoT 제품을 보유한 개인, 기업이 알려진 보안 문제를 예방할 수 있는 공공 서비스에 관심이 쏠린다.
한국인터넷진흥원(KISA)은 'IoT 취약점 점검 시스템'과 'IoT 보안 인증 서비스'를 지난 5일 소개했다.
IoT 취약점 점검 시스템은 신청이 들어온 IoT 기기를 대상으로 취약점을 탐색할 수 있는 공공 서비스다. 인터넷 내·외부에 존재할 수 있는 보안 취약점을 파악한 뒤 정보를 전달, 보안 조치를 지원한다.
이 시스템을 활용, 일정 기준을 충족한 제품에 대해 KISA는 일정 수준의 보안 기준을 충족한 제품과 연동된 앱에 대해 인증 등급을 지정해주는 IoT 보안 인증 서비스를 시행하고 있다.
신대규 KISA 사이버침해대응본부 융합보안단장은 "기본 설정돼 있는 패스워드를 바꾸지 않아 IoT 카메라가 해킹되는 사례가 종종 있었다"며 "IoT 기기에 대한 취약점이 발견됐을 때 이에 대응하는 패치 안내를 하는 게 바람직할 것 같아 해당 프로그램을 시작했다"고 말했다.
■10개 IoT 제품 '라이트' 보안 인증 획득
IoT 보안 인증 서비스 인증 등급은 ▲라이트 ▲베이직 ▲스탠다드로 나뉜다.
라이트는 보안성 유지를 위한 최소한의 조치 내용을 담은 10개 항목으로 구성돼 있다. 펌웨어 기반 센서 등 소형 제품을 위한 등급으로, 인증받기까지 1주 이내의 시간이 소요된다.
베이직은 해킹 사고 등 알려진 보안 취약점을 방지할 수 있는 수준의 일반적인 보안 항목 23개를 평가해 받을 수 있다. 저사양 운영체제를 탑재한 중소형 제품을 위해 구성한 등급으로, 인증에 약 2~3주의 시간이 걸린다.
스탠다드는 중대형 스마트 가전 제품을 위한 등급으로 41개 항목을 평가받는다. 향후 국외 인증과의 상호 인정 가능성을 고려해 국제적으로 요구되는 수준으로 항목이 구성됐다. 인증에 약 4~5주의 기간이 소요된다.
작년 6개, 올해 상반기 4개 제품이 인증을 획득했다. 총 10개 IoT 제품이 상대적으로 인증 부담이 덜한 라이트 등급을 받은 상황이다.
신대규 단장은 "IoT 보안 인증 소요 기간은 취약점 점검과 탐지된 취약점에 대해 보안 조치까지 이뤄지는 것을 고려해서 안내하는 것"이라며 "취약점에 대해 사전 검증하고, 필요한 보안 조치를 취한 뒤에 인증을 신청하면 소요되는 시간은 줄어들 것"이라고 말했다.
인증 수수료는 무료다. 우편료 등 제반 비용만 신청인이 부담한다.
■업계 민감한 '인증 의무화' 대신 제품 평가 시 가점 반영 추진
KISA는 IoT 보안 인증 획득이 의무화돼 있지 않은 만큼 활성화 노력이 중요할 것으로 보고 있다.
이를 위해 통신사인 KT, 스마트시티 사업을 추진 중인 서울시, 주택을 공급하는 SH·LH공사와의 협력을 통해 IoT 기기 제조사의 자발적인 신청을 유도할 방침이다. 이들에 납품하는 제품 중 보안인증을 받은 경우 가점을 주는 식이다. KT와는 지난 5일 업무협약을 맺었다. SK텔레콤, LG유플러스와도 관련 협의를 진행 중이다.
신 단장은 "제도가 아직 활성화돼있지 않아 인지를 못하고 있는 경우도 현재 많고, 제도에 대해 알고 있어도 보안이 사용자 불편을 초래할 수 있는 만큼 인증을 받지 않는 경우도 있다"며 "인증을 의무화하는 게 가장 바람직하겠지만 규제에 민감한 만큼, 의무화 대신 제품 평가 시 가점을 주는 형태로 인증 제도를 활성화할 것"이라고 설명했다.
■신청된 IoT 기기만 보안 점검...일본은 전체 기기 점검 한시적 허용
시스템의 한계가 있다. 현행법 상 KISA 차원의 선제적인 보안 점검은 실행할 수 없다.
정보통신망법 48조는 정당한 접근 권한 없이, 또는 허용된 접근권한을 넘어 정보통신망에 침입하는 것을 금지하고 있다. 때문에 신청한 기기에 한해서만 IoT 취약점을 점검할 수 있다.
IoT 보안 사고가 나타나고 있는 만큼, KISA는 사고 예방을 위해서는 향후 임의로 기기 취약점을 점검할 수 있는 방안에 대한 제도 개선 논의가 필요하다는 입장이다.
일본의 경우 지난해 11월 IoT 취약점 점검 목적의 기기 접근을 한시적으로 5년간 허용하는 법제 개선을 시행했다.
국립 연구개발 법인 정보통신 연구기구(NICT)가 인터넷 상에 연결된 모든 자국 내 IoT 기기 약 2억여개에 대해 보안 취약점을 탐지하고, IoT 기기 가입자 정보를 관리하는 인터넷 서비스사업자(ISP)에 취약점 정보를 전달하면 이를 ISP가 이용자에게 암호 설정 변경을 요청하는 등 주의를 환기하는 식이다.
■신제품 대응 위한 'IoT보안인증위' 구성...인증 기기 재인증 유도
제도 개선 차원의 노력도 이뤄진다. KISA는 인공지능 스피커, 가상·증강현실 기기 등 신규 제품이 등장하고, 이에 따른 보안 이슈에 대응하기 위해 'IoT보안인증위원회'를 구성, 관련 보안인증 기준 개발을 검토할 예정이다.
관련기사
- 5G의 위험과 불만…보안과 공정2019.06.06
- 파이오링크-엔클라우드-솔텍인포넷, CCTV 사업 협력2019.06.06
- 아라드네트웍스, 우리넷과 IoT보안솔루션 공동개발 협약2019.06.06
- 거인 안랩도 신예 벤처도 '홈IoT 보안' 주목2019.06.06
보안인증서를 받은 제품도 3년마다 갱신하도록 하고, 재인증 시 인증 등급을 상향하도록 권고할 계획이다.
인증 기기에 대해서도 신규 취약점이 발생하면 신속히 대응할 수 있도록 긴급점검 또는 주기적인 업그레이드를 안내할 방침이다.
