한국인터넷진흥원(KISA)는 IoT 기기의 취약점을 무료로 점검해주는 서비스를 지난 1일부터 시작했다고 27일 밝혔다. 기업, 개인을 대상으로 알려진 보안 취약점을 사전 점검해 사이버 공격을 예방하기 위한 취지다.

IoT 기기가 보안위협에 노출되는 원인은 다양하다. 그 중 네트워크 기기 자체 취약점, 취약점 업데이트를 하지 않은 경우, 비밀번호 변경 및 설정을 하지 않은 경우 등 사용자 관리 부재가 주 원인이다.

KISA는 국내외 공개된 취약점 정보를 수집해 데이터베이스(DB)화 한다. 수집된 기기정보, 취약점 DB 간의 연관성을 조회해 IoT 기기, 전산장비 등의 위협정보를 도출한다.

신규 취약점이 발견될 경우 이를 즉시 개발, 수정할 수 있다. 점검 이후에는 취약점 결과보고서를 제공해 기업과 개인에 조치 방법을 안내한다. 동의 하에 직접 현장 컨설팅도 제공하고 있다.

서비스는 신청한 개인, 기업을 대상으로 한다. 신청이 들어오면 네트워크 정보, 기기정보를 검토해 점검 가능한 환경인지 고려한 뒤, 서비스를 제공한다. 현재까지 개인, 기업 등 8건의 서비스 신청이 들어왔다. 본격적인 점검 활동은 이번 달 말부터 돌입한다.

다만 이 서비스의 경우, 업계의 적극적인 지원이 필요하다. 정보통신망법에 따라 사전에 동의를 받은 대상만 점검할 수 있기 때문이다. IoT 사용률이 폭발적으로 늘어날 전망인 가운데, 기업과 개인의 적극적인 지원이 필요하다고 KISA 측은 당부했다.

이와 달리 일본은 동의없이 IoT 취약점을 점검할 수 있는 한시적(5년) 허용 법을 시행 중이다. 국내에서도 IoT 취약점 점검 서비스를 의무화해야 한다는 의견은 꾸준히 나오고 있다. 하지만 자칫하면 규제로 작용할 수 있어 당국에서는 조심스러워하는 분위기다.

지승구 KISA 융합보안지원팀장은 “국내 정보통신망법에 따라, 동의없는 점검은 법률 위반 소지가 있다”며 “기업 등을 대상으로 IoT 취약점을 임의 점검을 할 수 있도록 과학기술정보통신부와 제도적인 한계를 보완할 계획”이라고 전했다.

KISA는 IoT 취약점 점검 서비스 홍보 활동을 강화할 계획이다. 유관기관, 협회, IoT 제조사 등을 홍보, IoT 관련 컨퍼런스 참여를 통한 현장 홍보 등을 펼칠 예정이다.

<홍하나 기자>hhn0626@ddaily.co.kr