정부는 IoT 보안얼라이언스와 산·학·연 전문가들과 제품 설계단계부터 보안성을 확보하기 위한 IoT 보안가이드를 산업별로 세부화하고 있다. 이번 홈·가전 IoT 보안가이드는 가정용 IoT 산업을 위한 보안 안내서로, 최종안은 이달 말 발표된다.

전세계 IoT 보안시장 규모는 내년 5억4700만달러로, 23.7%가량 증가하고 있다. 2020년 보안공격의 25% 이상이 IoT와 관련돼 있다는 전망도 나온다. IoT 공격에 따른 피해액은 2015년 13조4000억원에서 2020년 17조7000억원으로 늘어날 것으로 예상된다.

이런 상황에서 정부가 민간과 앞장서 IoT 보안가이드를 마련하는 노력은 긍정적으로 평가된다. 그러나 실제 시장에서 보안가이드를 지킬 수 있는 환경과 기반이 갖춰졌는가는 또 다른 문제다. 보안가이드는 말 그대로 안내서일 뿐, 법적 강제성은 없다.

현장에서 체감하는 IoT 시장은 수익측면에서 아직 기대에 미치지 못하고 있고 중소·영세 제조기업들이 상당수를 차지한다. 보안기능을 넣을수록 가격은 비싸지고 제품은 무거워진다. 이들이 강제성도 없는 안내서에 따라 각종 부담을 떠안으며 보안강화에 나설지에 대해서는 회의적인 시각이 많다.

◆자발적으로 따라라? IoT 보안가이드, 누가 지키나=이와 관련 미래창조과학부와 한국인터넷진흥원은 지난 18일 보안 얼라이언스 제4차 정기회의를 열고 홈·가전 IoT 보안가이드에 대한 의견을 수렴했다. 이날 참석자들 또한 보안가이드 실효성에 대한 우려를 제기했다.

한 보안업계 관계자는 “강제적으로 반드시 보안요건을 충족시켜야 한다는 조건이 담보되지 않으면, 과연 누가 자율적으로 하겠느냐”라며 “IoT 성장에 대한 체감이 되지 않은 상황에서 보안기능을 넣으면 제품원가가 상승하게 되고 버그·장애에 대한 리스크 비용도 감당해야 하는데, 중소·영세기업들은 이러한 부담을 감수하고 가이드를 따르겠느냐”고 지적했다.

IoT 기기는 스마트TV, 스마트냉장고 등 가전제품도 있으나 전구·도어락·센서 등 소형가전도 상당수 차지하고 있다. 이러한 제품을 제조하는 IoT 기업들은 중소·영세 규모다. 저전력, 경량화, 저비용의 장점을 끌고 가야 하는 상황에서 보안기능을 추가하게 되면 제품자체가 무거워지고 비싸질 수밖에 없다.

이 관계자는 “중소기업 제조사들이 주로 스마트홈과 관련해 이 IoT 보안가이드를 참조할 텐데, 보안을 공부한 사람들만 알 수 있을 정도로 자세하고 원론적이라 안 그래도 보안기능 도입에 주저하는 기업들이 자율적으로 적용하기 어려울 것”이라며 “필수적인 요건을 선정해 우선순위를 정하고 최대한 이해하기 쉽고 간략하게 설명해야 한다”고 제안했다.

이날 정기회의에 삼성전자·LG전자 등 대형 제조사를 비롯해 IoT 관련 제조사들이 참여하지 않은 점도 실효성 논란에 불을 지폈다. 정작 가이드라인의 대상이 되는 제조사에서 참석하지 않아 실질적인 의견을 들을 수 없었다는 지적이다. 현재 삼성전자와 LG전자는 보안 얼라이언스에 참여하지 않고 있다.

이와 관련 미래부 측은 “민간 중심의 IoT 보안 협의체로, 자발적으로 참여하는 형태”라며 “이날 정기총회에 주요 제조사가 오지 않은 것은 사실이며, 추후 삼성전자와 LG전자가 참석할 수 있도록 노력할 예정”이라고 전했다.

또 다른 업계 관계자는 가이드 자체가 보안사고 발생 때 기업의 면피 수단으로 악용될 수 있다고 우려했다.

이 관계자는 “보안 가이드라인은 최소한의 보안 수준을 제시하는 것인데, 이것만 따르면 된다는 기업들의 인식이 있다”며 “보안사고가 발생해도 가이드라인을 준수했으니 잘못 없다며 면피의 수단으로 삼을 수 있다”고 꼬집었다.

◆홈·가전 IoT 보안가이드, 어떤 내용 담겼나=이번에 정부가 공개한 홈·가전 IoT 보안가이드는 ▲디바이스별 주요 보안위협 ▲디바이스 유형별 보안항목 ▲소프트웨어·물리적 보안항목 및 대응방안 ▲인증·암호화·데이터보호·플랫폼 보안 등을 담았다.

소프트웨어 개발 보안의 경우, 홈·가전 IoT 디바이스 소프트웨어(애플리케이션) 개발 때 보안 취약점 원인이 내포되지 않도록 안전하게 개발해야 한다. 이를 위해 시큐어코딩을 적용, 설계단계부터 보안가이드 보안항목을 고려해 제품을 만들어야 한다. 제품에 존재하는 보안취약점을 점검해 제거하고 최신 보안패치가 적용된 소프트웨어를 사용해야 한다.

물리적 보안은 외부에 노출된 인터페이스, 내부 디버깅 포트의 보안 취약점과 주요 정보저장 부품의 악의적 접근을 막아야 한다. 이를 위해 내·외부 입출력 포트 비활성화 및 외부기기 조작 확인, 분해방지 메커니즘 등을 통해 물리적 인터페이스를 차단한다. 플랫폼 보안에서는 ▲설정값 및 실행코드 무결성 검증 ▲안전한 업데이트 ▲보안기능이 구현된 IoT 디바이스에 대한 감사기록을 요구했다.

이와 함께 홈·가전 IoT 보안가이드에서는 비인가된 사용자에 의한 IoT 제품 제어를 방지하기 위해 안전한 인증 프로토콜 사용을 요청했다. 제품 초기 인증번호 변경을 강제하도록 하고, 관리서비스 또는 민감정보에 접근 때 사용자 인증을 수행하도록 했다. 또, 인증정보를 보호하기 위해 비밀번호를 하드코딩하지 않고 평문으로 저장하면 안 된다. IoT 디바이스 간 상호인증도 이뤄져야 한다.

암호화의 경우 ▲국내·외에서 권고하는 암호 알고리즘 사용 ▲암호키 관리 ▲안전한 난수 생성 알고리즘 사용을 권고했다. 데이터보호 측면에서는 ▲중요데이터에 대한 도청 및 위변조 방지를 위한 안전한 통신채널 제공 ▲인가된 사용자 구분 위한 세션 관리 ▲정보의 기밀성·무결성 보장 ▲공격 대응을 위한 수준별 보안기법 적용 ▲메모리 공격 및 역공학 공격 대응 ▲중요데이터, 비인가 접근·변경으로부터 보호 ▲개인정보보호 등을 구현하도록 했다.

송정수 미래창조과학부 정보보호정책관은 “산업별로 이해관계가 다르고 개발사, 제조사, 서비스사, 이용자 간 의견이 다르기 때문에 지혜를 모아야 한다”며 “정부가 처음부터 강제하지 않고 시장에서 먼저 해결할 수 있도록 해야 하고, 논의를 지속해야 한다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr