- 사물인터넷 보안 내재화를 위한 기본사항 7가지 제시

[디지털데일리 이유지기자] 국내 첫 사물인터넷(IoT) 민간 협의체인 ‘사물인터넷 보안 얼라이언스’가 출범했다.

미래창조과학부는 지난 19일 사물인터넷 제조업체, 서비스 제공자, 보안업체 등 업계와 학계, 공공기관 등 40여곳이 참여하는 ‘사물인터넷 보안 얼라이언스’ 발대식을 개최했다.

이 자리에서는 민간에서 자율적으로 사물인터넷 제품·서비스에 보안을 적용, 내재화할 수 있도록 ‘사물인터넷 공통 보안 7대 원칙(공통 보안원칙)’이 공표됐다.

사물인터넷 제품·서비스의 기획부터 설계, 개발 시점부터 배포·설치, 운영, 관리, 폐기에 이르기까지 전(全) 단계에 걸쳐 잠재적 보안 위협요소와 취약점을 자율적으로 점검해 보안을 내재화하는데 필요한 기본사항이 담겨 있다.

공통 보안원칙 첫째는 정보보호와 프라이버시 강화를 고려한 사물인터넷 제품‧서비스 설계해야 한다는 점이다. 보안취약점을 사전에 분석해 기술적 대응방안을 마련하는 한편, 보안의 3요소인 기밀성, 무결성·인증, 가용성을 고려해 사물인터넷 기기 및 정보의 오용을 최소화할 수 있는 보안방안을 설계단계부터 포함시켜야 한다.

다음은 안전한 소프트웨어 및 하드웨어 개발기술을 적용, 검증해야 한다는 점이다. 개발 단계에서 보안성을 담보하기 위해 시큐어 코딩을 적용하고, 보안성이 검증된 어플리케이션, 소프트웨어, 하드웨어 장치 등을 활용해야 한다.

셋째는 안전한 초기 보안 설정 방안 제공이다. 사물인터넷 기기·장치 및 서비스 설정시 보안이 기본설정 요건으로 준수될 수 있도록 보안설정 적용방안을 제공해야 한다.

넷째는 보안 프로토콜 준수 및 안전한 파라미터(매개변수) 설정이다. 표준 보안기술을 적용해 암호․인증 등을 구현해야 한다. 암호․인증을 위한 파라미터들도 안전하게 설정·구현해야 한다.

다섯째는 사물인터넷 제품·서비스의 취약점 보안패치 및 업데이트 지속 이행이 명시됐다. 관련 소프트웨어·펌웨어에 대한 취약점 보안패치나 안전한 업데이트가 지속적으로 이뤄질 수 있는 방안이 마련돼야 한다.

여섯째는 안전한 운영‧관리를 위한 정보보호 및 프라이버시 관리체계 마련이다. 사용자 정보의 취득부터 사용, 폐기까지 전 단계에 걸쳐 정보보호 및 프라이버시 관리 방안이 포함돼야 한다는 것이다. 설계단계에 마련된 기술적 대응방안과 더불어 클라우드 등의 서비스 구축시 적용되는 정보보호 관리 보안요소도 고려해야 한다는 점이 강조돼 있다.

마지막은 사물인터넷 침해사고 대응체계와 책임추적성 확보 방안을 마련해야 한다는 점이다. 사물인터넷 서비스에 구축되는 네트워크, 기기·센서, 플랫폼 등에 대한 침해사고 대비해 침입 탐지 및 모니터링을 수행하여야 한다. 또 침해사고 발생 이후 원인분석 및 책임추적성을 확보하기 위해 보안 및 서비스 로그기록을 주기적으로 저장·관리할 수 있어야 한다. 로그에 대한 무결성 및 안전한 저장 방안을 마련해야 한다는 점도 명시됐다.

<이유지 기자>yjlee@ddaily.co.kr