과학기술정보통신부(장관 유영민, 이하 과기정통부)와 한국인터넷진흥원(이하 KISA)은 이달 말 IoT 보안 인증서비스를 시행하고, 이에 대비한 설명회를 오는 15일 개최한다고 12일 밝혔다.

IP카메라를 해킹해 사생활을 침해하는 몰래카메라로 악용되는 등 관련 사건이 사회 문제로 대두되면서 IoT 보안 강화에 대한 요구가 증가하고 있다. 대통령 공약 사항 중 하나였던 몰래카메라 대책. 처음에는 안경, 펜과 같은 형태를 갖춘 소형 카메라에 집중했다면 이제는 IP카메라 해킹문제 또한 전면에 부상하게 됐다.

IP카메라와 같은 IoT 기기를 악용해 보안 위협을 가하는 상황에서, 소비자가 더 안전하고 믿을 수 있는 제품을 가려낼 수 있는 방법 중 하나로 IoT 보안 인증서비스가 실시된다. 보안성을 갖춰 신뢰할 수 있는 제품에 대해 인증마크를 부여하겠다는 것이다.

◆보안 갖춘 IoT 제품에 인증 마크 내준다=이달 말 실시되는 IoT 보안 인증서비스는 IP카메라 해킹 등과 같은 IoT 기기 악용 상황에서 일정 수준 이상의 보안성을 갖춘 제품을 가려내는 제도다.

과기정통부와 KISA는 급속도로 확산되는 IoT 제품과 연동 모바일 앱에 대해 일정 수준의 보안을 갖췄는지 시험해 기준 충족 때 인증서를 발급키로 했다.

IoT 공통보안가이드, 홈·가전 IoT 보안가이드 등 주요 보안가이드에서 제시했던 보안 요구사항을 바탕으로 ▲인증 ▲암호 ▲데이터보호 ▲플랫폼보호 ▲물리적보호 5개 영역에 대해 평가한다.

IoT 보안인증은 IoT 제품의 다양한 유형과 인증 수요를 반영해 라이트와 스탠다드, 2개의 등급으로 구분해 시행한다. 라이트(Lite) 등급은 해킹사례 등이 많은 주요 보안취약점을 개선할 수 있도록 핵심 보안항목 중심으로 시험·인증하며 단순기능 제품 등에 적합하다. 스탠다드((Standard) 등급은 국제적으로 요구되는 수준의 종합적인 보안항목으로 시험·인증한다.

평가항목은 초기 비밀번호 무작위 대입 공격으로 인한 IP카메라 사생활 정보 유출, 데이터를 도청하는 스니핑 공격을 통한 중요정보 탈취 등 주요 해킹 위협에 대한 보안성이 강화되도록 구성됐다.

몇 가지 인증기준으로 관련 효과를 예상해보면, 우선 기기의 인증정보는 유일한 값으로 설정하고 처음 기기를 사용할 때 초기 인증정보를 변경하도록 요구하고 있다. IP카메라, 월패드 등 주요 IoT 제품의 경우 초기 비밀번호를 최초 사용 때 필수적으로 변경하도록 해 해킹이나 디도스(DDoS) 공격에 사용되는 것을 방지 가능하다.

기기 간 전송되는 중요한 정보는 암호화해 전송하고, 통신 채널 생성 때 안전한 보안 모드를 사용해야 하는 점도 인증기준 중 하나다. 이를 통해 IoT 제품에서 전송되는 중요정보가 외부로 유출되거나 무단 원격제어에 활용되는 것을 막을 수 있다.

인증서비스는 민간 자율의 임의인증으로 이달 말부터 시행할 계획이며, 통신사, IoT 기업, 공공기관 등과 협력해 이용확산을 추진할 예정이다. 또한 시행 초기 인증 수요를 확보하고 업계의 부담을 완화하기 위해 당분간 무료로 인증서비스를 제공한다. 인증을 받고자 하는 기업은 판교 스타트업 캠퍼스 내 ‘IoT 보안테스트베드’에 신청하면 된다.

송정수 과기정통부 정보보호정책관은 “기업은 사물인터넷 제품의 보안성을 향상시키고, 이용자는 보다 안전한 제품을 선택할 수 있는 정보를 가지게 됨으로써 사이버위협으로부터 안전한 사물인터넷 이용환경을 조성하는데 많은 도움이 될 것”이라고 말했다.

◆연내 IP카메라 해킹 특단조치 발표=이와 함께 IP카메라 해킹을 방어할 수 있는 구체적 대안도 나온다. 최근 유영민 과기정통부 장관은 IP카메라를 시작으로 일상생활 안전을 위협할 우려가 있는 사물에 대한 보안조치 강화를 주문했다.

IoT 보안 인증서비스가 대책 중 하나로 꼽히며, 여기서 더 나아가 IP카메라에 대한 생산, 유통, 이용 등 단계별로 보안성을 강화할 수 있는 특단의 조치를 조만간 밝힐 예정이다. 특히, IP카메라 해킹 문제는 유영민 장관이 직접 챙기겠다고 언급한 사안이다.

최동원 과기정통부 사이버침해대응과장은 “제조, 수입, 유통 단계 등에서 안전한 제품이 소비자에게 갈 수 있도록 하는 방안이 필요하다”며 “IoT 대표 사례인 IP카메라는 영상정보를 모으고 있는 만큼, 악용될 경우 국가 주요시설을 포함해 전반적인 위험요소가 될 수 있다”고 말했다.

사실, IP카메라의 상당수는 중국산 등 외산이 차지하고 있다. 정부에서 수입 및 유통까지 보안을 이유로 제지할 수 있느냐는 무역·외교 측면에서 마찰 가능한 위험 소지가 있다.

특정 제도를 도입해 보안을 이유로 제품 유통을 걸러내는 행위는 무역장벽을 세우는 것으로 판단할 수 있는 만큼 투명성을 갖춰야 한다는 지적이다.

김승주 고려대학교 정보보호대학원 교수는 “IoT 보안 인증을 실시할 때 그 기준과 집행 방식이 투명해야 한다”며 “국제표준을 준용하거나, 이제 상응할 정도로 통용돼야 하며 폐쇄적으로 운영하면 안 된다”고 강조했다.

이어 “평가를 빌미로 제품을 걸러내는 것을 무역장벽으로 보고 보복조치가 들어올 수 있기 때문”이라며 “해외에서는 보안성 인증을 통해 무역장벽을 세우는 것은 위험한 행동으로 보고 있는데, 보안을 이유로 제품을 거부하는 것을 기술장벽으로 볼 수 있다”고 설명했다.

이에 과기정통부는 통상조약까지 모두 고려한 방안을 모색하고 있고, 경찰청, 방송통신위원회, 국가정보원 등 관계부처와의 협업을 통해 구체적인 정책을 연내 발표하겠다는 방침이다.

<최민지 기자>cmj@ddaily.co.kr