미국서 첫 IoT 보안 강화 법안 통과...패스워드 설정 강제화

8월말 캘리포니아 주의회서 통과…2020년부터 발효

컴퓨팅입력 :2018/09/12 11:04

사물인터넷(IoT) 기기에 별도 패스워드 설정을 강제하는 법안이 미국 캘리포니아주 의회를 통과했다. 법안이 발효되면 인터넷에 연결되는 모든 IoT 기기는 공장 초기화 설정부터 고유 패스워드를 쓰든지, 최초 설정시 이용자에게 별도 패스워드 지정을 강제하도록 제조돼야 한다.

11일(현지시간) 미국 지디넷은 지난해 2월 IoT 기기의 패스워드 설정을 규제하는 내용으로 발의된 'SB-327' 법안이 캘리포니아 주의회를 통과해 주지사의 서명을 기다리고 있다고 보도했다. 이 법안은 미국에서 IoT 기기 보안을 다룬 최초의 법안이라고 덧붙였다.

보도에 따르면 8월말 주의회를 통과한 법안은 "커넥티드 기기 제조사는 기기에 합리적인 보안 기능을 갖춰야 한다"는 조항을 핵심으로 적용한다. 여기에 적힌 '합리적인 보안'의 개념은 모호하지만, 기기 인증(authentication) 절차를 다룬 조항에 더 구체적인 규정이 이어진다.

법안이 요구하는 인증절차는 "커넥티드 기기가 근거리통신망(local area network) 바깥에서의 인증용 수단을 갖추고 있다면 1. 기기가 사용하는 기본(default) 패스워드는 기기마다 고유하거나 2. 최초 설정시 이용자에게 직접 패스워드를 설정하도록 유도해야 한다"는 것이다.

2017년 2월 발의된 사물인터넷 기기보안 강화 법안이 2018년 8월말 미국 캘리포니아주의회에서 통과됐다. 기기 관리자계정 패스워드 처리방식의 조항을 다루고 있다. [사진=Pixabay]

이 조항의 적용대상은 캘리포니아 지역내 스마트TV나 가정용 인터넷공유기같은 홈IoT 기기를 들 수 있다. 제조사들은 동일 모델 기기라해도 각 제품마다 관리자 패스워드 기본값을 처음부터 다르게 만들거나, 그 펌웨어를 이용자가 직접 바꿔야만 쓸 수 있게 개발해 출하해야 한다.

이 조항의 목적은 악명을 떨치고 있는 IoT 악성코드 공격과 그에 감염된 봇넷의 피해를 예방하려는 것으로 이해된다. 인터넷에서 제품 매뉴얼을 통해 기본 관리자 계정과 패스워드 값을 확인할 수 있는 IoT 기기들이 봇넷 악성코드의 손쉬운 공격 표적이 돼왔기 때문이다.

하지만 보도는 법안을 분석한 한 보안 전문가 발언을 통해 새 IoT 기기 보안 관련 법안이 그 좋은 의도만큼 실효성을 거둘 수 없다고 비판했다. 현재 IoT 시장 상황에서 그리 효과적이지 않을뿐아니라 보안 관련 IoT 기기의 문제점을 수정해주는 것도 아니라는 지적이다.

로버트 그레이엄이라는 보안 전문가는 법안을 분석한 글에서 법안이 "보안 기능 추가에 대한 오해에 기반하고 있다"며 "사이버보안은 기능을 더하는 게 아니라 안전하지 않은 기능을 제거하는 것이 핵심"이라고 지적했다.

관련기사

그는 이어 "IoT 기기에선 웹 관리 영역의 수신 포트를 제거하고 (악성스크립트 작동을 허용하는) 크로스사이트 및 인젝션 문제를 해결해야 한다"며 "우리는 제품에 방화벽과 안티바이러스같은 임의 기능 추가를 원하지 않으며 이는 악의적 공격을 증가시킬 뿐"이라고 덧붙였다.

이 법안은 공공 및 민간 부문으로부터 강력한 반대 입장에 가로막히지 않고 제리 브라운 캘리포니아 주지사 서명을 받는다면 오는 2020년 1월 1일부터 발효된다.