KISA "IoT 보안, 사후약방문 피해야"

IoT융합보안혁신센터, IoT보안인증서비스로 보안내재화 확산 강조

컴퓨팅입력 :2018/11/05 14:19

"사물인터넷(IoT) 도입 후 정보보호에 문제가 생길 경우, 사후 보안조치가 불가능하거나 높은 비용을 수반하게 된다. 다양한 IoT 서비스를 포함한 스마트시티가 구축되려면 보안을 내재화할 필요가 있다."

한국인터넷진흥원(KISA) 이성재 IoT융합보안혁신센터장은 최근 IoT 서비스 확산에 따라 보안 내재화의 중요성을 강조했다. IoT 서비스 보안 문제는 사이버 세계의 정보유출과 금전피해, 물리적 세계의 시스템 장애와 인명 피해 위험을 야기할 수 있다는 이유에서다.

센터는 지난해 11월부터 민간 제품 대상으로 IoT보안인증서비스를 제공하기 시작했다. 인증은 IoT 기기와 그에 연동되는 모바일 앱의 인증보안, 암호, 데이터보호, 플랫폼보호, 물리적보호, 5가지 영역 평가로 부여된다. 평가기준은 라이트(lite)와 스탠더드(standard), 2단계다.

IoT기기 사용환경에선 보안에 사후대처하기보다 보안내재화를 통한 대비가 중시된다. KISA IoT융합보안혁신센터는 IoT보안인증서비스로 보안내재화 확산을 강조하고 있다. [사진=Pixabay]

이성재 센터장은 "서비스를 작년 11월 자율인증으로 시작해 누구나 받을 수 있도록 지원하고 있다"며 "인증 활성화를 위해 KT, 서울시, 부산시 등 IoT제품 수요처와 업무제휴를 맺었고, 향후 통신3사 및 제품 제조사 통해 인증 안내와 인증제품 보급 확대할 계획"이라고 말했다.

이어 IoT융합보안혁신센터의 박창열 IoT융합보안팀장은 IoT보안인증서비스를 운영하게 된 배경과 현황을 구체적으로 설명했다. 그는 "IoT보안은 이용자와 제조사를 함께 고려해야 하는 환경"이라며 "설계 단계부터 보안을 내재화할 필요가 있다"고 강조했다.

그에 따르면 보안 내재화를 위해 사용자는 안전한 패스워드 설정, 암호화 설정, 펌웨어 업데이트를 수행해야 한다. 이를 위해 IoT 제조사는 시큐어코딩, 알려진 보안취약점 제거, 제품 설치시 이용자에게 패스워드 지정 요구, 전송데이터 암호화, 안전한 업데이트 제공을 해야 한다.

박 팀장은 자율주행차의 내부 소프트웨어 업데이트시 전문업체에 맡겨야 하는 부담이 있음을 언급하며 "업데이트가 항상 쉬운 일은 아니기 때문에 IoT 기기 업데이트를 않고 이용하는 위험이 있다"며 "처음부터 보안을 내재화하는 게 제조사 역할"이라고 강조했다.

이어 "기업은 제품을 하루라도 빨리 출시해 판매하는 것이 상업적 성패에 큰 영향을 주는데, 보안성을 고려해 IoT기기를 개발하려 하면 인력부족, 개발기간 확대로 비용부담을 느낀다"며 "IoT보안인증 활성화를 위한 업무제휴, 정보공유, 홍보강화가 필요하다"고 설명했다.

KISA의 IoT보안인증서비스는 이처럼 IoT기기 및 서비스를 제공하는 제조사의 보안내재화를 독려하고 유도하는 차원에서 무상으로 제공되고 있다. KISA에 10월까지 접수된 인증신청 건수는 6건, 인증서가 발행된 건수는 1건, KISA가 보완 검토 및 개선 지원 중인 건수는 5건이다.

KISA가 2018년 10월까지 진행한 IoT보안인증서비스 진행현황. [자료=KISA IoT융합보안혁신센터]

그중 인증서가 발행된 사례는 '엠투클라우드'의 IoT센서노드 제품이다. 이 회사는 라이트 등급의 보안인증서를 발급받았다. 보완 검토 및 개선 지원 중인 5건 중 4건도 라이트 등급을 신청했다. 유일하게 스탠더드 등급 보안인증을 신청한 곳은 공기청정기 제품을 만든 삼성전자다.

박 팀장은 "라이트 등급은 고수준 기기까진 아니더라도 기본적으로 갖춰야 할 보안 요건을 정의한 평가기준이고, 스탠더드 등급은 국제 요구에 부합하는 가이드와 표준을 바탕으로 만들어진 기준"이라며 "해외진출을 꾀하는 제조사에겐 스탠더드 등급이 도움이 된다"고 말했다.

다만 IoT보안인증서비스는 기본적으로 여력이 부족한 영세 중소업체의 제품개발시 보안내재화를 돕기 위해 제공되는 서비스다. KISA는 2015~2017년 IoT산업실태조사 결과 국내 IoT업체 81.2%가 50인 미만의 중소업체로, 보안내재화 등 여력이 부족하다고 판단하고 있다.

IoT기기 제조사에겐 인증을 취득해야 할 의무가 없다. KISA 측은 인증이 법적 근거를 갖는 '제도'가 아니라 기관이 제공하는 서비스라고 강조했다. 제조사가 IoT기기 보안의 중요성을 인식해 이를 자발적으로 취득하면 마케팅과 홍보에 활용할 수 있을 뿐이라는 설명이다.

박 팀장은 인증이 일종의 '하한선'이고 모든 IoT기기 보안문제를 해결할 수단은 아니라고도 덧붙였다. 그는 "IoT보안인증만으로는 모든 IoT관련 보안을 커버할 수 없다"며 "IoT기기의 네트워크 보안, 기기 제어와 데이터를 수집하고 분석하는 서버 보안 강화도 필요하다"고 말했다.

관련기사

센터는 IoT보안 내재화 목적으로 2015년 IoT공통 보안원칙, 2016년 IoT공통 보안가이드, 지난해 7대 IoT 핵심분야 중 홈·가전IoT, 스마트의료, 스마트교통, 스마트공장, 홈네트워크건물 등 분야별 보안가이드를 내놓기도 했다. 에너지, 환경, 재난 관련 가이드를 연내 배포한다.

센터는 또 2015년부터 홈·가전, 에너지, 자동차, 공장, 스마트의료, 오픈소스, 안전·재난, 환경 등 분야별 IoT보안 테스트베드도 구축해 운영해 왔다. 기업들이 IoT 제품과 서비스의 보안 수준을 자체 검증하고 보완하도록 지원한다는 게 테스트베드 운영 취지였다.