보안에 관심있는 일반인 가운데 92%는 사용하고 있는 사물인터넷(IoT) 기기에서 언젠가 보안문제가 생길 것으로 예상한다는 조사 결과가 나왔다. 한국인터넷진흥원(KISA)이 지난 2~3월 일반인 564명 대상으로 진행한 IoT기기 보안위협인식도 설문조사 분석 내용 일부다.
KISA는 지난 20일 인터넷보호나라 웹사이트에 이런 조사결과를 담은 2018년 1분기 사이버위협동향보고서를 게재했다. 보고서는 1분기 위협동향, 전문가컬럼, IoT보안환경에 초점을 맞춘 설문조사 및 국내 환경 진단과 전문인력양성 방안을 짚은 이슈포커스, 글로벌 위협동향 등으로 구성됐다.
KISA는 지난 2월 23일부터 3월 27일까지 '실생활에서 사용되는 IoT기기 보안 실태 설문조사'를 실시했다. 실생활에서 개인이 IoT기기 보안에 얼마나 관심을 갖고 위협에 대처하는지 알아보고 대처하기 위한 의견을 수렴한다는 취지였다.
설문은 IoT기기 사용 현황 및 IoT보안 인식도, 안전한 IoT 기기 사용을 위한 활동 현황과 보안 위협 체감 정도, 안전한 IoT기기 사용을 위한 활동 현황과 보안위협 체감도, 3개 범주 9개 항목으로 구성됐고 564명이 응답했다.
■ "보안 관심 일반인 열에 아홉, IoT기기 보안 우려"
일반적인 사이버보안 관심도를 '전혀없음, 적음, 보통, 많음, 매우많음'으로 묻는 항목에 '많음'과 '매우많음'이라 답한 응답자가 458명(81%)이었다. '전혀없음' 응답자는 3명(0%)이었다. 이 조사 응답은 주로 "사이버보안에 최소한의 관심이 있는 사람" 기준이라 보는 게 적절하다는 얘기다.
◇사이버보안 관심도
KISA 측은 보고서에 "사이버보안에 최소한의 관심이 있는 응답자 92%는 향후 자신이 실생활에서 사용하는 IoT기기의 보안에 문제가 발생할 것으로 내다봤다"고 지적했다. 이 문항에 '전혀 문제 안 됨' 8명(1%), '별로 문제 안 됨' 43명(7%), '보통' 134명(23%), '상당히 문제됨' 216명(38%), '매우 큰 문제됨' 163명(28%)이 각각 답했는데, 상당수가 IoT기기 보안문제 우려를 드러낸 셈이다.
응답자 86%는 실생활에 1~5개 IoT기기를 사용중이었다. 이 문항에 '0개' 35명(6%), '1~2개' 258명(45%), '3~5개' 235명(41%), '6~9개' 30명(5%), '10개 이상' 6명(1%)이 각각 답했다. 즉 응답자 94%가 적어도 1개 이상의 IoT기기를 사용 중이었다.
응답자의 IoT기기 활용도는 유형별 편차가 컸다. 최다 활용 품목은 403명(71%)이 쓰는 '가정용 인터넷공유기'였다. 그리고 '도어락(출입문)' 314명(55%), '스마트가전(에어컨, 세탁기, 냉장고)' 192명(34%), '인공지능 스피커' 158명(28%), '스마트밴드' 128명(22%) 순으로 사용중이라고 답했다.
이밖에 '스마트홈제어(전기, 수도, 온도)' 81명, '홈카메라' 64명, '애완동물 관련(자동배식기 등)' 12명, '세그웨이' 7명이였다. '기타'로 분류되는 품목을 20명이 사용중이라 답했다. 무응답자가 34명이었다. KISA 측은 다른 스마트기기 대비 홈카메라 품목의 활용도(11%)가 낮게 나타난 배경을 "있다른 해킹 사고의 여파"로 추정했다.
◇IoT기기 활용도
■ "넷 중 한사람은 2개월마다 IoT기기 관리자 화면 접속"
KISA는 설문을 통해 보안과 밀접한 관련이 있는 IoT기기 관리 점검 현황도 파악했다. 보안에 관심이 있는 일반인들은 전반적으로 IoT기기에 보안 우려가 큰 만큼 관리에 신경을 쓰는 경향을 보였다.
실생활에 IoT 기기를 사용하면서 최근 1년간 기기의 '관리자 화면'에 1번 이상 접속한 응답자가 451명(80%)이었다. 그중 1년간 6번, 즉 2개월에 1번꼴 이상으로 접속한 응답자도 143명(25%)에 달했다.
다만 일부 응답자들은 실질적인 보안 효과를 달성하는데 어려움을 겪는 것으로 나타났다. IoT 기기의 관리자 화면 접속시 어려운 정도를 묻는 문항에 74명(16%)이 '어려움 이상(어렵다+매우어렵다)'으로 답했다.
응답자의 보안 관심이 실질적인 보안효과를 높이기 위한 IoT기기 관리 작업의 실행으로 이어지지 않는 경우도 있었다. 1년간 기기의 암호 변경 빈도를 묻는 문항에 191명(33%)이 '0번'이라 답했다. 또 같은기간 기기의 보안업데이트 수행 빈도를 묻는 문항에도 170명(30%)이 '0번'이라 답했다.
◇IoT기기 보안 업데이트 수행 빈도
KISA 측은 보안업데이트가 '매우 쉽다'고 답한 응답자가 40%에 달한 점을 지적하며 그 배경으로 "자동 업데이트(기능)의 존재"를 꼽았다. 보고서에 "응답자들에게 보안 업데이트는 암호 변경 같은 작업보다는 상대적으로 훨씬 쉽다고 평가되고 있다"고 설명했다.
■ "실생활 보안 관련 KISA에 정책적 역할 원해"
설문은 응답자들에게 실생활 보안을 위해 IoT기기에 추가되길 바라는 기능 또는 원하는 점이 뭔지 물었다. KISA 측이 해당 주관식 문항을 복수응답 방식으로 해석한 결과, 응답자 74명은 '자가진단, 통합관리도구 등을 통한 업데이트, 관리 편의성 제공'을 원했다. 69명은 '로그인, 침해사고 감지 및 알림 기능'을 원했다. 67명은 '자동, 강제 보안 업데이트'를 원했다. 52명은 '취약점, 업데이트 알림 기능'을 원했다. 50명은 '지문, 생체인증 등을 통한 인증 강화'를 원했다.
관련기사
- MS, IoT기기용 리눅스 '애저 스피어' 공개2018.04.24
- 한국 집중 공격한 랜섬웨어 복호화 툴 등장2018.04.24
- 삼성전자, 오픈소스 취약점분석 자동화했다2018.04.24
- 시스코 "IoT 기기 보안, 제품 만들때부터 챙겨야"2018.04.24
설문은 응답자들에게 KISA에게 기대하는 역할도 물었다. KISA 측이 해당 주관식 문항을 복수응답 방식으로 해석한 결과, 응답자 82명은 '개인점검, 관리지원도구 제공'을 원했다. 72명은 '인식제고, 홍보'를 원했다. 49명은 '취약점 알림 및 업데이트 지원'을 원했다. 46명은 '가이드라인, 정책, 보안기준 마련'을 원했다.
KISA 측은 위 두 문항을 분석한 결과 "인식제고와 홍보를 '필요한 사항'으로 여기는 응답자는 7%였지만 이를 KISA에게 바란다는 응답자는 21%였고 이(응답자 경향)는 '가이드라인, 정책' 부분에서도 비슷하게 나타났다"며 응답자들이 "점검 도구, 취약점 알림, 업데이트 지원 못지 않게 정책적인 부분을 KISA에 바라는 것으로 나타났다"고 봤다.