[디지털데일리 최민지 기자] 사물인터넷(IoT) 제품과 서비스의 기본적인 보안성 확보를 지원하기 위해 ‘IoT 공통 보안가이드’가 마련됐다.

27일 미래창조과학부(장관 최양희, 이하 미래부)는 서울 중구 프레스센터에서 ‘IoT 보안 얼라이언스 제3차 정기회의’를 열고 IoT 공통 보안가이드를 발표한다고 밝혔다.

IoT 공통 보안가이드는 지난해 6월 마련한 ‘IoT 공통보안 7대 원칙’을 구체화한 것으로 제품·서비스 개발자 등이 설계 때부터 보안성 확보 등을 위해 참조할 수 있는 보안 안내서다.

미래부에 따르면 IoT 공통 보안가이드는 ‘IoT 보안 얼라이언스’ 및 산·학·연 전문가가 참여해 민간 주도로 개발됐다. IoT 기기의 생명주기를 기준으로 15가지 보안 요구사항과 기술 및 관리적 권고사항을 자세히 담고 있다.

IoT 공통 보안가이드 15대 요구사항을 살펴보면, 정보보호와 프라이버시 강화를 고려한 IoT 제품·서비스를 설계해야 한다. IoT 장치의 특성을 고려해 보안기능의 경량화를 구현하고 IoT 서비스 운영환경에 적합한 접근권한 관리 및 인증, 종단 간 통신보안, 데이터 암호화 등의 방안을 제공할 것을 권고했다.

소프트웨어 보안기술과 하드웨어 보안기술의 적용 검토 및 안전성이 검증된 보안기술을 활용하고, IoT 장치 및 서비스에서 수집하는 민감 정보(개인정보 등) 보호를 위해 암호화·비식별화·접근관리 등을 조치해야 한다.

IoT 서비스 제공자는 수집하는 민감 정보의 이용목적 및 기간 등을 포함한 운영정책 가시화 및 사용자에 투명성을 보장해야 한다.

미래부는 안전한 소프트웨어 및 하드웨어 개발기술 적용·검증을 위해 소스코드 구현단계부터 내재될 수 있는 보안 취약점을 사전에 예방하고자 시큐어 코딩을 도입할 것을 권했다. 또한 보안 취약점 점검 수행과 보안패치 방안을 구현하고 펌웨어·코드 암호화, 실행코드 영역제어, 역공학 방지 기법 등 다양한 하드웨어 보안기법을 적용해야 한다.

아울러, 안전한 초기 보안 설정 방안을 제시해야 한다. IoT 장치 및 서비스 (재)설치 시때 보안 프로토콜들에 기본으로 설정되는 파라미터 값이 가장 안전한 설정이 될 수 있도록 ‘시큐어 바이 디폴트(Secure by Default)’ 기본원칙을 준수해야 한다.

보안 프로토콜을 준수하고 안전한 파라미터(매개변수)를 설정하는 것도 필요하다. IoT 제품·서비스의 취약점 보안패치 및 업데이트를 지속적으로 이행하고, 보안 취약점 발견 때 이에 대한 분석 수행과 보안패치를 배포하는 등 사후조치를 해야 한다.

IoT 장치·서비스에 대한 보안취약점 및 보호조치 사항은 홈페이지와 SNS 등을 통해 사용자에게 공개한다. 최소한의 개인정보만 수집·활용될 수 있도록 개인정보보호정책 수립 및 특정 개인 식별정보의 생성·유통을 통제할 수 있는 기술적·관리적 보호조치를 해야 한다. 보안 침해사고에 대비해 침입탐지와 모니터링을 수행하고, 로그기록의 주기적 저장·관리도 시행해야 한다.

미래부는 이 가이드가 IoT 제품·서비스에 대한 종합적인 보안 체크리스트 기능을 수행함으로써 IoT 산업, 특히 인력·기술이 취약한 중소기업의 경쟁력 강화에 도움이 될 것으로 기대했다.

이날 회의에서는 한화S&C와 SK인포섹이 대기업의 IoT 보안 스타트업 지원현황 및 계획을 소개하고, 우수 융합보안 제품을 보유한 스타트업이 자사의 제품을 소개하는 등 대기업과 스타트업의 공존방안에 대해 논의하는 시간을 가질 예정이다.

송정수 미래부 정보보호정책관은 “IoT 공통 보안가이드를 통해 사물인터넷․융합산업의 지속성장을 위한 기본적인 안전판이 확보된 만큼 가이드 활용을 당부한다”며 “미래부도 최근 급속히 확산되고 있는 ICT 융합산업의 발전 속도에 맞춰 보안성 강화를 위한 정책을 적극적으로 추진해 나갈 예정”이라고 말했다.

<최민지 기자>cmj@ddaily.co.kr