앞으로 사물인터넷(IoT) 보안강화를 위해 제품, 서비스를 설계하는 단계에서부터 정보보호, 프라이버시 보호를 강화하고, 안전한 소프트웨어, 하드웨어 개발기술을 적용, 검증하는 등 원칙을 준수해야 한다.
19일 미래창조과학부가 서울 서초구 팔래스호텔에서 개최된 사물인터넷 보안 얼라이언스 발대식 및 정책간담회에서는 정부가 추진 중인 '정보보호 로드맵 3개년' 시행계획에 따라 마련된 사물인터넷 공통보안 7대 원칙이 발표됐다. 7대 원칙은 규제가 아닌 가이드라인이다.
먼저 정보보호와 프라이버시 강화를 고려한 IoT 제품, 서비스를 설계해야한다. 이를 통해 제품, 서비스의 보안취약점을 사전 분석해 기술적 대응방안을 마련해 설계시 적용하는 것을 원칙으로 한다.
두번째는 안전한 소프트웨어 및 하드웨어 개발기술 적용 및 검증해야한다. 개발단계에서 보안성을 담보하기 위해 시큐어코딩을 적용하고, 보안성이 검증된 애플리케이션, 소프트웨어, 하드웨어 장치 등을 활용할 필요가 있다.
세번째로 최근 문제가 되고 있는 무선인터넷공유기 해킹 등과 같은 문제를 사전에 방지하기 위해 안전한 초기보안설정방안을 제공해야 한다. IoT기기에 대해 장치, 서비스 설정시 보안을 기본설정요건으로 준수될 수 있도록 보안설정을 적용할 필요가 있다는 설명이다.
네번째는 보안 프로토콜 준수 및 안전한 파라미터(매개변수)를 설정해야한다. 표준 보안기술을 적용해 암호, 인증 등을 구현하고, 이를 위한 파라미터들을 안전하게 설정, 구현할 수 있도록 해야한다는 것이다.
다섯번째로 IoT 제품, 서비스에서 발견된 보안취약점을 해결하기 위한 보안패치, 업데이트가 지속적으로 이뤄질 수 있도록 소프트웨어, 기기의 펌웨어에 대한 업데이트 방안을 마련해야 한다.
관련기사
- 시스코 "한국정부 IoT 육성정책 균형 필요"2015.06.19
- 사물인터넷 시대, 정보보안 스타트업 육성한다2015.06.19
- 시스코 차기 CEO의 숙제... 'IoE 확산' 해법은?2015.06.19
- 표준 상관없이 IoT 기기 연동 가능해졌다2015.06.19
여섯번째로 안전한 운영, 관리를 윟 정보보호와 프라이버시 관리체계를 마련해야 한다. 사용자 정보 취득-사용-폐기 등 전 단계에 걸쳐 정보보호 및 프라이버시 관리 방안이 포함돼야 한다는 것이다.
끝으로 IoT 침해사고 대응체계와 책임추적을 확보할 수 있는 방안을 마련해야 한다. IoT서비스에 구축되는 네트워크, 기기/센서, 플랫폼 등에 대해 침해사고에 대비한 침입탐지 및 모니터링이 수행돼야 한다. 관련 보안 로그를 주기적으로 저장, 관리해야하며, 로그에 대한 무결성 및 안전한 저장방안이 마련돼야 한다.