정부가 향후 사물인터넷(IoT) 보안인증제도 도입을 위해 홈·가전 IoT 기기를 대상으로 연말까지 보안인증을 시범 구현한다.

31일 정부 관계자들과 IoT 업계에 따르면, 한국인터넷진흥원(KISA)이 4월부터 12월까지 IoT 보안인증 시범 적용사업을 진행한다.

테크M이 입수한 KISA 내부 문건에 따르면, KISA는 4월부터 홈‧가전, 의료, 자동차, 제조, 에너지 등 IoT 5대 분야별 보안인증 항목을 도출하고 시험 절차와 방법을 개발하는 방안을 추진한다. 이를 위해 IoT 기술 관련 국제표준과 보안인증 프로그램 현황을 파악하고 미국, 영국, 일본, 중국 등의 보안대책도 참고할 방침이다. KISA는 IoT 보안인증 도입을 위한 법제도 개편방안도 분석한다.

KISA는 우선 홈‧가전 보안 가이드 개발과 보안시험항목 점검도구 개발(소프트웨어) 및 매뉴얼 제작에 주력할 계획이다.

KISA 관계자는 “IoT 보안인증을 준비하는 차원에서 올해 홈·가전 부문을 대상으로 보안점검 항목을 도출하고 시범적용해볼 계획”이라며 “곧 관련 사업 공고를 내고 보다 구체적인 내용을 밝힐 것”이라고 말했다.

최근 IoT 기술 적용이 확대되면서 IoT 기기에 대한 보안 문제가 함께 대두되고 있다. 지난해 9월 프랑스 호스팅 서비스 업체인 OVH는 초당 1.5테라비트(Tbps) 규모의 디도스 공격을 받았다. 그런데 이 공격에는 PC를 이용한 것이 아니라 CCTV, IP카메라 등 15만 대의 IoT 기기가 이용됐다. 또 10월 도메인네임서버(DNS)를 관리, 서비스하는 미국 기업 딘(Dyn)이 디도스 공격을 받았는데, 역시 IoT 기기를 이용한 공격으로 알려졌다. IoT 기기가 사이버공격 도구로 활용되고 있는 것이다.

전문가들은 IoT 기기를 대상으로 하거나 이용하는 다양한 공격이 발생할 수 있다고 보고 있다.

김학용 순천향대학교 교수는 “배터리를 사용하는 IoT 기기를 겨냥해 배터리가 방전되도록 하거나 IoT 기기의 인식 범위를 넘어서는 인식을 유도해 기기를 무력화할 수 있다”며 “IoT 랜섬웨어가 나타날 수 있으며 IoT 기기를 다른 기기를 감염시키는 매개체로도 활용할 수 있다”고 설명했다.

IoT 보안 문제는 국내에서도 현실로 다가오고 있다. KISA가 집계한 1분기 신고포상제 통계에 따르면, 전체 취약점 접수건수 696건 중 IoT 분야가 362건(52%)으로 1위를 기록했다. IoT 취약점이 가장 많이 발견되는 기기는 공유기(57%)였으며 IP카메라(17%), 네트워크스토리지(9%) 등이 뒤를 이었다.

이런 우려로 인해 미래창조과학부와 KISA는 수년 전부터 IoT 보안인증제 도입을 검토했다. 2015년 11월 미래부가 개최한 2회 사물인터넷 보안 얼라이언스 정기회의에서 IoT 보안인증이 논의됐다.

하지만 보안인증이 IoT 부문에 규제가 될 수도 있어 조심스러운 상황이다. IoT 보안인증을 일괄적으로 의무화할 경우 관련 기업들이 부담을 호소할 가능성도 있다. 

이에 정부가 올해 우선 홈‧가전 부문을 대상으로 시범 구현을 해보고 향후 확대하려는 것으로 해석된다. 연말 시범 구현 결과가 나온 뒤 내년에 보안인증 도입 논의가 본격화될 것으로 보인다. 일부 IoT 부문에 자율적으로 보안인증제를 도입하고 장기적으로 다른 IoT 분야로 확대하는 방안도 가능할 것으로 보인다.

보안인증 도입에 대해 김학용 교수는 “IoT 기기 개발과정에서 보안을 강화하고, 단순하고 일괄적인 IoT 기기의 초기 비밀번호 설정 문제 등을 우려해 인증을 추진하는 것으로 보인다”며 “IoT 기기는 사용자 데이터를 수집하고 이용하는 만큼 보안인증을 기술적인 시각에서만 접근할 것이 아니라 서비스 관점의 보안도 고려해야 한다”고 조언했다.

[테크M = 강진규 기자(viper@techm.kr)]