"규제 활동들이 주로 정부 차원에서 이뤄지고 있다. 그런 움직임이 산업계로 내려와서 업체들이 자발적으로 보안 수준을 높이는 활동을 수행해야 한다. 그런데 그렇지가 않다. 사물인터넷(IoT) 보안에 대한 한국의 대응 수준이 초보적인 모습을 보이는 이유다."
마이크 넬슨 디지서트 IoT 보안 담당 부사장은 23일 서울 삼성동에서 기자들과 만나 IoT 보안 표준 마련의 중요성을 강조하면서 이같이 말했다.
마이크 넬슨 부사장에 따르면 해외에서는 점차 보급이 확산되는 IoT 기기의 보안을 강화하기 위한 산업계 움직임이 활발하다. IoT 기기 제조사뿐 아니라 공항, 의료, 유료방송, 전기차 등 다양한 분야에서 업계가 준수하는 IoT 보안 표준을 만들기 위한 프로젝트가 진행되고 있다는 것이다.
이런 움직임은 IoT 기기에 대한 사이버 공격이 막대한 피해를 불러올 수 있다는 우려에서 비롯됐다. 실제 IoT 기기에 사이버 공격을 가해 데이터 유출 뿐만 아니라 사용자 생명에도 위험을 초래할 수 있다는 연구 결과도 여럿 등장했다.
넬슨 부사장은 여러 사례를 소개했다. 차량 내 인포테인먼트 시스템을 해킹해 운전자가 시속 70마일로 주행하고 있는 상황에서 시동, 브레이크, 핸들 등 운전 제어 기능을 해커가 조작할 수 있었다. 심장 박동기를 해킹, 기기와 연결된 환자에게 사망에 이르게 할 정도의 충격을 가하는 것도 가능했다.
영국, 독일, 미국, 일본 등 해외 당국에서는 이런 위험을 인지하고 규제 마련에 한창이다. 자발적으로 기업이 선택할 수 있게 하는 권고성 조치가 아닌, 보안 체계 도입을 의무화하는 성격의 규제를 고민하고 있다는 것이다. 가령 IoT 기기 제조사에 대해 소프트웨어 업데이트 기능을 필수로 탑재하게 하는 등의 방법도 고려되고 있다.
우리나라도 손 놓고 있는 것은 아니다. 과학기술정보통신부가 만든 '5G보안협의회', 한국인터넷진흥원(KISA)에서 제공하고 있는 'IoT 보안 인증 서비스' 등 정부를 중심으로 IoT 보안 대책이 모색되고 있다. 다만 현 규제들은 권고 수준에 그치고 있다.
IoT 기기가 전세계적으로 급속히 보급되는 현 상황에서, 넬슨 부사장은 강력한 보안을 위해 보다 적극적으로 움직여야 할 필요성이 있다고 봤다. 그는 IoT 보안을 위한 산업계 컨소시엄 구성이 하나의 방법이 될 수 있다고 말했다.
국내에서는 드물지만, 해외에서는 산업계가 모여 IoT 보안을 위한 기술 표준을 자체적으로 수립한 사례들이 존재한다. 넬슨 부사장은 디지서트가 표준 마련에 참여했던 미국 사례들을 언급했다.
미국 케이블사업자들이 참여하는 비영리 단체 케이블랩스는 통신망을 거치는 방송 콘텐츠를 보호하기 위해 셋톱박스에 대한 보안 표준을 만들었다.
스마트TV 서비스를 위한 기술인 CI+, 항공무선통신시스템(AeroMACS) 등에 대해서도 보안 표준이 수립됐다.
관련기사
- 과기정통부 국감, ‘유료방송 재편·5G 보안’ 이슈로 마무리2019.10.23
- 화웨이 “美·日 5G 보안 검증 언제든 환영”2019.10.23
- IoT 보안 이슈, 공공 서비스로 예방하세요2019.10.23
- KT “5G 보안, 양자암호보다 블록체인이 우월”2019.10.23
디지서트는 IoT 보안 강화를 위해 KISA와도 협업하고 있다고 밝혔다. 그러면서 국내 산업계에서도 IoT 보안 표준 마련을 위한 협업이 활발해져야 한다고 조언했다.
넬슨 부사장은 "대형 제조사들은 보안 확보에 노력을 기울이는 반면, 소규모 제조사들은 경영진의 성향에 따라 보안에 대한 투자를 소홀히 하기도 한다"며 "각 산업군에서 자체적으로 보안 표준을 도출해낼 수 있도록 노력해야 한다"고 강조했다.