[디지털데일리 최민지 기자] 정부가 사물인터넷(IoT) 보안을 향해 한 걸음 내딛었지만, 아직도 갈 길은 멀다.

미래부는 IoT 보안정책의 일환으로 지난 27일 IoT 공통 보안가이드를 발표하고 ‘IoT 보안 얼라이언스 정기회의’를 개최했다. IoT 보안 내재화 첫걸음으로 지난해 출범한 IoT 보안 얼라이언스는 제조사·서비스 제공자·보안업체 및 업계·학계·공공기관 등이 공동 참여하는 민간 자율 IoT 보안 관련 협의체다.

이제 시작 단계인 IoT 보안을 제대로 정착시키고 실효성을 거두려면 협의체에 참여한 관계자들만이라도 토론·토의를 통한 의견 수렴을 우선사항으로 꼽아야 한다. 형식적인 자리에서 벗어나야 한다.

일각에선 '보안이 지나치게 강조될 경우 IoT 산업발전이 저해된다'고 우려하고 있다. 저전력·저성능의 IoT 기기 특성상 보안 기능까지 포함시키면 성능 저하, 비용 증가 등을 감수해야 하기 때문이라는 게 이유다.

그러나 IoT 보안은 회피해야할 문제가 아니라 반드시 극복해야할 문제다. IoT 기기가 해킹당할 경우 사용자의 생명과 재산에 직접적 영향을 미칠 수 있기 때문이다. 다양한 분야에서 모인 협의체의 역할은 그래서 어느 때보다 크다.

IDC에 따르면 향후 2년 내 모든 IT네트워크의 90%가 IoT 기반의 보안 위협에 노출된다. 실제로, 시만텍의 보안대응팀 조사에 의하면 지난해 IoT 공격은 최고치를 기록했다. 사이버 공격자들은 보안 수준이 낮은 IoT 기기를 노려 디도스(DDoS) 공격도구로 사용하고 있었다.

올해 가트너는 2020년까지 식별된 기업 공격의 25% 이상이 IoT와 관련되고 IoT 보안예산은 전체의 10%에 미칠 것이라는 전망을 내놓았다.

이와 관련 각국에서는 IoT 보안을 위한 준비 마련에 한창이다. 세계이동통신사업자협회(GSMA), 클라우드보안국제협의체(CSA), 국제웹보안표준기구(OWASP), 일본 경제산업성 산하 정보처리추진기구(IPA) 등이 IoT 보안 가이드를 개발했다. 최근 미국 국토안보부(DHS)도 IoT 보안 기준을 마련했다.

이런 상황에서 한국에서도 기업이 IoT 제품 및 서비스를 개발할 때 보안요소까지 고려하게 하려면, 규제 또는 유인책이 필요할 수밖에 없다. 소비자의 선택에만 맡기기에는 아직 IoT 시장이 성숙되지 않았다. 경쟁구도가 제대로 형성되지 않은 만큼, 초기 판단이 중요한 때다.

아직 정부는 IoT 보안을 규제로 삼지 않았다. IoT 공통 보안가이드도 강행규정이 아닌 권고사항으로, 민간에서 자율적으로 판단해 참조하는 가이드라인이다.

지난해 미래부가 추진키로 했던 IoT 보안 인증제도도 재검토에 들어갔다. 글로벌 인증과 상호 호환성을 고려할 수밖에 없어 독자적인 인증제도를 고집하기 힘들어졌다. 이에 정부는 해외 추세 등을 살피며 IoT 보안 인증제도에 대해 다시 검토할 방침이다.

이런 가운데 IoT 기기를 제작 및 서비스하고, 연구하는 등 다양한 역할을 하고 있는 IoT 보안 얼라이언스 참여자들이 적극적으로 나서 IoT 보안 강화를 위해 실질적인 목소리를 내야만 한다. 침묵보다 행동으로, 문제제기와 구체적인 해결책을 논의할 수 있는 장이 필요하다.

<최민지 기자>cmj@ddaily.co.kr